La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret pris pour l'application de l'article L. 211-11-1 du code de la sécurité intérieure et relatif à l'accès aux établissement et installations accueillant des grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 230-6 ;
Vu le code de la sécurité intérieure, notamment son article L. 211-11-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2007-914 du 15 mai 2007 modifié pris pour l'application du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-569 du 28 mai 2010 modifié relatif au fichier des personnes recherchées ;
Vu l'arrêté du 17 mars 2014 modifié portant autorisation à titre expérimental d'un traitement automatisé de données à caractère personnel dénommé « Fichier des objets et des véhicules signalés » (FOVeS) ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis, par le ministre de l'intérieur, d'un projet de décret pris pour l'application de l'article L. 211-11-1 du code de la sécurité intérieure (CSI), introduit dans le CSI par l'article 53 de la loi n° 2016-731 du 3 juin 2016 susvisée.
L'article L. 211-11-1 du CSI a pour objet d'imposer aux organisateurs de certains grands événements de demander l'avis de l'autorité administrative compétente avant d'autoriser l'accès à un établissement ou une installation accueillant ces événements. Cet avis doit être rendu à la suite d'une enquête administrative sur la personne concernée, qui peut donner lieu à la consultation de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée.
L'objectif de ce « criblage » est, selon les termes de l'article L. 211-11-1 repris par le projet de décret, de vérifier que « le comportement ou les agissements de la personne ne sont pas de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat ».
Si un tel objectif apparaît légitime à la commission, elle regrette qu'un dispositif législatif nouveau conduisant à la consultation de fichiers sensibles dans des conditions différentes de celles jusqu'à présent requises pour la réalisation d'enquêtes administratives, ne lui ait pas été soumis pour consultation.
Le législateur a toutefois prévu que les conditions d'application du dispositif, en particulier la liste des fichiers susceptibles d'être consultés, les catégories de personnes concernées et les garanties d'information qui leur sont ouvertes, sont définies par un décret en Conseil d'Etat pris après avis de la commission. Cet avis, en application de l'article 11 (4°, a) de la loi du 6 janvier 1978 modifiée, devra être publié.
Sur le champ d'application du dispositif et la définition des autorités compétentes pour rendre l'avis prévu à l'article L. 211-11-1 du CSI :
Le dispositif prévu par le législateur vise à renforcer la sécurité des « grands événements » en permettant à l'administration de réaliser une enquête administrative sur l'ensemble des personnes susceptibles d'accéder aux établissements et installations les accueillant, à l'exception des visiteurs et des participants.
L'article L. 211-11-1 du CSI prévoit la désignation, par décret, des « grands événements » concernés, des établissements et installations qui les accueillent ainsi que de leur organisateur. C'est à l'organisateur ainsi désigné qu'il revient de solliciter l'avis de l'autorité administrative compétente avant d'autoriser tout accès aux établissements et installations accueillant le grand événement concerné, étant précisé que le respect de cette procédure est requis pendant toute la durée de l'événement mais également pendant sa préparation.
Le projet de décret prévoit que sont « notamment » concernées les catégories de personnes suivantes :
- les fournisseurs ;
- les techniciens chargés de la mise en œuvre et de la logistique de l'événement ;
- les personnels effectuant la maintenance ou l'entretien des établissements ou installations ;
- les prestataires de services ;
- les personnels exerçant une activité commerciale dans les établissements ou installations ;
- les personnels chargés de la relation avec la presse et de la communication ;
- les sponsors ;
- les volontaires et bénévoles ;
- les journalistes accédant à des zones non accessibles au public.
Il découle ainsi des termes de l'article L. 211-11-1 du CSI comme de la liste non limitative prévue par le projet de décret que, à l'exception des visiteurs et des participants, l'intégralité des personnes accédant aux établissements et installations concernés, quels que soient leur statut et leurs fonctions, devront faire l'objet d'une enquête administrative.
Le champ d'application du dispositif apparaît d'autant plus large que les événements susceptibles d'être désignés ne sont pas uniquement ceux que leur ampleur expose à un risque exceptionnel de menace terroriste, mais également ceux qui subissent ce risque en raison de « circonstances particulières ».
Dès lors, au regard de l'étendue du criblage envisagé et de la sensibilité des fichiers susceptibles d'être consultés, la commission considère que les conditions de mise en œuvre du dispositif doivent être précisément définies par les textes et que des garanties particulières doivent être apportées pour assurer le respect des droits des intéressés.
Dans ces conditions, la commission juge nécessaire la définition d'une liste limitative des autorités administratives compétentes pour rendre un avis sur les demandes transmises par les organisateurs de grands événements, ainsi que des services prenant en charge la réalisation de l'enquête administrative sous leur contrôle.
