Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
Le ministre des finances et des comptes publics a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis portant sur un projet d'arrêté portant création du traitement de suivi de l'encaissement des jours-amende dénommé « Jours-amende » (JAm).
Ce traitement est mis en œuvre au sein des services en charge du recouvrement des amendes de la direction générale des finances publiques (DGFiP). Il doit permettre aux comptables de suivre l'exécution des jours-amende prononcés par une juridiction. Le traitement projeté relève des dispositions de l'article 26-1-2° de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
L'article 1er du projet d'arrêté indique que le traitement projeté a pour objet « le suivi de l'encaissement des jours-amende ».
L'article 131-5 du code pénal prévoit que, lorsqu'un délit est puni d'une peine d'emprisonnement, la juridiction peut prononcer une peine de jours-amende consistant pour le condamné à verser au Trésor public une somme dont le montant global résulte de la fixation par le juge d'une contribution quotidienne pendant un certain nombre de jours.
En application des dispositions du décret n° 64-1333 du 22 décembre 1964 modifié susvisé, les condamnations prononcées par des décisions judiciaires devenues définitives sont recouvrées par les comptables de la DGFiP.
Dans un contexte de hausse du nombre de peines de jours-amende prononcées par les juridictions, le traitement projeté doit ainsi permettre de faciliter le suivi et le recouvrement des sommes dues dans le cadre du prononcé de condamnations à la peine de jours-amende.
A cet effet, l'article 2 du projet d'arrêté prévoit tout d'abord que le traitement projeté doit permettre au comptable public d'assurer « la prise en charge des jours-amende ».
La commission prend acte qu'il s'agit de permettre au comptable public de procéder à l'enregistrement de la condamnation à la peine de jours-amende prononcée par une juridiction, d'effectuer toute recherche et consultation du dossier d'un redevable ou encore d'éditer un bordereau de relance du tribunal pour les dossiers où le relevé de condamnation pénale n'a pas été reçu.
Ce même article prévoit également que le traitement projeté doit permettre les « rectifications administratives et comptables ».
Interrogé sur ce point, le ministère a indiqué qu'il s'agissait des rectifications portant sur l'identité ou l'adresse du redevable, sur la nature de la créance (condamnation prononcée, sur les courriers envoyés au redevable (date et nature de l'acte) ainsi que sur les imputations comptables.
Enfin, l'article 2 du projet d'arrêté prévoit que le traitement projeté doit permettre au comptable d'assurer les missions suivantes : l'enregistrement des paiements, l'information du ministère public dans le cadre du suivi de l'exécution des jours-amende, l'information du service du casier judiciaire national pour l'enregistrement des avis de paiement, l'édition d'avertissements et de mises en demeure ainsi que le suivi statistique et comptable.
S'agissant en particulier de la réalisation de ce suivi statistique et comptable, le ministère a indiqué que celui-ci doit permettre, d'une part, aux trésoreries chargées du recouvrement de piloter leur activité de gestion des dossiers de jours-amende et, d'autre part, aux trésoreries précitées ainsi qu'aux directions régionales ou départementales et à l'administration centrale de disposer de données statistiques consolidées quant aux dossiers reçus, aux encaissements obtenus et aux dossiers renvoyés aux tribunaux.
Au regard de ce qui précède, la Commission estime que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les données à caractère personnel collectées et traitées :
L'article 3 du projet d'arrêté énumère les données à caractère personnel enregistrées dans le cadre du traitement projeté, à savoir :
- des données relatives à l'identification du redevable ;
- des données relatives à la condamnation de jours-amende, des données relatives au suivi de l'encaissement.
La commission relève que parmi cette dernière catégorie de données figurent les informations « nécessaires au suivi et à la gestion du dossier du redevable », enregistrées au travers d'un bloc-notes.
Elle prend néanmoins acte que le traitement de ces données sera entouré des garanties suivantes. Il s'agira uniquement d'informations objectives nécessaires au suivi des démarches des redevables concernant leur obligation de paiement, à l'exclusion de toute appréciation subjective ou de toute donnée mentionnée à l'article 8 de la loi du 6 janvier 1978 modifiée.
Une note de service à destination des agents habilités à accéder au traitement « JAm » rappellera à ces derniers les règles à respecter et les bonnes pratiques à adopter en matière de renseignement d'informations dans une zone de saisie libre. Une recommandation spécifique sera en outre intégrée dans les champs du bloc-notes, par le biais d'une « info-bulle » rappelant aux utilisateurs les types d'informations qu'ils ne doivent pas y saisir. Enfin, toute création, modification ou suppression dans cette zone de saisie fera l'objet d'une journalisation avec indication de l'identité de l'agent effectuant la modification (civilité, nom et prénom).
Par ailleurs, la commission relève que, dans le cadre de la réalisation du suivi statistique et comptable, le traitement projeté a vocation à permettre l'établissement de données statistiques consolidées. Elle prend acte que, dans ce cadre, aucune donnée nominative ne sera traitée.
Dans ces conditions, la commission considère que les données et informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les données sont conservées dans le traitement automatisé pendant cinq ans à compter du renvoi du dossier par le comptable public au ministère public.
La commission prend acte qu'un mécanisme de purge automatique est mis en œuvre.
