Sur la proposition de M. Eric PERES, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « GISTRID » relatif aux transferts transfrontaliers de déchets.
Ce traitement vise à faciliter la gestion et le suivi des demandes et des documents transmis dans le cadre des opérations de transferts transfrontaliers de déchets mentionnés dans règlement du 14 juin 2006 susvisé.
La commission relève que le traitement GISTRID comporte un téléservice, qui comprend des données à caractère personnel parmi lesquelles figurent un identifiant des personnes physiques. Le traitement projeté relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté indique que le traitement projeté a pour objet « la gestion et le suivi des demandes et documents transmis dans le cadre de transferts transfrontaliers de déchets régis par le règlement du 14 juin 2006 susvisé ».
Le règlement du 14 juin 2006 susvisé doit permettre de renforcer la maîtrise des transferts de déchets afin de s'assurer qu'un déchet faisant l'objet d'un transfert est traité dans des conditions qui garantissent la maîtrise des impacts sur l'environnement. A cet effet, il établit les procédures et les régimes de contrôle applicables au transfert de déchets, en fonction de l'origine, de la destination et de l'itinéraire du transfert, du type de déchets transférés et du type de traitement à appliquer aux déchets sur leur lieu de destination. Plus précisément, il s'agit d'encadrer certains transferts, exportations et importations de déchets ainsi que d'en assurer le transit dès lors que, dans cette dernière hypothèse, ils sont réalisés par la Communauté européenne au départ et à destination des pays tiers.
La commission prend acte des précisions du ministère selon lesquelles les demandes préalables de transferts de déchets peuvent être adressées par la personne concernée (« le notifiant ») aux directions de l'environnement, de l'aménagement et du logement (DEAL) ou aux directions régionales de l'environnement, de l'aménagement et du logement (DREAL), dans la limite de leurs compétences géographiques, et à la direction régionale et interdépartementale de l'environnement et de l'énergie d'Ile-de-France (DRIEE), qui instruisent les demandes au titre du préfet du département, dans le respect de la réglementation européenne et internationale en la matière.
En pratique, le traitement projeté a donc vocation à permettre aux différents opérateurs énumérés à l'article 2 du projet d'arrêté de déposer et de consulter en ligne leurs demandes de transferts de déchets, lesquelles s'accompagnent des documents de notification et de mouvement prévus par le règlement du 14 juin 2006 susvisé.
Sur ce point, le ministère a tout d'abord indiqué que la dématérialisation des procédures sur les transferts de déchets, assurée par le traitement GISTRID, doit permettre de fluidifier les échanges entre les différents acteurs concernés et faciliter en ce sens les démarches des opérateurs (exportateurs, importateurs, producteurs de déchets, transporteurs ou installation d'élimination de déchets ou de valorisation des déchets). Ces derniers pourront déposer leur dossier de notification via l'application GISTRID et connaître à tout moment le stade d'examen et d'instruction de leur dossier. Le traitement projeté doit permettre de réduire le recours aux formulaires papier et limiter l'envoi de fax.
En outre, la commission prend acte des précisions apportées par le ministère selon lesquelles la mise en place du téléservice GISTRID vise à optimiser la gestion, par les services du ministère chargé de l'écologie, des procédures applicables aux transferts transfrontaliers de déchets en assurant un traitement plus rapide et efficace des documents de notification et en permettant le suivi des documents de mouvement.
De manière générale, la commission considère que le traitement projeté est de nature à simplifier les démarches administratives réalisées, en matière de transferts transfrontaliers de déchets, auprès de la direction générale de la prévention des risques du ministère chargé de l'environnement et à améliorer les relations entre les usagers et l'administration.
Enfin, elle prend acte de l'absence de transferts de données vers un pays situé hors de l'Union européenne et n'assurant pas un niveau de protection suffisant.
Au regard de ce qui précède, la commission estime que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
S'agissant plus précisément de l'accès au téléservice projeté, la commission relève que seuls les « notifiants » au sens de l'article 2 du règlement du 14 juin 2006 susvisé, pour ce qui concerne les exportateurs et les installations de déchets, pourront accéder au suivi des transferts via cette application. Dans un premier temps, l'accès dans l'application GISTRID sera rendu possible par l'attribution d'un numéro de compte permettant d'accéder au portail d'authentification des applications web « CERBERE » du ministère de l'écologie, du développement durable et de l'énergie, lequel a déjà fait l'objet d'une formalité préalable à sa mise en œuvre auprès de la commission. Dans un deuxième temps, l'accès au dossier de notification s'effectuera à partir du numéro d'identification de la notification délivré par l'autorité compétente.
La commission considère que ces modalités d'accès n'appellent pas d'observation particulière. Elle prend acte que l'authentification des usagers sur le portail « CERBERE » s'effectuera à partir d'un mot de passe régulièrement renouvelé, strictement personnel, de complexité minimale (au moins huit caractères parmi majuscule, minuscule, chiffre et caractère spécial) et ne faisant aucunement référence aux nom et prénom de l'usager.
Sur les données à caractère personnel collectées et traitées :
L'article 2 du projet d'arrêté prévoit que les données à caractère personnel collectées dans le traitement GISTRID sont relatives à l'identification de chacun des opérateurs susceptibles de déposer et de consulter en ligne leurs demandes de transferts de déchets. Il s'agit :
- du nom ;
- de l'adresse ;
- des coordonnées téléphoniques ;
- du numéro de fax ;
- de l'adresse électronique.