Sur ce point, elle prend acte que le ministère de l'intérieur s'engage à modifier le projet de décret pour préciser que l'autorité administrative compétente qui sera désignée pour chaque grand événement sera soit le ministre de l'intérieur, soit le préfet. Elle prend également acte que les enquêtes administratives envisagées seront réalisées par un nouveau service à compétence nationale, dont la création est en cours, et qui sera rattaché à la direction générale de la police nationale. Ce service sera spécifiquement chargé de la réalisation des enquêtes prévues aux articles L. 211-11-1 et L. 114-2 du CSI. Le ministère a toutefois précisé que, pour certains événements locaux, les agents des services de la police nationale et de la gendarmerie nationale pourraient être chargés de leur réalisation.
Sur la liste des fichiers susceptibles d'être consultés :
L'article L. 211-11-1 du CSI prévoit que l'enquête administrative peut donner lieu à la consultation de certains traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée, à l'exception des fichiers d'identification.
Le projet de décret précise qu'il s'agit des traitements suivants :
- les traitements automatisés de données à caractère personnel dénommés CRISTINA et FSPRT, mentionnés aux 1 et 12 de l'article 1er du décret n° 2007-914 du 15 mai 2007 susvisé ;
- le traitement d'antécédents judiciaires (TAJ), mentionné aux articles R. 40-23 et suivants du code de procédure pénale ;
- le traitement automatisé de données à caractère personnel dénommé « Enquêtes administratives liées à la sécurité publique » (EASP), mentionné aux articles R. 236-1 et suivants du code de la sécurité intérieure ;
- le traitement automatisé de données à caractère personnel dénommé « prévention des atteintes à la sécurité publique » (PASP), mentionné aux articles R. 236-11 et suivants du code de la sécurité intérieure ;
- le traitement automatisé de données à caractère personnel dénommé « gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP), mentionné aux articles R. 236-21 et suivants du code de la sécurité intérieure ;
- le fichier des personnes recherchées (FPR) prévu par le décret n° 2010-569 du 28 mai 2010 susvisé ;
- le fichier des objets et des véhicules signalés (FOVeS) créé par l'arrêté du 17 mars 2014 susvisé.
La commission prend acte que, conformément aux dispositions de l'article L. 211-11-1 du CSI, la liste ainsi définie ne comporte pas de fichiers d'identification et ne comprend que des traitements liés à la prévention et à la sanction des atteintes à la sécurité publique.
Néanmoins, au regard du nombre et de la diversité des fichiers mentionnés, du point de vue tant des catégories de personnes ciblées que de la nature des informations enregistrées, la commission considère que doivent être exclues des consultations effectuées dans ce cadre les catégories de données à caractère personnel qui ne sont pas pertinentes au regard des finalités poursuivies.
La commission considère en particulier, s'agissant du FPR, qui est divisé en sous-fichiers regroupant les personnes inscrites en fonction du fondement juridique de la recherche et qui comporte des données à caractère personnel dont l'enregistrement résulte de motifs judiciaires et administratifs très divers, que la consultation effectuée doit être limitée aux sous-fichiers susceptibles de contenir des informations pertinentes au regard de l'objectif de prévention des atteintes à la sécurité des personnes, à la sécurité publique ou à la sureté de l'Etat.
Elle prend acte que le ministère s'engage à prévoir une telle restriction et à informer la commission sur ses modalités de mise en œuvre, dès que les études préalables nécessaires auront été réalisées.
S'agissant du FOVeS, le ministère a précisé que le traitement ne sera consulté que pour déterminer, d'une part, si le titre d'identité présenté à l'organisateur par la personne sollicitant l'accès aux installations et établissements concernés n'est pas déclaré volé, usurpé, invalidé ou ne fait pas l'objet d'une surveillance particulière et, d'autre part, si le véhicule utilisé pour accéder aux établissements et installations concernés n'a pas été volé ou ne fait pas l'objet d'une surveillance.
La commission en prend acte, mais rappelle que la mise en œuvre du FOVeS n'a été autorisée par l'arrêté du 17 mars 2014 susvisé qu'à titre expérimental, pour une durée de deux ans à compter de la publication de l'arrêté, et que son utilisation suppose l'adoption préalable d'un nouvel acte réglementaire, conformément à l'article 26 de la loi du 6 janvier 1978 modifiée.
En ce qui concerne le TAJ, la commission rappelle que, en application des dispositions de l'article 230-8 du code de procédure pénale, les décisions de relaxe ou d'acquittement devenues définitives, de même que les décisions de non-lieu et les décisions de classement sans suite peuvent faire l'objet d'une mention mais que, dans cette hypothèse, « les données relatives à la personne concernée ne peuvent faire l'objet d'une consultation dans le cadre des enquêtes administratives prévues aux articles L. 114-1, L. 234-1 à L. 234-3 du code de la sécurité intérieure et à l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité ». Elle estime que la même exclusion doit être prévue pour les enquêtes administratives prévues à l'article L. 211-11-1 du code de la sécurité intérieure et prend acte de l'engagement du ministère de l'intérieur de modifier l'article R. 40-29 du code de procédure pénale à cette fin.
