Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis portant sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé « outil et système d'informations relatives aux infractions sur les stupéfiants » (OSIRIS), sur le fondement de l'article 26 de la loi du 6 janvier 1978 modifiée.
Ce traitement est mis en œuvre depuis 2006 par l'Office central pour la répression du trafic illicite des stupéfiants (OCRTIS), relevant de la direction centrale de la police judiciaire et chargé de centraliser, d'analyser et de diffuser l'information en matière de stupéfiants. A cet égard, la commission rappelle l'impérieuse nécessité de la saisir préalablement à la mise en œuvre d'un traitement et ne peut dès lors que déplorer la déclaration très tardive de ce traitement, déjà mis en œuvre depuis plusieurs années.
Ce traitement a vocation à permettre à l'OCRTIS de réaliser des statistiques sur les infractions aux stupéfiants et de produire des analyses stratégiques sur l'état, les tendances et les phénomènes émergents identifiés du trafic de stupéfiants. Selon le ministère, ce traitement relève des dispositions de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté pris après avis de la commission.
Sur la finalité du traitement et la formalité préalable :
La mise en œuvre du traitement OSIRIS s'inscrit dans le cadre de la lutte contre le trafic de stupéfiants et du renforcement des moyens mis à la disposition des forces de l'ordre spécialisés dans ce domaine. Le suivi de la mise en œuvre des différents plans élaborés en matière de stupéfiants nécessite la réalisation de nombreuses analyses.
Dans ce contexte, le traitement OSIRIS permettra d'établir des statistiques relatives aux faits constatés par les services de la police et de la gendarmerie nationales ainsi que des douanes.
Plus précisément, l'article 1er du projet d'arrêté assigne deux finalités au traitement OSIRIS : l'évaluation de la situation nationale et de l'activité des services en matière de lutte contre l'usage et le trafic illicite de produits stupéfiants, d'une part, et l'établissement de statistiques relatives aux faits constatés, d'autre part.
En pratique, le traitement est composé de deux bases de données distinctes. La première, dite « base transactionnelle », contient des données à caractère personnel provenant, d'une part, des logiciels de rédaction de procédures de la police et de la gendarmerie nationale (LRPPN 2 et LRPGN) et, d'autre part, d'une alimentation complémentaire et manuelle par les agents de l'OCRTIS, de la brigade des stupéfiants de la préfecture de police de Paris et du service technique de recherches judiciaires et de documentation (STRJD) de la gendarmerie nationale. La seconde base, dite « base décisionnelle », est alimentée au fil de l'eau par la base transactionnelle avec des données préalablement anonymisées et sert à l'élaboration des statistiques.
Plusieurs fonctionnalités permettront ainsi d'établir des statistiques. Une fonction de recherche multicritères permettra au sein de la base décisionnelle de rechercher, par exemple, le nombre de trafiquants de cocaïne, le nombre de trafiquants selon leur âge et un type de produit déterminé, le nombre de trafiquants localisés dans un département déterminé, etc.
Une fonctionnalité de représentation cartographique sera mise en œuvre : un espace destiné à recevoir les données géographiques est intégré dans OSIRIS et servira d'interface avec le futur système d'information géographique (SIG) en cours de développement par le ministère de l'intérieur pour réaliser des cartographies. Cela permettra par exemple une représentation graphique des quantités saisies par département ou par région, du nombre de trafiquants ou d'usagers par produit, etc.
A cet égard, la commission rappelle que la mise en œuvre d'une telle fonctionnalité ne doit porter que sur les données strictement utiles à la prise de décision ou d'orientation stratégique en matière de trafic de stupéfiants. Ainsi, le géociblage à l'adresse ne peut être mis en œuvre systématiquement.
Enfin, le traitement OSIRIS permettra d'évaluer l'activité des services en matière d'usage et de trafic illicite de produits stupéfiants. Cette évaluation se fera à travers leur degré d'implication dans les affaires traitées (service interpellateur seul ou en collaboration avec un ou plusieurs services, service traitant seul ou en co-saisine).
La commission relève que le traitement OSIRIS doit permettre d'obtenir des informations plus précises que les statistiques institutionnelles sur les caractéristiques des produits, les usages et les trafiquants. Il permettra également de produire des analyses plus fines sur l'état et l'évolution du trafic de stupéfiants en France (routes des filières, filières d'approvisionnement, répartitions des bassins de consommation et de trafic sur le territoire). Le traitement OSIRIS permet ainsi d'orienter les politiques publiques et l'action des services d'enquêtes, d'améliorer la connaissance des bassins de délinquance et, plus largement, de réaliser des analyses stratégiques en matière de lutte contre les stupéfiants.
La commission considère que les finalités assignées au traitement envisagé sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Sont concernées par le traitement les personnes majeures et mineures mises en cause dans une procédure judiciaire ou douanière. La commission prend acte que les données relatives aux témoins et aux victimes ne sont donc pas traitées.
L'annexe au projet d'arrêté énumère les données enregistrées dans le traitement OSIRIS. Elles sont issues, d'une part, d'une alimentation automatique par les logiciels de rédaction des procédures de la police et de la gendarmerie nationales (LRPPN 2 et LRPGN) et, d'autre part, d'une alimentation manuelle par les services habilités à partir des procédures papier, des résultats des laboratoires, des procès-verbaux de scellés, des télégrammes de compte rendu d'affaire ou des notes.
Ces données sont relatives aux caractéristiques de la procédure, aux infractions constatées, aux identités des personnes mises en cause dans les procédures judiciaires concernées et aux saisies effectuées.
Les procédures concernées sont toutes celles relatives à une infraction à la législation sur les stupéfiants, détectées automatiquement dans les logiciels de rédaction des procédures de la police et de la gendarmerie nationales et importées dans la base transactionnelle. Les saisies effectuées par les douanes et qui ne font pas l'objet d'une procédure judiciaire par les services de police ou de gendarmerie seront quant à elles intégrées manuellement par les agents de l'OCRTIS.
La commission estime que ces données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement OSIRIS.
Sur la durée de conservation des données :
Le premier alinéa de l'article 4 du projet d'arrêté prévoit que les données à caractère personnel sont conservées un an. Cette durée de conservation court à compter de leur enregistrement dans la base transactionnelle.
La commission relève que, pendant cette durée d'un an, les données sont constamment mises à jour, par l'intermédiaire de l'interconnexion d'OSIRIS avec les logiciels de rédaction des procédures et des vérifications et enrichissements opérés manuellement, cette mise à jour étant alors répercutée dans la seconde base après anonymisation.
Les données sont supprimées un an après leur enregistrement. La commission relève que le système de suppression est automatisé par l'application. Elle estime néanmoins que si les données enregistrées dans la base transactionnelle ne sont plus amenées à évoluer avant l'expiration de ce délai d'un an, la procédure ayant été clôturée et transmise à l'autorité judiciaire, elles devraient être automatiquement supprimées de cette base.
Le deuxième alinéa de l'article 4 du projet d'arrêté prévoit que les « données anonymisées » sont ensuite conservées trente ans dans la base décisionnelle à compter de leur enregistrement dans la première base. Le ministère a indiqué qu'une telle durée de conservation permettait d'établir des statistiques et des tendances relatives au trafic et à la consommation des stupéfiants sur de longues périodes.
Cette durée de conservation, qui peut apparaître longue, n'appelle cependant pas de réserve de la part de la commission. En effet, l'élaboration de statistiques et plus encore l'identification de nouvelles tendances ou de nouveaux phénomènes en matière d'infractions sur les stupéfiants nécessitent de disposer d'un historique détaillé et d'une certaine profondeur de données.
La commission estime que les durées de conservation prévues sont dès lors conformes aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 3 du projet d'arrêté distingue les personnels habilités à accéder aux données enregistrées dans le traitement (I) de ceux qui seront habilités à recevoir communication de statistiques et de notes de synthèse (II).
S'agissant des premiers, il s'agit des agents de l'OCRTIS, du STRJD et de la brigade de stupéfiants de la direction régionale de la police judiciaire de Paris. Ces services alimentent en effet manuellement le traitement et effectuent également un travail de vérification, de correction et d'enrichissement des données. La commission prend acte que cet accès n'a donc pas vocation à leur permettre d'effectuer des recherches dans le cadre d'enquêtes judiciaires relatives à une infraction à la législation sur les stupéfiants : l'accès direct de ces personnels ne vise qu'à permettre un enrichissement des données. La commission estime, au regard de ces éléments, que ces destinataires ont un intérêt légitime à connaître des données collectées.
Le ministère a prévu, pour ces personnels habilités à accéder à tout ou partie des données enregistrées dans le traitement OSIRIS, différents profils : le profil « consultant », réservé aux agents statisticiens, permet de ne consulter que les données statistiques de l'application, tandis que les deux autres profils (« opérateur » et « administrateur ») permettent d'avoir accès à l'ensemble des données à caractère personnel enregistrées dans la base transactionnelle de l'application, aux seules fins de vérification, de correction, d'enrichissement et d'administration de ces données. La commission relève que seul un nombre limité d'agents, de l'ordre d'une dizaine, est ainsi habilité à accéder directement aux données à caractère personnel traitées dans OSIRIS.
Les personnels prévus au II de l'article 3 sont destinataires de statistiques et de notes de synthèse. Ces destinataires relèvent du ministère de la justice (direction des affaires criminelles et des grâces, magistrats du siège et du parquet) et de l'intérieur (directions générales de la police et de la gendarmerie nationales, préfecture de police de Paris, préfectures, direction générale de la sécurité intérieure), du ministère de l'économie et des finances (direction nationale du renseignement et des enquêtes douanières), d'organismes compétents en matière de trafic de stupéfiants ou de santé publique (mission interministérielle de lutte contre les drogues et les conduites addictives, institut national de veille sanitaire, observatoires régionaux de santé, Observatoire français des drogues et des toxicomanies), d'organismes compétents en matière de sécurité intérieure, sanitaire, environnementale et économique et de justice (Institut national des hautes études de la sécurité et de la justice, Observatoire national de la délinquance et des réponses pénales) ou des organismes de coopération internationale (EUROPOL).
La commission relève qu'aucune donnée à caractère personnel ne leur sera transmise, les informations communiquées se rapportant exclusivement à des statistiques et à des développements sur l'état, les tendances et les phénomènes émergents identifiés du trafic de stupéfiants en France.
Au regard de ces éléments, elle considère que ces personnels ne constituent pas des destinataires au sens de l'article 3-II de la loi du 6 janvier 1978 modifiée et n'ont donc pas à figurer au titre des personnes habilitées à recevoir communication des données à caractère personnel enregistrées dans le traitement. Dès lors, elle prend acte de la suppression du II de l'article 3 du projet d'arrêté.
Sur les droits des personnes :
L'article 6 du projet d'arrêté précise les modalités d'exercice des droits des personnes.
Le I et le II prévoient que le droit d'information et le droit d'opposition ne s'appliquent pas au traitement projeté, conformément aux articles 32-VI et 38 de la loi du 6 janvier 1978 modifiée.
Conformément à l'article 42 de la loi précitée, le III de l'article 6 du projet d'arrêté prévoit que le droit d'accès des personnes s'exercera indirectement, par l'intermédiaire de la commission, dans les conditions prévues à l'article 41 de ladite loi.
Ces modalités d'exercice des droits des personnes n'appellent pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
Les données à caractère personnel sont conservées dans la base transactionnelle pendant un an, chaque mise à jour effectuée sur ces données étant répercutée sur les données enregistrées dans la base décisionnelle, après anonymisation. Le ministère de l'intérieur recourt à un procédé d'anonymisation par suppression des données à caractère personnel directement identifiantes (nom, prénom, date de naissance, adresse de la personne concernée) et d'un identifiant susceptible de permettre une identification indirecte (numéro de procédure).
Le ministère de l'intérieur précise que les résultats du procédé ne permettent ni « d'isoler un individu, ni de relier entre eux des enregistrements relatifs à une personne ou de déduire des informations concernant un individu. Aucune donnée à caractère personnel ne permet, au sein de cette base, d'identifier directement une personne ».
A cet égard, la commission estime, au regard des récents travaux en matière d'anonymisation des données, que le procédé d'anonymisation tel que prévu par le ministère de l'intérieur limite les risques de réidentification des personnes.
Dès lors, les enjeux en termes de sécurité portent essentiellement sur les données à caractère personnel enregistrées dans la première base, dite « base transactionnelle ».
A cet égard, la commission estime que la transmission des données entre les logiciels de rédaction de la police et de la gendarmerie nationales et la base transactionnelle, qui intervient sur le réseau privé du ministère sans recours à un procédé de chiffrement, ne permet pas de garantir la parfaite confidentialité de ces transmissions d'informations.
Par ailleurs, la commission prend note des éléments techniques suivants qui concourent à limiter les risques sur les données du traitement.
Ainsi, le traitement est déployé sur un serveur dédié relié au réseau privé du ministère, de telle sorte que cela garantisse un cloisonnement du traitement relativement au système d'information.
S'agissant des modalités d'authentification, la commission relève que les personnels accédant directement au traitement, habilités par leur chef de service, devront s'authentifier, par l'intermédiaire de Cheops NG pour les services de la police nationale et web SSO pour les services de la gendarmerie nationale, grâce à la carte agent et un code PIN.
Enfin, l'article 5 du projet d'arrêté prévoit que toute action (consultation, création, modification, suppression) dans le traitement sera tracée. A cet égard, les événements journalisés incluent les dates et heure de la connexion, l'identifiant de l'utilisateur, la date et l'heure de déconnexion, la nature de l'opération effectuée, l'adresse IP de l'utilisateur et la référence des données auxquelles il a accédé. Les traces seront conservées trois ans.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le ministère sont de nature à garantir un risque limité d'atteinte aux données. La commission tient toutefois à rappeler la nécessité d'une réévaluation régulière des risques et de la mise à jour des mesures de sécurité associées.