Par ailleurs, la commission prend acte que chaque notifiant et chaque installation de traitement de déchets disposent d'un identifiant qui leur sont propres afin d'accéder au téléservice à partir du numéro de notification qui leur est attribué. Elle rappelle dès lors que, conformément aux dispositions de l'article 29 de la loi du 6 janvier 1978 modifiée, ces identifiants doivent figurer parmi les données à caractère personnel enregistrées dans le traitement GISTRID.
De même, dans la mesure où les documents de notification et de mouvement prévus par le règlement du 14 juin 2006 et enregistrés dans le traitement projeté contiennent le numéro d'enregistrement du notifiant ainsi que l'identité de la personne à contacter, elle demande que le projet d'arrêté soit complété sur ce point.
En tout état de cause, la commission considère que les données et informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données sont conservées pendant trois ans à compter du début du transfert des déchets.
La commission considère qu'une telle durée, qui s'inscrit dans le respect des dispositions de l'article 20 du règlement du 14 juin 2006 susvisé, n'appelle pas d'observation particulière.
L'article 5 du projet d'arrêté précise que « toute consultation du traitement […] fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans ledit traitement. Les informations relatives aux consultations sont conservées pendant une durée d'un an ».
Si la commission prend acte qu'une telle durée correspond à la durée de conservation portée à sa connaissance lors de la déclaration du traitement CERBERE, elle rappelle sa recommandation en la matière qui consiste à ne pas conserver les traces au-delà d'une durée de six mois, sauf justifications particulières.
Sur les destinataires des données :
L'article 4 du projet d'arrêté est relatif aux destinataires des données et énumère les personnels qui, à raison de leurs attributions et pour les besoins exclusifs des missions qui leur sont confiées, auront un accès direct aux données contenues dans le traitement projeté.
La commission relève que ces traitements seront exclusivement utilisés par :
- les agents au sein des DREAL, des DEAL et de la DRIEE ;
- les agents au sein du département de la politique de gestion des déchets de la direction générale de la prévention des risques du ministère de l'écologie, du développement durable et de l'énergie ;
- les agents du service de l'observation et des statistiques du Commissariat général du développement durable du ministère de l'écologie, du développement durable et de l'énergie.
Si la liste de ces destinataires n'appelle pas d'observation particulière de la part de la commission, elle rappelle que le responsable du traitement projeté est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C'est pourquoi la commission estime que les agents précédemment énumérés devraient faire l'objet d'une désignation individuelle et d'une habilitation spécifique.
Par ailleurs, ce même article énonce que les usagers du téléservice sont destinataires des données mentionnées à l'article 2 dudit projet d'arrêté et se rapportant à leur demande de transfert transfrontalier de déchets. La commission rappelle que, si ces usagers doivent naturellement accéder aux données et informations qui les concernent, dès lors qu'il s'agit de l'objet même du traitement, ces usagers ne sont pas des destinataires au sens de l'article 3-II de la loi du 6 janvier 1978 modifiée mais des personnes concernées au sens du dernier alinéa de l'article 2 de cette même loi. Elle estime dès lors que le projet d'arrêté devrait être modifié sur ce point.
Enfin, elle relève que le ministère a indiqué que les données relatives aux types et aux quantités de déchets transférés pourront être utilisées dans le cadre de la préparation des rapports annuels, conformément aux dispositions de l'article 51 du règlement du 14 juin 2006 susvisé, ce qui n'appelle pas d'observation particulière.
Sur les droits des personnes :
La commission relève tout d'abord que dans le cadre de la mise en œuvre du traitement projeté, l'utilisation du téléservice est facultative.
A cet égard, la commission rappelle que le développement de l'administration électronique doit permettre la mise en place d'outils de simplification des démarches administratives et d'amélioration des relations entre les usagers et l'administration, sans que ces outils soient exclusifs d'autres canaux d'échanges. Elle prend dès lors acte de l'existence d'une procédure alternative au téléservice qui doit permettre l'accès à la même prestation de service.
Par ailleurs, l'information des personnes concernées par le traitement est réalisée par le biais de mentions spécifiques sur le site internet à partir duquel est accessible le téléservice, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée. La commission prend en outre acte que les formulaires CERFA relatifs aux transferts transfrontaliers de déchets sont en cours de modification afin de faire figurer des mentions d'informations conformes audit article.
Les droits d'accès et de rectification s'exercent directement auprès de la direction générale de la prévention des risques.
Enfin, l'article 7 du projet d'arrêté prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière dès lors que le traitement répond à une obligation légale.
Sur les mesures de sécurité :
La commission rappelle tout d'abord que, le traitement projeté étant un téléservice d'une autorité administrative, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé.
Par ailleurs, elle prend acte que le traitement projeté sera hébergé au sein du ministère de l'écologie, du développement durable et de l'énergie dont les mesures de sécurité physique et logique sont de nature à assurer la confidentialité et l'intégrité des données à caractère personnel traitées.
S'agissant de l'accès au téléservice, la commission relève que le téléservice GISTRID s'appuie sur le composant d'authentification et de sécurité CERBERE. Afin de respecter l'article 34 de la loi du 6 janvier 1978 modifiée, la commission estime qu'il est nécessaire de se conformer à l'état de l'art en matière de transmission chiffrée des données sur internet, concernant le protocole https.
Sous réserve des observations précédemment formulées, la commission considère que les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.