La Commission nationale de l'informatique et des libertés,
Saisie par l'Agence Nationale des Fréquences d'une demande d'avis concernant un projet d'arrêté relatif à la création d'un téléservice de l'administration dénommé « Gestion de licences et de numéro MMSI » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi nu 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-11-4 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi nu 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'article R. 20-44-11 du code des postes et des communications électroniques ; Vu le dossier et ses compléments ;
Sur la proposition de M. Eric PERES, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
Sur le fondement de l'article 27-11-4° de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés a été saisie pour avis par l'Agence nationale des fréquences d'un projet d'arrêté portant création d'un téléservice de l'administration, dénommé « Gestion de licences et de numéro MMSI ».
Sur les finalités :
En application de l'article L. 41-1 du code des postes et des communications électroniques, une autorisation administrative est nécessaire pour l'utilisation de fréquences radioélectriques à bord d'un navire.
Le projet d'arrêté soumis à la Commission est relatif à la création d'un téléservice permettant aux usagers de procéder en ligne à la demande de licence prévue à l'article L. 41-1 du code des postes et des communications électroniques.
En ce sens, l'article le du projet d'arrêté précise les finalités du traitement et énonce que le téléservice « Gestion de licences_et de numéro MMSI » a pour finalité « la gestion (attribution et modification) de licences de station de navire et éventuellement l'attribution d'un MMSI (Maritime Mobile Service Identity) si la matériel radioélectrique du navire répond aux normes du SMDSM (Système Mondial de Détresse et de Sécurité en Mer) ».
Ce faisant, la mise en œuvre du téléservice précité vise à permettre aux usagers de réaliser de façon dématérialisée leurs demandes de licence et de numéro MMSI et de fournir les pièces justificatives sous format électronique.
La Commission prend note que l'usage de ce téléservice reste facultatif, l'Agence nationale des fréquences continuant à traiter les dossiers qui lui seront transmis via le formulaire papier.
La Commission considère que ces finalités sont déterminées, explicites et légitimes.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté précise les catégories de données collectées relatives au propriétaire du navire ou au demandeur ou bénéficiaire de la licence, si celui-ci est différent du propriétaire, à savoir :
- « état civil du demandeur ou du bénéficiaire de la licence, c'est-à-dire son nom, son prénom, sa date de naissance, son adresse (n°, rue, ville, pays), s'il est propriétaire du navire ou en leasing ou autre, son numéro de téléphone professionnel, son numéro de téléphone portable, son numéro de téléphone domicile, son numéro de télécopie, et son adresse électronique ainsi que les coordonnées de contacts en cas d'urgence (nom, prénom, numéro de téléphone, lien de parenté) ;
- données de connexion, c'est-à-dire les identifiants de connexion ».
La Commission considère que les données traitées sont pertinentes et non excessives au regard des finalités poursuivies.
Sur la durée de conservation des données :
L'article 2 du projet d'arrêté précise que « les données sont conservées quatre mois ».
La Commission considère que cette durée de conservation n'excède pas celle qui nécessaire à l'accomplissement des finalités poursuivies.
Sur les destinataires des données :
L'article 3 du projet d'arrêté précise les destinataires habilités à recevoir communication des données traitées par l'intermédiaire du téléservice « Gestion de licences et de numéro MMSI ».
Plus précisément, ces données seront accessibles :
- aux agents de l'Agence nationale des fréquences ;
- aux demandeurs ou bénéficiaires de la licence.
La Commission considère que ces destinataires ont un intérêt légitime à accéder aux données du téléservice « Gestion de licences et de numéro MMSI ».
Sur l'information des personnes :
La Commission prend acte que l'information des personnes concernées sera assurée par une mention sur la page d'accueil du site internet dédié.
Sur les droits d'accès, de rectification et d'opposition des personnes :
L'article 4 du projet d'arrêté prévoit que les droits d'accès et de rectification, prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès du directeur général de l'Agence nationale des fréquences, 78, avenue du Général-de-Gaulle, 94700 Maisons-Alfort.
La Commission relève que le projet de décret n'écarte pas expressément l'application du droit d'opposition pour motif légitime.
Les dispositions du projet de décret relatives aux droits d'accès, de rectification et d'opposition pour motif légitime n'appellent pas d'observation de la part de la Commission.
Sur la sécurité des données et la traçabilité des actions :
La Commission rappelle que, compte tenu de ce que le dispositif « Gestion de licences et de numéro MMSI » est un téléservice de l'administration, il appartient à l'Agence Nationale des Fréquences d'attester de sa conformité au décret 2010-112 (référentiel général de sécurité) et de le mentionner sur le site.
De plus, concernant la sécurité des sites internet, la Commission recommande de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'Agence nationale de la sécurité des systèmes d'information dans une note technique intitulée « recommandations pour la sécurisation des sites web ».
Enfin, la Commission rappelle que la mise en place du téléservice « Gestion de licences et de numéro MMSI » doit se faire en conformité avec l'article 32-II de la loi du 6 janvier 1978 modifiée et qu'en particulier :
- aucun cookie non nécessaire au service ne doit être déposé sur l'ordinateur de l'utilisateur, sans le consentement préalable de ce dernier ; il doit être indiqué aux utilisateurs comment s'opposer au dépôt de cookies tout en continuant à bénéficier du service ;
- les mentions d'information doivent être complètes et détailler les finalités associées aux différents cookies déposés.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.