La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet d'arrêté autorisant la création d'un traitement automatisé dénommé « ICS » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des douanes communautaire, notamment ses articles 36 bis et 36 ter ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-I (1°) et 27-II (4°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 24 octobre 2005 portant création d'un traitement automatisé d'informations nominatives relatif à l'ouverture d'un site internet dénommé Prodouane ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
Le ministre des finances et des comptes publics a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis portant sur un projet d'arrêté autorisant la création d'un traitement automatisé dénommé « lmport Control System » (ICS).
Ce traitement, mis en œuvre par la direction générale des douanes et droits indirects (DGDDI), doit permettre la déclaration, par le biais d'une déclaration sommaire d'entrée transmise par voie dématérialisée, des marchandises introduites sur le territoire douanier de la Communauté européenne. Le traitement projeté comporte un téléservice, qui comprend des données à caractère personnel parmi lesquelles figure un identifiant des personnes physiques. Selon le ministère, il relève des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur la finalité du traitement :
L'article 36 bis du code des douanes communautaires (CCC) prévoit que « les marchandises introduites sur le territoire douanier de la Communauté européenne font l'objet d'une déclaration sommaire auprès du bureau de douane d'entrée, à l'exception des marchandises se trouvant à bord de moyens de transport qui ne font que transiter, sans interruption, par les eaux territoriales ou l'espace aérien du territoire douanier ».
L'article 36 ter du CDC précise que la déclaration sommaire d'entrée est adressée par voie informatique et que, dans des circonstances exceptionnelles et sous certaines conditions, les autorités douanières peuvent accepter des déclarations sommaires sur support papier. L'examen des déclarations ainsi transmises doit faire l'objet d'une analyse de risque à des fins de sûreté et de sécurité.
Dans ce contexte, l'article 2 du projet d'arrêté énonce que : « Le traitement ICS a pour finalité la sécurisation des flux de marchandises entrant sur le territoire de l'Union européenne par la transmission de déclarations sommaires d'entrée ou de déclarations sommaires de dépôt temporaires anticipées par l'opérateur avant le chargement ou à l'arrivée des marchandises sur ledit territoire aux autorités douanières qui procèdent à une analyse de risque à des fins de sûreté et de sécurité. »
Ce même article précise également que le traitement projeté reposera sur la mise en œuvre de deux téléservices :
- le télésevice dénommé Automate de sûreté (AS) pour la transmission par les opérateurs des déclarations sommaires d'entrée (ENS) et des déclarations sommaires de dépôts temporaires anticipées (DSDT anticipées) ;
- le téléservice dénommé DELTA Présentation (DELTA P) pour les notifications d'arrivée et les notifications de déchargement.
Interrogé sur l'analyse de risque dont il est question, le ministère a indiqué que le traitement projeté doit être utilisé à des fins de ciblage ou de contrôle immédiat. En pratique, il s'agira pour les agents des cellules de levée de doutes de la DGDDI d'analyser les différents champs des ENS et des DSDT anticipées, afin de les comparer à des tables et contrôles logarithmiques prédéfinis au niveau communautaire, de confirmer ou d'infirmer l'existence d'un risque supposé et de déterminer la suite de l'action douanière, conformément à la réglementation européenne en la matière.
La commission relève que l'objet même du traitement est de permettre le dépôt des ENS et des DSDT anticipées pour que les données qui y sont enregistrées fassent l'objet d'une analyse de risque à des fins de sûreté et de sécurité. Cette analyse, qui vise à comparer les champs de données des déclarations ainsi transmises à différentes tables de correspondance dont les critères sont établis au niveau communautaire, doit ainsi permettre de déterminer les marchandises pouvant présenter des risques sûreté-sécurité (produits chimiques, explosifs, armes, substances radioactives, bactériologiques, etc.) et in fine, harmoniser les contrôles douaniers réalisés. Elle estime dès lors que la mise en œuvre du traitement ICS relève également des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée, ce qui, à l'exception des visas du projet d'arrêté, ne modifie pas les conditions dans lesquels il sera mis en œuvre.
La commission prend acte que, à sa demande, l'article 2 du projet d'arrêté sera complété afin d'indiquer expressément que le traitement projeté a vocation à être utilisé à des fins de ciblage et, le cas échéant, pour effectuer des contrôles immédiats.
Enfin, elle prend acte de l'ajout d'une finalité statistique dans le cadre de la mise en œuvre des traitements projetés.
Au regard de ce qui précède, la commission estime que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 3 du projet d'arrêté énumère les données à caractère personnel enregistrées dans le traitement projeté, à savoir :
- des données d'identification relatives au responsable du dépôt de l'ENS, à l'expéditeur et au destinataire des marchandises ;
- des données relatives à des informations d'ordre économique et financier, à savoir le code du mode de paiement des frais de transport.
Parmi les données d'identification figure l'identifiant EORI (Economie Operator Registratlon and Identification), la commission rappelle qu'il s'agit d'un numéro unique d'identifiant communautaire à utiliser pour les opérateurs économiques devant accomplir des formalités douanières, conformément à la réglementation communautaire en la matière. Ce numéro, composé du code pays et du SIRET ou du SIREN, est attribué via le portail des téléprocédures douanières Prodouane, lequel a déjà été examiné par la commission. Il se rapporte au transporteur ou son représentant ainsi qu'au destinataire de la marchandise.
Le numéro d'identification unique délivré dans un pays tiers reconnu par l'Union européenne dans le cadre des accords de reconnaissance mutuelle des opérateurs économiques agréés (OEA) se compose de l'identifiant du pays tiers fondé ainsi que d'un identifiant unique de quinze caractères alphanumériques maximum. Il se rapporte à l'expéditeur.
La commission prend acte que le « numéro de référence commerciale » correspond au « numéro de référence unique de l'envoi » et que le projet d'arrêté sera modifié afin de ne plus faire référence qu'au numéro de référence unique de l'envoi.
Ces données, qui sont expressément mentionnées dans le cadre des dispositions d'applications du code des douanes communautaires, sont nécessaires à la mise en œuvre du traitement projeté.
La commission considère que les données et informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet d'arrêté prévoit que les données sont conservées dans le traitement automatisé pendant deux cents jours à compter de la date de dépôt de l'ENS lorsque l'arrivée du moyen de transport n'a pas été notifiée aux douanes ou que les marchandises n'ont pas été présentées en douane.
La commission relève que cette durée correspond à la durée à l'issue de laquelle la déclaration sommaire d'entrée est réputée ne pas avoir été déposée, en application des dispositions de l'article 183 (9°) des dispositions d'application du code des douanes communautaire.
Ce même article prévoit que les données sont conservées quatre ans à compter de leur enregistrement lorsque l'arrivée du moyen de transport a été notifiée aux douanes ou que les marchandises ont été présentées en douane. Le ministère a indiqué que cette durée correspond aux délais de prescription applicables en matière douanière.
La commission rappelle néanmoins que la durée de conservation des données enregistrées dans le traitement ICS ne peut être établie qu'au regard des finalités poursuivies par ce dernier. Or. le traitement projeté a pour seules finalités la transmission de déclarations sommaires d'entrées ou de déclarations sommaires de dépôt temporaires anticipées par l'opérateur avant le chargement ou à l'arrivée des marchandises sur le territoire des autorités douanières, ce qui ne justifie pas de conserver des données, en base active, pendant quatre ans.
Elle estime dès lors qu'il revient au ministère, en application de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, de déterminer des modalités de conservation distinctes des données figurant dans le traitement ICS, en différenciant la durée de conservation en base active dans les téléservices projetés, qui doit être limitée à la durée strictement nécessaire à la réalisation des finalités poursuivies par ce traitement, de celle applicable aux données stockées en base inactive à des fins probatoires ou de gestion des archives.
Enfin, la commission prend acte que, à l'expiration de ces durées, les données sont définitivement effacées.
Sur les destinataires des données :
L'article 5 du projet d'arrêté est relatif aux destinataires des données et énumère les personnels qui, à raison de leurs attributions et dans la limite du besoin d'en connaître, ont un accès direct aux données contenues dans le traitement projeté.
La commission relève que ce traitement est exclusivement utilisé par les agents de la DGDDI individuellement désignés et spécialement habilités à cet effet. Elle prend acte que, à sa demande, le projet d'arrêté sera complété sur ce point.
La commission considère que ces destinataires présentent un intérêt légitime à connaître des données contenues dans le traitement ICS.
Sur les droits des personnes :
Les personnes concernées par le traitement sont informées par le biais de mentions spécifiques sur le site intemet à partir duquel sont accessibles les téléservices, conformes aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
L'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent auprès du bureau E3 de la DGDDI.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière.
Sur la sécurité des données et la traçabilité des actions :
La commission rappelle tout d'abord que le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Elle rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
Au niveau des infrastructures, le traitement fait appel à des lignes dédiées de transport de données et à des réseaux cloisonnés. En complément, la commission recommande de généraliser le chiffrement des flux de données internes et externes, des bases de données et des sauvegardes.
L'authentification pour accéder au traitement est mise en œuvre par des certificats sur carte à puce concernant les agents des douanes et par des certificats logiciels concernant la connexion des prestataires et des opérateurs.
Des profils d'habilitation spécifiques sont prévus pour les agents des douanes afin de gérer les accès aux données en tant que de besoin. La commission recommande que les permissions d'accès soient attribuées pour une durée déterminée, après validation hiérarchique, qu'elles soient supprimées pour tout utilisateur n'étant plus habilité et qu'une revue globale des habilitations soit opérée régulièrement.
Concernant la sécurisation des flux d'informations entre un prestataire de connexion agréé par les douanes et un opérateur client, la commission recommande qu'elle soit encadrée par une charte spécifique, signée par les deux parties et validée par le responsable de traitement.
Elle invite par ailleurs ce dernier à porter une attention particulière aux relations contractuelles avec le prestataire de connexion afin de s'assurer de l'effectivité des garanties offertes par celui-ci en matière de sécurité des données.
Une journalisation est mise en œuvre dans l'application destinée aux agents des douanes, des traces « événement/acteur » étant associées aux dossiers et conservées dans les mêmes conditions de sécurité que ceux-ci. La traçabilité des flux avec les opérateurs est également assurée, à travers la conservation de l'ensemble des messages échangés. La commission demande néanmoins que les opérations de journalisation réalisées ainsi que la durée de conservation des enregistrements réalisés soient expressément mentionnées dans le projet d'arrêté.
En complément de ces mesures, la commission recommande de mettre en œuvre une architecture centralisée de journalisation, dotée de moyens spécifiques pour assurer l'intégrité des traces, et de réaliser un contrôle des traces de manière automatique afin de détecter les comportements anormaux et d'effectuer une levée de doute en cas d'alertes.
La commission relève qu'un module d'analyse de données permet une exploitation statistique. Elle recommande que l'outil de requête ne permette que des restitutions anonymes et réduise également le risque de réidentification des personnes en limitant les interrogations ciblées et le niveau de détail des rapports.
Des sauvegardes quotidiennes sont réalisées et sont stockées dans un endroit garantissant leur sécurité et leur disponibilité. Les données de production sont définitivement effacées à l'issue des durées de conservation.
Afin de garantir la mise en œuvre des mesures de sécurité dans la durée, la commission recommande qu'elles soient matérialisées dans une politique de sécurité propre au traitement et fassent l'objet de contrôles et de révisions réguliers au vu des évolutions du traitement, de son usage et de son environnement.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.