La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de traitements de gestion électronique des documents des services de renseignement ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du patrimoine, notamment son article L. 212-3 ;
Vu le code de procédure pénale, notamment son article 777-3 ;
Vu le code de la sécurité intérieure, notamment son article L. 111-4 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26 (I, 1°), 26-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2013-728 du 12 août 2013 modifié portant organisation de l'administration centrale du ministère de l'intérieur et du ministère des outre-mer, notamment son article 21 ;
Vu l'arrêté du 6 juin 2006 modifié portant règlement général d'emploi de la police nationale, notamment son article 2121-9 ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur d'un projet de décret-cadre relatif à la mise en œuvre de traitements permettant la gestion électronique des documents du renseignement (GED) au travers de la constitution d'une base documentaire nationale.
Les traitements mis en œuvre dans ce cadre doivent permettre le classement, le partage et la recherche, au sein de cette base d'informations, des documents produits (notes de renseignement) ou utilisés (tels que les articles de presse, les déclarations publiques) par les services du renseignement territorial de la direction centrale de la sécurité publique (DCSP) et de la direction du renseignement de la préfecture de police (DRPP). A ce titre, il s'agit d'un traitement intéressant la sécurité publique, au sens des dispositions de l'article 26 (I, 1°) de la loi du 6 janvier 1978 modifiée.
Cette base de données nationale constitue un outil métier permettant l'indexation de différents documents émis par ces services. Ces documents peuvent contenir des données à caractère personnel, y compris des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Il y a dès lors lieu de faire application des dispositions de l'article 26-II de cette même loi qui soumettent la création de tels traitements à un décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Le décret projeté a en outre vocation à constituer un acte réglementaire unique au sens de l'article 26-IV de la loi du 6 janvier 1978 modifiée. Si la commission observe que le ministère entend ainsi simplifier la déclaration de ces traitements, elle s'interroge néanmoins sur l'opportunité de faire application de cette disposition, qui fixe un cadre général. Dans la mesure où le traitement propre à la DRPP serait, par hypothèse, très voisin de celui de la DCSP, l'objectif recherché pourrait tout aussi bien être atteint par une instruction accélérée de la commission.
Sur la finalité du traitement :
L'article 1er du projet de décret indique que les traitements projetés doivent permettre la gestion électronique des documents afin d'améliorer et de faciliter la production, la diffusion et le partage des informations rassemblées et analysées par les différents services relevant du service central du renseignement territorial de la DCSP ainsi que par la DRPP.
Cet outil, qui constitue une base documentaire interne, doit permettre à ces services d'effectuer, à partir des documents intégrés à cette base, des analyses exhaustives et documentées des phénomènes observés. Il doit également permettre l'élaboration de statistiques afin de contrôler l'activité des services ou permettre la gestion globale des services utilisateurs (évaluation du volume de la production en fonction, par exemple, des thématiques retenues, des périodes ou de chacun de ces services).
Dans la mesure où seuls les services précités, et non l'ensemble des services de renseignement, pourront mettre en œuvre les traitements permettant la gestion électronique des documents, la commission demande que l'intitulé du projet de décret soit précisé afin d'écarter toute ambiguïté quant aux services concernés.
Les documents amenés à être indexés dans cette base documentaire peuvent contenir des données à caractère personnel collectées au cours de l'exécution par les services concernés de leur mission de recherche, de centralisation et d'analyse des renseignements intéressant le Gouvernement et les représentants de l'Etat dans les collectivités territoriales de la République, dans les domaines institutionnel, économique et social ainsi que dans tous les domaines susceptibles d'intéresser l'ordre public, et notamment les phénomènes de violence.
Interrogé sur ce point, le ministère a précisé que, s'agissant de la DCSP, la collecte de ces données est uniquement destinée à informer le Gouvernement et les représentants de l'Etat dans le cadre des missions définies par le décret du 12 août 2013 susvisé. Concernant la DRPP, la commission relève que celle-ci est également habilitée à collecter de telles données, conformément à ses missions telles que prévues par l'arrêté du 6 juin 2006 susvisé.
