Articles

Article AUTONOME (Délibération n° 2016-388 du 8 décembre 2016 portant avis sur un projet de décret portant application de l'article L. 4123-9-1 du code de la défense)

Article AUTONOME (Délibération n° 2016-388 du 8 décembre 2016 portant avis sur un projet de décret portant application de l'article L. 4123-9-1 du code de la défense)


(SAISINE NO AV 16023435)


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la défense d'une demande d'avis concernant un projet de décret portant application de l'article L. 4123-9-1 du code de la défense ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la défense, notamment son article L. 4123-9-1 ; Vu le code pénal, notamment ses articles 226-16 et 226-17-1 ;
Vu le code de procédure pénale, notamment son article 230-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 11 (4°, a) ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, notamment son article 117 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis d'un projet de décret portant application de l'article L. 4123-9-1 du code de la défense.
L'article L. 4123-9-1 du code de la défense, qui porte sur la protection des données à caractère personnel relatives à des militaires, a été créé par l'article 117 de la loi n° 2016-731 du 3 juin 2016 susvisée. Il vise à définir des formalités spécifiques et à imposer le respect de prescriptions techniques particulières pour les traitements, automatisés ou non, dont la finalité « est fondée sur la qualité de militaire des personnes qui y figurent ». Il exprime ainsi le souhait du législateur de renforcer la sécurité des données à caractère personnel relatives à des militaires ce qui, au regard des risques particuliers pesant sur ces derniers et leur famille dans le contexte actuel, apparaît légitime à la commission.
Néanmoins, la commission souligne qu'elle n'a pas été consultée sur ces dispositions, alors même que les nouvelles procédures instituées affectent directement ses compétences et les conditions d'exercice de ses missions. Elle le regrette d'autant plus au vu du caractère complexe et inédit du dispositif défini par le législateur.
L'article L. 4123-9-1 du code de la défense prévoit toutefois que ses modalités d'application sont définies par un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. Cet avis, en application de l'article 11 (4°, a) de la loi du 6 janvier 1978 modifiée, devra être publié.
Dans ce contexte, le présent projet de décret, qui vise à insérer dans le code de la défense les articles R. 4123-37-1 à R. 4123-37-7, appelle les observations suivantes de la commission.
Sur la définition des traitements dont la finalité est fondée sur la qualité de militaire des personnes
L'article L. 4123-9-1 du code de la défense concerne l'ensemble des traitements, automatisés ou non, « dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent ».
Le projet de décret précise que les traitements concernés sont ceux qui « dans la mesure où leur finalité l'exige, collectent ou traitent, d'une part, des données professionnelles qui sont propres aux militaires comme notamment leur profession, leur grade, l'identification de leur employeur ou leur adresse professionnelle, et, d'autre part, des données privées comme notamment leur adresse familiale ou la composition de leur famille ».
La commission s'interroge sur les contours exacts de la catégorie de traitements visée. En effet, elle relève que le critère de nécessité de la collecte de données au regard des finalités du traitement constitue une condition de licéité de tout traitement de données à caractère personnel et ne permet dès lors pas de définir les catégories de traitement concernés par ces dispositions. Elle observe en outre que les critères retenus s'agissant de la nature des données enregistrées pourraient concerner un nombre extrêmement important de fichiers, ce qui rendrait, en pratique, les mesures envisagées difficilement applicables.
Selon le ministère de la défense, seuls devront être concernés les traitements pour lesquels la mention de la qualité de militaire ou d'éléments révélant indirectement cette qualité est nécessaire et ne peut pas être remplacée par la mention « agent public ». L'article 117 de la loi n° 2016-731 du 3 juin 2016 prévoit en effet la possibilité, pour les militaires, de demander aux responsables des traitements ne relevant pas du régime prévu par l'article L. 4123-9-1 du code de la défense la suppression de la mention de cette qualité ou son remplacement par celle d'agent public. Ces mêmes dispositions prévoient en outre des sanctions pénales en cas de refus, par les responsables de traitement concernés, de procéder à une telle modification.