En outre, la commission souligne que la seule inscription d'une personne dans les fichiers précités, a fortiori lorsqu'elle ne découle pas d'un fait avéré attestant de la participation à une action portant atteinte à la sécurité publique ou à la sûreté de l'Etat mais d'informations déclaratives, ne saurait suffire à fonder un avis défavorable à l'accès aux établissement et installations concernés.
Elle considère que les autorités administratives compétentes doivent tenir compte de ce que l'inscription d'une personne dans l'un de ces traitements peut résulter de motifs non pertinents au regard de la lutte anti-terroriste ou d'éléments non probants et rappelle en tout état de cause que, conformément à l'article 10 de la loi du 6 janvier 1978 modifiée, aucune décision produisant des effets juridiques à l'égard d'une personne ne peut être prise sur le seul fondement d'un traitement automatisé de données à caractère personnel.
A cet égard, la commission prend acte qu'il est prévu que le service à compétence nationale chargé de la réalisation des enquêtes dispose des compétences et des ressources nécessaires à la vérification et à l'analyse des informations issues des traitements, de sorte qu'aucun avis défavorable ne soit pris sur le seul fondement de l'inscription d'une personne dans un fichier.
Enfin, elle rappelle l'impératif que des procédures de mise à jour, d'apurement et d'effacement des données soient strictement appliquées pour l'ensemble des fichiers précités, de manière à prévenir tout risque d'atteinte aux droits et libertés des intéressés du fait d'une décision découlant de la conservation de données inexactes ou caduques. Si cet impératif n'est pas propre aux fichiers concernés par le dispositif, la commission souligne que la sensibilité des informations susceptibles d'être communiquées dans ce cadre et le caractère particulièrement préjudiciable de l'adoption d'un éventuel avis défavorable à l'accès aux établissements et installations accueillant les grands événements imposent la plus grande vigilance.
Sur les conditions de consultation des fichiers et le transfert de données à caractère personnel qui en sont issues :
La consultation des différents fichiers doit être effectuée, en application de l'article L. 211-11-1 du code de la sécurité intérieure, « selon les règles propres à chacun d'eux ».
La commission souligne que les règles propres à chacun des fichiers mentionnés doivent être modifiées pour autoriser leur consultation par le service à compétence nationale dont la création est projetée. Elle prend acte que les textes procédant aux modifications requises seront prochainement adoptés, après consultation de la commission.
Il a en outre été précisé à la commission que la consultation des fichiers concernés serait effectuée par le biais d'un nouveau traitement de données à caractère personnel, créé à cet effet et qui permettra de procéder à une consultation automatique et simultanée des traitements concernés. Ce même traitement permettra au service à compétence nationale chargé de réaliser les enquêtes de centraliser et de conserver les données issues des fichiers consultés, les autres informations collectées dans le cadre des enquêtes administratives et leurs conclusions.
Le projet de texte autorisant la création de ce traitement sera soumis ultérieurement à la commission. Dans ces conditions, la commission souligne que la mise en œuvre du dispositif de criblage des personnes accédant aux établissements et installations des grands événements ne pourra être légalement envisagée qu'après que l'ensemble des mesures juridiques annoncées par le ministère de l'intérieur auront été adoptées, dans le respect de l'article 26 de la loi du 6 janvier 1978 modifiée.
Sur les droits des personnes :
L'article L. 211-11-1 du code de la sécurité intérieure prévoit que les garanties d'information ouvertes aux personnes devant faire l'objet d'une enquête administrative avant d'accéder aux établissements et installations accueillant de grands événements sont définies par le décret en Conseil d'Etat précisant ses modalités d'application.
Sur ce point, le projet de décret prévoit que « l'organisateur informe par écrit la personne concernée de la demande d'avis formulée auprès de l'autorité administrative et lui indique que, dans ce cadre, elle fait l'objet d'une enquête administrative conformément aux dispositions de l'article L. 211-11-1 du présent code », ce dont la commission prend acte.
Le projet de décret précise en outre que le sens de l'avis est transmis à l'organisateur, mais ne prévoit ni la communication systématique d'une copie de cet avis à l'intéressé, ni l'obligation pour l'organisateur de faire connaître à l'intéressé le sens de cet avis, auxquelles le ministère de l'intérieur est opposé.
Le sens de l'avis formulé devrait, en pratique, se déduire du sens de la décision de l'organisateur s'agissant de l'accès d'une personne aux établissements et installations accueillant des grands événements. La commission rappelle toutefois que l'article L. 211-11-1 du CSI prévoit expressément que le décret en Conseil d'Etat pris pour son application doit définir « les garanties d'information ouvertes » aux personnes concernées par le dispositif. Dans ces conditions et au regard de la diversité des catégories de personnes concernées et de la nécessité d'apporter les garanties maximales en matière de protection de leurs droits et libertés, la commission considère que le projet de décret devrait prévoir l'obligation de communiquer le sens de l'avis formulé à l'intéressé ou, a minima, l'obligation de l'informer qu'il peut en obtenir la communication.