Ainsi, les traitements réalisés à partir de ces documents permettront d'accéder à des données non nominatives portant sur l'actualité politique et socio-économique ainsi qu'à des données à caractère personnel concernant des acteurs de la vie sociale et sociétale, associative, commerciale et institutionnelle dès lors que leur activité entre dans le domaine de compétence du renseignement territorial.
La création d'une base documentaire des services de renseignement a vocation à constituer le principal outil de documentation de ces services. Cette base sera alimentée des différentes productions de ces derniers, et notamment des notes d'information, brèves, études, documents de travail, rapports d'institutions ou coupures de presse.
La commission relève dès lors qu'il ne s'agit pas de fichiers de renseignement ni de fichiers utilisés dans le cadre d'enquêtes judiciaires ou administratives. En particulier, elle prend acte que les différents documents indexés dans ces traitements n'ont pas vocation à être utilisés pour l'exécution des enquêtes administratives prévues à l'article L. 114-1 du code de la sécurité intérieure et qu'aucune interconnexion avec un autre traitement de données à caractère personnel n'est mise en œuvre.
Compte tenu de ces éléments, la commission considère que les finalités poursuivies sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet de décret prévoit que peuvent être enregistrées dans le système projeté les données à caractère personnel suivantes, figurant dans les différents documents qui sont indexés dans cette base documentaire :
- le motif de l'enregistrement du document : objet et thématique, service, rédacteur ;
- les informations ayant trait à l'état civil, à la nationalité, à la situation familiale et à la profession, les adresses physiques, numéros de téléphone et adresses électroniques, le lieu de naissance, les lieux de résidence et les zones d'activité ;
- les titres d'identité ;
- l'immatriculation des véhicules ;
- les informations financières et patrimoniales ;
- les agissements susceptibles de recevoir une qualification pénale.
S'agissant de cette dernière catégorie de données, la commission prend acte que celles-ci ne feront référence qu'à des faits et non à des condamnations pénales, en application de l'article 777-3 du code de procédure pénale. Ces données ne seront pas extraites du casier judiciaire dès lors que les traitements en cause ne seront pas interconnectés, rapprochés ou mis en relation avec aucun autre fichier.
La commission relève que peuvent également être amenés à figurer dans les documents indexés les « signes physiques particuliers et objectifs » ainsi que les « activités publiques, comportement et déplacements ».
Elle prend acte des précisions apportées par le ministère selon lesquelles les premières informations sont susceptibles de renvoyer à une description objective des personnes en l'absence de photographie et sans utilisation de références ethno-raciale.
S'agissant de la deuxième catégorie de données visée, la commission prend acte que celle-ci renvoie aux données relatives à la conduite de certains individus à l'occasion de manifestations publiques ou encore à celles relatives au réseau relationnel des personnes concernées et aux lieux qu'elles fréquentent habituellement.
Des photographies peuvent en outre apparaître dans ces documents. Le ministère de l'intérieur a précisé que celles-ci, qui peuvent concerner tout type de sujets en lien avec l'ordre public, devaient permettre une meilleure information des services concernés. La commission prend acte que les traitements réalisés ne comportent pas de dispositif de reconnaissance faciale à partir des photographies du visage des personnes qui pourraient être collectées dans ce cadre.
L'article 3 du projet de décret énonce que des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée pourront figurer au sein des documents indexés à la condition que leur collecte soit indispensable à la réalisation de la mission de renseignement territorial et dans les seuls cas où ces données se rapportent à des signes physiques particuliers et objectifs comme éléments de signalement des personnes ou à des activités politiques, philosophiques, religieuses ou syndicales. Il est par ailleurs expressément interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir de ces seules données.
