La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'économie, de l'industrie et du numérique d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé Enregistrement et gestion informatique des dossiers à l'exportation (Egide) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (CE) n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-I et 27-II (4°) ;
Vu le décret n° 2001-1192 du 13 décembre 2001 modifié relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2010-292 du 18 mars 2010 modifié relatif aux procédures d'autorisation d'exportation, de transfert, de courtage et de transit de biens et technologies à double usage et portant transfert de compétences de la direction générale des douanes et droits indirects à la direction générale de la compétitivité, de l'industrie et des services ;
Vu l'arrêté du 13 décembre 2001 modifié relatif au contrôle à l'exportation vers les payas tiers et au transfert vers les Etats membres de la Communauté européenne de biens et technologies à double usage ;
Vu l'arrêté du 18 mars 2010 modifié portant création d'un service à compétence nationale dénommé « service des biens à double usage » ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le ministre de l'économie, de l'industrie et du numérique a saisi la Commission nationale de l'informatique et des libertés d'une demande d'avis portant sur un projet d'arrêté portant création d'un traitement automatisé de données à caractère personnel dénommé Enregistrement et gestion informatique des dossiers à l'exportation (Egide).
Ce traitement, mis en œuvre par la direction générale des entreprises (DGE), vise à faciliter l'instruction des demandes d'autorisation d'exportation des biens dits à « double usage » (BDU) déposées par les entreprises auprès du service des biens à double usage (SBDU) de la DGE. Le traitement projeté est mis en œuvre par l'Etat afin de lutter contre l'accumulation d'armes dans certaines régions du monde et la prolifération de moyens de destruction massive et de prévenir la commission d'infractions pénales. Selon le ministère, il relève des dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Le règlement n° 428/2009 du Conseil de l'Union européenne du 5 mai 2009 susvisé instaure un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit des biens à double usage. L'article 2 de ce règlement définit les BDU comme « les produits, y compris logiciels, et les technologies susceptibles d'avoir une utilisation tant civile que militaire ». Ces produits incluent par exemple « tous les biens qui peuvent à la fois être utilisés à des fins non explosives et entrer de manière quelconque dans la fabrication d'armes nucléaires ou d'autres dispositifs nucléaires explosifs ».
L'exportation de ces biens est soumise à autorisation, laquelle est valable dans toute l'Union européenne, conformément à la réglementation européenne en la matière.
Dans ce contexte, l'article 1er du projet d'arrêté prévoit que le traitement Egide a pour finalités :
« - de permettre aux exportateurs de biens à double usage de déposer des demandes d'autorisation d'exportation en mode dématérialisé ;
« - de permettre aux administrations chargées du contrôle de l'exportation des biens à double usage d'instruire ces demandes ».
Le ministère a indiqué que le contrôle des exportations des BDU est mis en œuvre par l'Etat afin de lutter contre l'accumulation déstabilisante d'armes dans certaines régions du monde et à lutter contre la prolifération des moyens de destruction massive. L'instruction des demandes d'autorisation est effectuée par le service des biens à double usage, créé par l'arrêté du 18 mars 2010 susvisé, et a pour but de déterminer si le projet d'exportation peut être réalisé en prenant en considération les objectifs du cadre réglementaire du contrôle des BDU, les engagements internationaux et la politique extérieure de la France, ainsi que les caractéristiques économiques et industrielles du projet d'exportation.
Plus précisément, l'instruction d'une demande d'autorisation s'attache à déterminer :
- si l'opération d'exportation envisagée nécessite une autorisation d'exportation BDU et si la demande d'autorisation examinée est cohérente avec l'opération envisagée ;
- le niveau de sensibilité de l'exportation en fonction des caractéristiques techniques du produit ;
- le niveau de sensibilité du pays de destination du projet d'exportation étudié ;
- le niveau de sensibilité de l'exportation en fonction de l'identité et des activités du destinataire et de l'utilisateur final.
En outre, le traitement Egide comporte un téléservice permettant aux exportateurs de déposer des demandes de licences d'exportation de manière dématérialisée. L'accès à ce module s'effectue avec un certificat électronique une fois l'inscription auprès des services concernés effectuée. La commission estime dès lors que la mise en œuvre du traitement Egide relève également des dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Enfin, la commission prend acte de l'ajout d'une finalité statistique au traitement projeté.
Au regard de ce qui précède, la commission estime que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
Les catégories de données à caractère personnel et les informations enregistrées dans le traitement Egide, définies en annexe au projet d'arrêté, sont relatives :
- au dirigeant de l'entreprise exportatrice et aux utilisateurs du traitement au sein de l'entreprise ;
- au destinataire et à l'utilisateur final du bien (dès lors qu'il diffère du destinataire) ;
- à l'exportation ou au projet d'exportation faisant l'objet d'une demande d'autorisation.