Si la commission juge utile la précision apportée par le ministère et prend acte de son intention de modifier la rédaction du projet de décret pour mieux délimiter le champ d'application du dispositif, elle souligne que la révision des dispositions du projet de décret devra permettre de clarifier les critères définissant les traitements concernés, afin d'éviter que tout fichier comportant la mention de la profession et d'une adresse personnelle d'un militaire n'entre dans le champ d'application du dispositif.
Sur l'institution d'une nouvelle procédure d'autorisation prévoyant la consultation pour avis du ministre de la défense
Le I de l'article L. 4123-9-1 du code de la défense prévoit que les traitements dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent sont mis en œuvre après autorisation de la commission, dans les conditions prévues à l'article 25 de la loi du 6 janvier 1978 modifiée.
Sont exclus du champ d'application de cette procédure d'autorisation les traitements mis en œuvre pour le compte de l'Etat, auxquelles les formalités préalables prévues par la loi du 6 janvier 1978 modifiée sont seules applicables, de même que ceux mis en œuvre par une association à but non lucratif, qui doivent faire l'objet d'une déclaration auprès de la commission aux termes du dernier alinéa du I de l'article L. 4123-9-1 du code de la défense.
Sur ce dernier point, le ministère de la défense a précisé que le sens desdites dispositions n'est pas d'écarter l'application des formalités plus contraignantes prévues par la loi du 6 janvier 1978 modifiée, notamment pour les traitements mis en œuvre par ces mêmes organismes qui comporteraient des données relevant des articles 8 ou 9 de la même loi, ce dont la commission prend acte.
L'objectif de la procédure d'autorisation instituée est d'empêcher, aux termes du I de l'article L. 4123-9-1 du code de la défense, que des personnes dont « le comportement ou les agissements sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat » puissent mettre en œuvre des traitements comportant des données personnelles relatives à des militaires.
Pour s'en assurer, il est prévu que la commission, préalablement à la délivrance d'une autorisation, puisse recueillir l'avis du ministre de la défense, qui se prononcerait alors au regard des conclusions d'une enquête administrative sur le comportement et les agissements de la personne concernée.
La commission juge légitime le souhait de mieux encadrer la mise en œuvre de traitements comportant des données à caractère personnel relatives à des militaires, notamment par la réalisation d'enquêtes administratives sur les responsables de traitements. Elle souligne en revanche que les missions qui lui ont été assignées par la loi « Informatique et Libertés » sont d'une nature distincte et poursuivent des finalités indépendantes de celles des enquêtes administratives prévues.
Elle regrette dès lors la confusion susceptible d'être provoquée par le dispositif envisagé qui ne permet pas de distinguer clairement l'appréciation portée sur le comportement et les agissements du responsable de traitement et ses conséquences, qui relève du ministre de la défense, de l'appréciation portée sur les finalités et les conditions de mise en œuvre du traitement, qui relève de la compétence de la commission.
Elle observe à cet égard que, si la saisine du ministre de la défense constitue une simple faculté dans les textes, les termes de l'article L. 4123-9-1 du code de la défense, qui interdisent à la commission d'autoriser un traitement si le comportement ou les agissements du responsable de traitement sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat, imposent de fait à la commission de consulter systématiquement le ministère de la défense. De même, un avis défavorable de ce dernier ne pourrait conduire cette autorité administrative indépendante qu'à adopter une décision de refus d'autorisation de mise en œuvre du traitement concerné.
S'agissant des modalités de cette consultation, la commission relève que le projet de décret prévoit que le ministère de la défense dispose d'un délai de deux mois pour rendre son avis. Elle observe toutefois que, dans l'hypothèse où l'avis sollicité par la commission n'aurait pas été rendu dans ce délai, les dispositions du projet de décret ne prévoient ni la possibilité d'une prorogation dudit délai, ni la formation d'un avis tacite valant rejet ou acceptation, ce qui est susceptible de retarder voire de bloquer la procédure pendante devant la commission. Elle estime dès lors qu'il conviendrait de modifier le projet de décret sur ce point.
En ce qui concerne l'autorisation susceptible d'être adoptée à l'issue de la nouvelle procédure instituée, les dispositions du projet de décret prévoient que la commission peut l'assortir d'une limitation de durée ou de réserves liées notamment au respect des prescriptions techniques mentionnées au IV de l'article L. 4123-9-1 du code de la défense.
La commission prend acte des précisions du ministère de la défense, aux termes desquelles la possibilité de formuler des réserves sur les prescriptions techniques vise à imposer la mise à jour et l'actualisation des mesures de sécurité au regard de l'évolution des risques et des techniques disponibles. Néanmoins, elle estime que cette nouvelle possibilité n'apparaît pas opportune au regard de l'objectif poursuivi par le législateur de renforcement du contrôle de la sécurité mise en œuvre dans le cadre des traitements concernés et que l'absence de conformité aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée devrait uniquement conduire la commission à refuser l'autorisation de mise en œuvre du traitement en cause.
De même, elle estime que la limitation de durée de l'autorisation de la commission n'est pas pertinente en l'absence de critères permettant de justifier d'imposer, aux responsables des traitements dont la finalité est fondée sur la qualité de militaire, le renouvellement régulier d'une demande d'autorisation.
A cet égard, si le ministère de la défense a fait valoir qu'un renouvellement régulier des demandes d'autorisation pourrait être utile, dans certaines circonstances, pour procéder à une nouvelle enquête administrative sur le responsable de traitement, la commission considère qu'une telle considération, bien que légitime, ne saurait justifier un nouvel examen des conditions de mise en œuvre des traitements de données personnelles en cause.
Sur l'obligation d'information pesant sur la commission
Le I de l'article L. 4123-9-1 du code de la défense prévoit que la commission informe le ministre compétent des autorisations délivrées et des déclarations réalisées concernant les traitements dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent, afin de lui permettre d'assurer un suivi particulier des traitements concernés et d'exercer, le cas échéant, le pouvoir de contrôle que le législateur lui a reconnu.
Le projet de décret élargit le champ de cette obligation en prévoyant que la commission informe le ministre de la défense, « dans les meilleurs délais », outre des informations prévues par le législateur, de toute demande d'autorisation ainsi que des réponses négatives qui y seraient apportées.
La commission relève que cette extension dépasse le cadre de l'information du ministre de la défense concernant des traitements effectivement mis en œuvre et dès lors susceptibles de porter atteinte à la sécurité des militaires. Dans la mesure où elle conduirait à imposer à la commission une obligation détachée de ses missions et des objectifs poursuivis par le législateur, elle demande que les dispositions concernées soient supprimées du projet de décret.
Le projet de décret prévoit également des mesures dépassant le cadre prévu par le législateur s'agissant de la communication d'informations relatives à la divulgation ou à l'accès non autorisé à des données des traitements concernés par le nouveau dispositif.
Le V de l'article L. 4123-9-1 du code de la défense prévoit en effet que, « en cas de divulgation ou d'accès non autorisé à des données des traitements […], le responsable du traitement avertit sans délai la Commission nationale de l'informatique et des libertés qui en informe le ministre compétent ». Le projet d'article R. 4123-37-7 du code de la défense prévoit l'obligation pour la commission d'informer « dans les meilleurs délais », le ministre de la défense et le ministre de l'intérieur de toute divulgation ou accès non autorisé à des données desdits traitements, quelles que soient les circonstances dans lesquelles elle a eu accès à ces informations et, par conséquent, que cette information provienne ou non du responsable de traitement.
Cette obligation d'information est justifiée par le souhait de permettre aux services des ministres de la défense et de l'intérieur d'évaluer si « cette divulgation ou cet accès non autorisé est susceptible de représenter un risque pour la sécurité des personnes, la sécurité publique ou la sureté de l'Etat ».
Il est prévu que la commission soit informée des conclusions de cette évaluation et que le responsable de traitement ne puisse informer les personnes concernées par la divulgation ou l'accès non autorisé qu'après accord des ministres.
Sur ce point, la commission rappelle que les enjeux des enquêtes et des évaluations réalisées par les ministères de l'intérieur et de la défense pour assurer la sécurité des personnes sont distincts des principes gouvernant les missions qui lui sont confiées par la loi du 6 janvier 1978 modifiée et que la préservation d'une frontière claire entre ses missions et celles des ministères lui semble indispensable pour l'indépendance et l'efficacité de son action.
A cet égard, elle prend acte que, dans le cadre de la procédure de signalement envisagée, son rôle se limiterait, lorsque l'origine de l'information serait un signalement réalisé par le responsable de traitement lui-même, à recevoir et retransmettre aux ministres concernés l'information en cause, pour leur permettre d'évaluer les risques soulevés par la situation. Elle relève en revanche que cette procédure se distingue fortement des prérogatives qui lui sont attribuées par l'article 34 bis de la loi du 6 janvier 1978 modifiée.
En tout état de cause, dans l'hypothèse où l'information ne proviendrait pas du responsable de traitement lui-même, la commission considère que seuls les divulgations d'informations et accès non autorisés à des traitements constatés dans le cadre d'un contrôle diligenté par la commission dans les conditions prévues par l'article 44 de la loi « Informatique et Libertés » pourraient être communiqués au ministre de la défense, dans la mesure où le législateur a prévu en matière de contrôle un partage de compétence qui oblige à organiser la coopération des services de la commission et du ministre.
Sur le criblage des personnes ayant accès aux données
Le II de l'article L. 4123-9-1 du code de la défense prévoit que le responsable de traitement ne peut autoriser l'accès aux données contenues dans ces traitements qu'aux personnes pour lesquelles l'autorité administrative compétente a émis un avis favorable. Le projet d'article R. 4123-37-3 du code de la défense précise que le ministre compétent est le ministre de la défense.
Cette disposition concerne tant les traitements devant faire l'objet d'une autorisation que ceux mis en œuvre par des associations à but non lucratif et pouvant faire l'objet d'une déclaration. L'exigence d'un avis favorable délivré par le ministre de la défense et conditionnant l'accès aux données n'est écartée, en application du VI de l'article L. 4123-9-1 du code de la défense, que pour les associations mentionnées au 3° du II de l'article 8 de la loi du 6 janvier 1978 modifiée, à savoir les associations à but non lucratif et à caractère religieux, philosophique, politique ou syndical.
C'est au responsable de traitement concerné qu'il reviendrait, postérieurement à l'obtention de l'autorisation délivrée par la commission et après avoir fait l'objet d'une enquête ou après avoir procédé à une déclaration, de saisir le ministère de la défense.
Il est prévu que les personnes mentionnées fassent alors l'objet d'une enquête administrative pouvant donner lieu à la consultation des traitements automatisés de données personnelles mentionnées à l'article 230-6 du code de procédure pénale, c'est-à-dire au traitement des antécédents judiciaires (TAJ). A cet égard, la commission rappelle que cette consultation nécessite une modification des dispositions réglementaires du code de procédure pénale et un avis préalable de la commission. Elle prend acte qu'un projet de décret modifiant l'article R. 40-29 du code de procédure pénale est en cours d'élaboration et lui sera prochainement soumis.
Elle prend également acte, d'une part, que les personnes seront informées de la réalisation de l'enquête administrative et de la possible consultation du TAJ et, d'autre part, que seuls des agents spécialement habilités et individuellement désignés par le ministre de la défense pourront effectuer cette consultation.
Sur l'adoption d'exigences techniques renforcées et le pouvoir de contrôle conféré aux services du ministre de la défense
Le IV de l'article L. 4123-9-1 du code de la défense prévoit que des arrêtés des ministres compétents, pris après avis de la commission, « peuvent fixer des prescriptions techniques auxquelles doivent se conformer les traitements mentionnés » dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent.
Le projet de décret précise que ces prescriptions, fixées par arrêtés conjoints du ministre de la défense et du ministre de l'intérieur, « permettent d'assurer un niveau de sécurité adapté notamment par :


- la mise en œuvre de moyens permettant de garantir la confidentialité des données personnelles des militaires ;
- la mise en œuvre de moyens permettant de garantir le contrôle et l'imputabilité des accès aux systèmes et aux services de traitement ;
- la mise en œuvre de procédures visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ».


Ces différentes garanties techniques, qui tendent à assurer la confidentialité des informations enregistrées, rejoignent en partie les conditions habituellement exigées par la commission pour assurer la sécurité des données, conformément à l'article 34 de la loi du 6 janvier 1978 modifiée. La circonstance que les prescriptions évoquées par le projet de décret ne tendent qu'à assurer la confidentialité des données, alors que la commission se prononce également sur leur intégrité et leur disponibilité, apparaît cohérente au regard des finalités du dispositif et, en tout état de cause, ne limite pas les compétences de la commission.
Elle relève toutefois que l'article L. 4123-9-1 du code de la défense prévoit que le contrôle du respect de ces prescriptions techniques est assuré par le ministre compétent, « en complément » de celui prévu par la loi du 6 janvier 1978 modifiée, sans qu'elle dispose de précisions sur la motivation de cette compétence partagée ou sur l'articulation exacte entre les prérogatives du ministère et celles de la commission.
Elle prend acte que, en application du VI de l'article L. 4123-9-1 du code de la défense, les traitements mis en œuvre par des associations mentionnées au 3° du II de l'article 8 de la loi du 6 janvier 1978 modifiée devront respecter les prescriptions techniques précitées mais sont exclus du champ du pouvoir de contrôle reconnu au ministère de la défense.
Pour permettre au ministre d'exercer ce nouveau pouvoir de contrôle, le projet d'article R. 4123-37-5 du code de la défense prévoit que, « en complément du dossier produit à l'appui d'une demande d'autorisation ou d'une déclaration adressée à la commission [...], le responsable de traitement communique au ministre de la défense les mesures techniques et organisationnelles permettant d'assurer le respect des prescriptions de sécurité propres » aux traitements dont la finalité est fondée sur fa qualité de militaire.
La commission estime nécessaire que le responsable de traitement transmette aux autorités compétentes les informations permettant d'attester que la sécurité des données sera assurée. Elle souligne toutefois que l'obligation d'adresser parallèlement un même dossier technique au ministère et à la commission, qui devra par ailleurs informer le ministère de la défense de la réception d'une nouvelle demande d'autorisation ou d'une déclaration, lui semble inutilement alourdir les formalités administratives associées à la mise en œuvre des traitements concernés. Elle considère que le dispositif pourrait être simplifié sans affaiblir le niveau de protection des données à caractère personnel.
Enfin, la commission relève que le projet de décret ne prévoit pas la possibilité, pour le ministère de la défense, d'adopter des mesures correctrices ou des sanctions en cas de non-respect, constaté lors de l'exercice de son pouvoir de contrôle, des prescriptions de sécurité précitées. De même, il ne prévoit pas la possibilité d'informer la commission d'une telle constatation, qui pourrait alors exercer ses propres pouvoirs, et en particulier ses attributions en matière de sanction prévus par l'article 45 de la loi du 6 janvier 1978 modifiée, telles que le retrait d'une autorisation accordée en application de l'article 25 de la même loi, dès lors que les manquements constatés en matière de sécurité relèvent de la protection des données à caractère personnel.
Sur la dérogation à l'article 31 de la loi du 6 janvier 1978
Conformément au III de l'article L. 4123-9-1 du code de la défense, les traitements dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent sont exclus du champ d'application de l'article 31 de la loi du 6 janvier 1978 modifiée. Ces dispositions prévoient notamment que la commission met à la disposition du public la liste des traitements automatisés ayant fait l'objet d'une des formalités prévues par les articles 23 à 27, ainsi que ses avis, décisions ou recommandations.
La commission prend acte de cette exclusion. En conséquence, elle ne publiera pas les autorisations ou refus d'autorisation, dont elle assure elle-même la publication sur Légifrance conformément à son règlement intérieur, concernant les traitements dont la finalité est fondée sur la qualité de militaire des personnes qui y figurent.