Enfin, la commission relève que des données relatives à des mineurs sont susceptibles de figurer dans les traitements réalisés par les agents des services concernés dès lors qu'elles apparaissent dans l'un des documents indexés dans cet outil de documentation. Si elle prend acte des justifications apportées par le ministère selon lesquelles il n'est pas techniquement possible d'effectuer un traitement spécifique à partir de cette catégorie particulière de données, elle considère qu'une attention particulière devra être apportée lors de l'enregistrement des documents contenant de telles données. Un rappel sur ce point devrait être fait aux différents utilisateurs du système.
En tout état de cause, elle prend acte des précisions apportées par le ministère selon lesquelles les seules données brutes saisies dans le système projeté concerneront les documents eux-mêmes, à savoir les notices de documents comportant uniquement des métadonnées telles que la date de la note réalisée par l'agent concerné et de l'événement décrit, le service d'origine du document et la thématique à laquelle le document se rattache dans l'arborescence qui sera définitivement retenue. A cet égard, le ministère a indiqué, d'une part, que cette arborescence reprendra les domaines de compétence dévolus au renseignement territorial et, d'autre part, que les recherches effectuées à partir du moteur de recherche de la base documentaire projetée permettront uniquement de faire remonter les documents indexés à partir de cette arborescence, ce dont la commission prend acte. Il résulte de ce qui précède que les informations et données contenues dans ces documents feront systématiquement l'objet d'une analyse par les agents du renseignement territorial.
Compte tenu de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet de décret énonce que les données et informations contenues dans le système projeté sont conservées pendant vingt ans à compter de leur enregistrement.
Interrogé sur ce point, le ministère de l'intérieur a indiqué que cette durée de conservation, qui correspond à « une génération », doit permettre d'avoir une vision utile des différentes tendances et des mouvements notamment susceptibles de troubler l'ordre public et de recouper les informations collectées avec des informations plus anciennes.
Si la commission n'entend pas remettre en cause les justifications apportées par le ministère, elle rappelle qu'il s'agit d'une durée de conservation maximale et que le principe d'exactitude et de mise à jour des données constitue une des conditions de licéité des traitements de données personnelles et une garantie essentielle pour les personnes concernées. A cet égard, la commission prend acte que les documents indexés ayant perdu toute utilité ou comportant des informations erronées pourront également être supprimés manuellement avant cette échéance. Elle demande néanmoins que l'article 4 du projet de décret soit précisé sur ce point.
La commission relève qu'il est prévu qu'une procédure d'effacement automatique des données soit mise en place à l'issue de cette durée et ce, sans préjudice des dispositions de l'article L. 212-3 du code du patrimoine.
Sous ces réserves, elle considère que les données collectées sont conservées pendant une durée qui n'excède pas la durée nécessaire pour lesquelles elles sont collectées et traitées, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 5 du projet de décret est relatif aux destinataires des données et énumère les personnels, individuellement désignés et spécialement habilités, qui auront un accès direct aux données contenues dans les traitements projetés.
La commission relève que ces traitements seront exclusivement utilisés par :
- les agents de la police nationale et les militaires de la gendarmerie nationale affectés dans les services du renseignement territorial de la direction centrale de la sécurité publique (DCSP) ;
- les agents de la police nationale affectés à la direction du renseignement de la préfecture de police (DRPP).
A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles le système projeté ne concerne, à l'heure actuelle, que les services du renseignement territorial de la DCSP. Dès lors, si cet outil a vocation à être ultérieurement adapté au profit de la DRPP, il sera indépendant de celui dont bénéficieront les agents de la DCSP.
Le ministère a indiqué que la base documentaire projetée ayant vocation à constituer le principal outil de travail et l'unique base de documents partagée au sein de chacun de ces services, l'ensemble des fonctionnaires des services du renseignement territorial pourra y accéder afin de l'alimenter. Il a également été indiqué que la section renseignement territoriale de l'état-major de la DCSP et le service central du renseignement territorial auront en outre la possibilité de modifier la place des documents indexés dans l'arborescence.