Si ces deux dernières catégories de données n'appellent pas d'observation particulière de la commission, celle-ci relève que, parmi les données relatives aux personnes physiques, figurent l'information sur la fonction occupée dans l'entreprise et la date d'entrée dans l'entreprise. Elle prend acte que ces données doivent permettre au SBDU de connaître la qualité de leur interlocuteur au sein de l'entreprise et sa capacité à engager l'entreprise si des demandes de précisions étaient adressées.
La commission prend acte que s'agissant des « utilisateurs du traitement au sein de l'entreprise », seuls les personnels de l'entreprise désignés par le dirigeant ou son représentant et faisant l'objet d'une habilitation et d'une désignation individuelles peuvent accéder à l'application Egide.
Les données collectées doivent ainsi permettre de vérifier les informations transmises et leur fiabilité dans le cadre de l'examen des demandes d'autorisation d'exportation de biens à double usage adressées au SBDU.
La commission considère que les données et informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données à caractère personnel et les informations collectées sont conservées pour une durée de dix ans, à compter de l'enregistrement des données dans le traitement et non du contrôle réalisé par les administrations compétentes.
Le ministère a précisé que cette durée correspond au cycle de déroulement d'un projet industriel complet dans les domaines spatial, aéronautique et nucléaire et qu'il s'agit de la durée nécessaire au contrôle de l'effectivité et de la cohérence des décisions prises en matière d'exportation des BDU.
La commission considère que la durée de conservation des données enregistrées dans le traitement Egide correspond aux finalités poursuivies par ce dernier.
Enfin, elle prend acte que, à l'expiration de ces durées, les données sont définitivement effacées. La commission rappelle qu'il revient au ministère de s'assurer que cette suppression intervient de manière sécurisée.
Sur les destinataires des données :
L'article 4 du projet d'arrêté énumère les agents qui, à raison de leurs attributions et dans la limite du besoin d'en connaître, accèdent à la totalité ou à une partie des données et informations contenues dans le traitement projeté.
La commission relève que ce traitement est exclusivement utilisé par le chef du service de l'industrie de la DGE, son adjoint ainsi que les agents des administrations chargées du contrôle de l'exportation des biens à double usage énumérées à l'article 4 du projet d'arrêté. Elle prend acte que, à sa demande, ce même article sera modifié afin d'indiquer que ces agents font l'objet d'une habilitation individuelle.
La commission relève également que cet article sera précisé afin d'indiquer que seuls les agents de la direction générale des douanes et droits indirects chargés de l'application de la réglementation des biens à double usage et du contrôle de l'exportation des biens soumis à cette réglementation, au moment du dédouanement ou a posteriori, ont accès aux données contenues dans le traitement projeté.
La commission considère que ces destinataires présentent un intérêt légitime à connaître des données contenues dans le traitement Egide.
Sur les droits des personnes :
Les personnes concernées par le traitement sont informées par le biais d'une mention spécifique figurant sur la page d'accueil de l'application Egide et, pour les exportateurs n'ayant pas accès à cette application, par le biais d'une mention figurant sur le courrier de réponse qui leur est adressé à la suite de leur demande d'autorisation d'exportation.
L'article 6 du projet d'arrêté prévoit que le droit d'accès aux données s'exerce de manière indirecte auprès de la Commission nationale de l'informatique et des libertés. La commission prend acte que le ministère entend ainsi bénéficier de la dérogation prévue à l'article 42 de la loi du 6 janvier 1978 modifiée pour les traitements mis en œuvre par les administrations publiques qui ont pour mission de prévenir, rechercher ou constater des infractions.
En outre, elle prend acte que, à sa demande, le projet d'arrêté sera modifié pour comporter une disposition relative au droit de rectification des personnes concernées.
Le droit d'opposition prévu par l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
Le traitement Egide est mis en œuvre sur les réseaux ADER/RIE du ministère des finances et des comptes publics. L'architecture réseau prévoit une première base de données hébergée dans une zone dédiée pour les accès depuis internet, ceci afin de cloisonner les données déclarées de celles d'ores et déjà stockées dans le traitement, lesquelles sont conservées dans une seconde base de données.
Les transmissions sont chiffrées au moyen du protocole HTTPS. Les données sont chiffrées en base lors de leur dépôt au niveau du portail destiné aux déclarations, ce qui apporte une garantie dans l'éventualité d'une compromission du portail. Ces deux mesures garantissent la confidentialité des données jusqu'à leur intégration dans la seconde base de données du traitement.
L'authentification des utilisateurs se fait au moyen d'un dispositif contenant un certificat conforme au référentiel général de sécurité ; il s'agit d'une authentification forte. Plusieurs profils d'habilitation sont prévus au sein du traitement afin de restreindre les fonctionnalités et les accès aux données autant que de besoin.
Une traçabilité complète des connexions et des accès aux données est prévue.
Enfin, la commission rappelle que, dans la mesure où le traitement projeté comporte un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Il revient ainsi au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice. Elle prend acte des précisions du ministère selon lequel cette attestation sera publiée sur la page web à partir de laquelle est accessible le traitement Egide.
Sous réserve des précédentes observations, la commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.