Ce même article prévoit également que les données en provenance du ministère public relatives à la condamnation (motif de la condamnation, numéro de jugement et numéro de parquet) sont conservées, sous forme de dossier papier, pour une durée identique. A l'expiration de cette durée, les dossiers papiers seront détruits dans des conditions de nature à garantir la sécurité et la confidentialité des données traitées.
Elle prend acte des précisions apportées par le ministère selon lequel cette durée, qui correspond à la prescription de la peine en matière délictuelle, doit également permettre de communiquer au ministère public toute pièce justificative dans le cadre de poursuites judiciaires afin de recouvrer le montant des jours-amende.
La commission considère dès lors que cette durée de conservation est proportionnée au regard de la finalité poursuivie par le traitement conformément aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 5 du projet d'arrêté est relatif aux destinataires des données et énumère les personnels qui, à raison de leurs attributions et dans la limite du besoin d'en connaître, auront un accès direct aux données contenues dans le traitement projeté.
La commission relève que ce traitement sera exclusivement utilisé par les agents habilités de la direction générale des finances publiques en charge d'une mission de recouvrement des amendes.
Ce même article énonce également que sont destinataires des données mentionnées à l'article 3-I du projet d'arrêté le ministère public, dans le cadre du suivi de l'exécution des jours-amende, et le service du casier judiciaire national, pour l'enregistrement des avis de paiement.
Si la liste de ces destinataires n'appelle pas d'observation particulière de la part de la commission, elle rappelle que le responsable du traitement projeté est tenu de prendre toutes précautions utiles pour empêcher que des tiers non autorisés aient accès aux données qui y sont enregistrées. C'est pourquoi la commission estime qu'il revient au ministère de s'assurer que la transmission du bordereau de renvoi à la juridiction et de l'avis de paiement au casier judiciaire national fait l'objet de mesures de sécurité satisfaisantes.
Sur les droits des personnes :
La commission relève que le ministère n'entend pas faire application des dispositions dérogatoires prévues à l'article 32-V de la loi du 6 janvier 1978 modifiée dans la mesure où l'absence d'information des personnes n'apparaît pas nécessaire au respect des finalités poursuivies par le traitement projeté.
Elle prend acte que l'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée est réalisée par le biais de mentions spécifiques présentes systématiquement sur tous les avertissements et mises en demeures adressés au redevable par le comptable public.
L'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent directement auprès du poste comptable chargé de l'encaissement de la créance.
Le droit d'opposition prévu par l'article 38 de cette même loi ne s'applique pas au traitement projeté.
Sur les mesures de sécurité :
Le responsable d'un traitement de données à caractère personnel est tenu, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment empêcher que des tiers non autorisés y accès.
La commission relève que les mesures de sécurité logique et physique sont mises en oeuvre pour préserver la sécurité des données enregistrées dans le traitement projeté et empêcher toute utilisation détournée ou frauduleuse de celles-ci.
Chaque utilisateur dispose d'un identifiant qui lui est propre afin d'accéder au traitement projeté. L'authentification des utilisateurs s'effectue à partir d'un mot de passe régulièrement renouvelé, strictement personnel, de complexité minimale suffisante (au moins huit caractères parmi majuscule, minuscule, chiffre et caractère spécial). La commission recommande néanmoins que des mesures techniques soient mises en place pour que ce mot de passe ne fasse aucunement référence aux nom et prénom de l'usager. Elle rappelle également que les mots de passe ne devront à aucun moment être conservés en clair mais faire l'objet de mesures conformes à l'état de l'art afin de garantir leur confidentialité.
Des profils d'habilitation sont également prévus afin de gérer les accès aux données en tant que de besoin. Les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
L'article 3 du projet d'arrêté énonce que les rectifications administratives et comptables effectuées ainsi que les actions de création et de suppression des dossiers réalisées par les agents de la DGFiP font l'objet de mesures de traçabilité. La commission prend acte que, à sa demande, une journalisation des opérations de consultation sera également mise en œuvre.
Par ailleurs, elle relève que les modifications apportées par le comptable public aux données suivantes ne feront pas l'objet de mesures de traçabilité : la référence du compte du débiteur AMD, la dénomination du tribunal, les dates d'envoi de l'avis de paiement au casier judiciaire national et du bordereau de renvoi au ministère public. La commission prend acte des précisions apportées par le ministère selon lequel les modifications apportées à ces données ne donnent pas lieu à traçabilité car il s'agit de données administratives relatives aux relations entre la DGFiP et le ministère public.
En outre, s'agissant de la journalisation des opérations effectuées par les agents de la DGFiP dans le traitement « JAm », la commission rappelle sa recommandation en la matière, qui consiste à ne pas conserver les traces au-delà d'une durée de six mois, sauf justifications particulières.
L'accès aux locaux est restreint au moyen de portes verrouillées contrôlées par un moyen d'authentification personnel.
Des sauvegardes incrémentales sont effectuées quotidiennement et des sauvegardes complètes sont réalisées chaque mois. Celles-ci sont stockées dans un lieu garantissant leur sécurité et leur disponibilité.
Enfin, la commission relève que les données relatives à une infraction ne sont pas chiffrées. Sur ce point, elle prend acte de l'absence d'enregistrement dans le traitement projeté du motif de la condamnation ainsi que des mesures mises en œuvre par le ministère afin d'assurer la sécurité de ces données.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.