Elle observe que, contrairement à ce qui avait été indiqué initialement, l'ensemble de ces agents, qui concourent à l'exercice des missions de renseignement et d'information confiées aux forces de sécurité intérieure, bénéficiera, de manière indifférenciée, de la possibilité de consulter et d'alimenter la base documentaire projetée. Sur ce point, le ministère a en effet indiqué que la polyvalence des agents concernés ainsi que les modalités de contrôle mises en place (traces applicatives, contrôle du service central du renseignement territorial [SCRT] et contrôle hiérarchique réalisé au sein de chaque service) doivent permettre d'assurer un accès pertinent, à la fois en alimentation et en consultation aux documents indexés.
En revanche, le ministère a indiqué que le profil administrateur, qui permettra d'effectuer des suppressions et des évolutions dans l'arborescence, d'être destinataire d'alertes lors de l'insertion dans la base d'un document et d'avoir une visibilité sur les traces applicatives, ne sera délivré qu'à la section documentation de la division documentation et veille technique du SCRT, au chef de cette division, à l'adjoint au chef de la division ainsi qu'aux chefs et adjoints au chef du SCRT. Le ministère a ainsi précisé que seule cette alerte sera effectivement adressée aux services (géographiquement) ou aux divisions (thématiquement) spécifiquement concernés par les éléments décrits dans la notice du document.
Si la commission prend acte des précisions apportées par le ministère, elle considère que l'absence de restriction des habilitations des agents concernés en fonction de critères géographiques ou thématiques particuliers implique d'autant plus qu'une attention particulière soit portée aux mesures de sécurité et de traçabilité mises en œuvre.
Le ministère a enfin précisé qu'aucun individu extérieur ne sera destinataire des données contenues dans cette base, dès lors qu'elle ne constitue qu'un outil de travail utilisé par les fonctionnaires habilités du renseignement territorial et non un outil de surveillance des personnes.
Sous ces réserves, la commission considère que les finalités des traitements mis en œuvre justifient que l'ensemble de ces destinataires puissent avoir accès aux données contenues dans les documents indexés dans le cadre de leurs missions et habilitations respectives.
Sur les droits des personnes concernées :
En application de l'article 32-V de la loi du 6 janvier 1978 modifiée, le droit d'information des personnes concernées est écarté, une telle limitation étant en effet nécessaire au respect des fins poursuivies par les traitements projetés.
Les droits d'accès et de rectification s'exercent de manière indirecte auprès de la commission, selon la procédure prévue à l'article 41 de cette même loi.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas aux traitements autorisés par le projet de décret.
Au regard de la finalité poursuivie par les traitements projetés et de la spécificité des missions des services habilités à les mettre en œuvre, l'ensemble de ces dispositions n'appelle pas d'observation particulière.
Sur la sécurité des données et la traçabilité des actions :
Les traitements projetés reposent sur une application de gestion électronique de documents, uniquement accessible depuis le réseau informatique sécurisé du ministère de l'intérieur.
Les autorisations d'accès sont gérées via le système CHEOPS-NG (Circulation hiérarchisée des enregistrements opérationnels de police sécurisés).
Les communications entre le poste client et l'application sont sécurisées au moyen du protocole SSL.
Les habilitations d'accès aux documents sont fonction de la qualité des agents concernés, dans les conditions précédemment décrites. Ces habilitations sont délivrées par le responsable de la sécurité des systèmes d'information (RSSI) du ministère de l'intérieur.
Une traçabilité des connexions est mise en œuvre via le système CHEOPS-NG ainsi qu'une traçabilité des accès au niveau de l'application elle-même. Les journaux ainsi générés sont conservés pendant une durée de 5 ans.
Enfin, le traitement met en œuvre une procédure d'effacement automatique.
Au regard de ces éléments, la commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin.