Après avoir entendu Mme Marie-France MAZARS, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission nationale de l'informatique et des libertés a été saisie, sur le fondement de l'article 11 (4°-a) de la loi du 6 janvier 1978 modifiée en août 2004, par le ministère de l'agriculture, de l'agroalimentaire et de la forêt, responsable du traitement, d'une demande d'avis concernant un projet de décret pris pour application de l'article L. 311-2 du code rural et de la pêche maritime modifié par la loi n° 2014-1170 du 13 octobre 2014 pour l'agriculture, l'alimentation et la forêt, et qui vient créer le registre des actifs agricoles.
Sur les finalités du traitement :
La commission prend acte que le registre des actifs agricoles, administré par l'Assemblée permanente des chambres d'agriculture (APCA), permettra de faciliter la reconnaissance des agriculteurs professionnels répondant aux critères fixés par les articles L. 311-1 et L. 311-2 du code rural et de la pêche maritime.
II simplifiera également les échanges avec les divers organismes auxquels les agriculteurs s'adressent régulièrement, notamment pour l'accès aux prêts.
La commission prend note que toute personne inscrite au registre des actifs agricoles qui en fait la demande auprès du centre de formalités des entreprises de la chambre d'agriculture se verra délivrer gratuitement une attestation d'inscription à ce registre, conformément à l'article L. 311-2 du code rural et de la pêche maritime.
La commission prend également acte que le projet d'article D. 311-29 du code rural et de la pêche maritime prévoit l'établissement de statistiques, par l'APCA et les chambres d'agriculture territorialement compétentes, qui sont destinées à mieux connaître le nombre d'agriculteurs « professionnels » et leurs activités.
La commission considère les finalités poursuivies comme déterminées, explicites et légitimes conformément à l'article 6-2° de la loi du 6 janvier 1978 modifiée en août 2004.
Sur les modalités de la mise en œuvre du traitement :
La commission relève qu'un chef d'exploitation agricole relevant du régime de la sécurité sociale agricole (MSA) au sens des articles L. 311-1 et L. 311-2 du code rural et de la pêche maritime, dès lors qu'il s'inscrit dans un centre de formalités des entreprises (CFE), sera inscrit d'office au registre des actifs agricoles (projet d'article D. 311-28 du code susvisé).
Les projets d'articles D. 311-26 et D. 311-27 du code rural et de la pêche maritime prévoient que les caisses de MSA et les CFE transmettent de manière automatique à l'Assemblée permanente des chambres d'agriculture les données mentionnées par le projet d'article D. 311-23.
A cet égard, le projet d'article D. 311-24 du code rural et de la pêche maritime précise que « le présent traitement peut faire l'objet d'une interconnexion, mise en relation, rapprochement avec : - la base de données tenue par les caisses de mutualité sociale agricole, - la base de données des centres de formalités des entreprises ».
Dans la mesure où il ne s'agit pas d'un rapprochement de fichiers mais bien d'une interconnexion impliquant plusieurs traitements automatisés de données à caractère personnel distincts, la commission recommande de supprimer les termes « mise en relation, rapprochement » du projet de texte.
Sur les données traitées :
Le projet d'article D. 311-23 du code rural et de la pêche maritime liste les informations concernant les personnes physiques exerçant à titre individuel ou sous la forme d'une personne morale, et celles concernant l'exploitation agricole qui vont être enregistrées au sein du registre des actifs agricoles.
La commission prend acte que les données relatives à l'adresse du domicile de la personne physique exerçant à titre individuel, ainsi que celles relatives à l'adresse du domicile de la personne ou des personnes ayant le pouvoir d'engager la personne morale pour les personnes physiques exerçant sous la forme d'une personne morale mentionnées par le projet d'article D. 311-23 (1°, a et b) du code rural et de la pêche maritime ne seront pas collectées, et seront donc supprimées du projet d'acte réglementaire.
Sous ces réserves, la commission estime que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires :
Dans les limites de leurs attributions respectives, et chacun pour ce qui le concerne, peuvent accéder aux données enregistrées dans le traitement, les personnels chargés de la tenue du registre des actifs agricoles au sein de l'APCA, du réseau des chambres d'agriculture des CFE, et du ministère de l'agriculture, agroalimentaire et de la forêt, conformément à l'article L. 311-2 du code rural et de la pêche maritime.
La commission estime que ces personnes présentent un intérêt légitime à connaitre de ces données.
Sur la durée de conservation des données :
Le projet d'article D. 311-31 du code rural et de la pêche maritime prévoit que les données à caractère personnel sont conservées jusqu'à la date de radiation de l'intéressé.
La commission prend acte que les données seront supprimées de manière sécurisée, une fois la radiation prononcée.
La commission prend également acte de ce que la rédaction du projet d'article D. 311-32 du code susvisé qui prévoit les différents cas pour lesquels l'Assemblée permanente des chambres peut procéder à la radiation d'une personne inscrite au registre des actifs agricoles sera modifiée de manière à rendre plus intelligible les modalités de radiation.
La commission estime que cette durée de conservation est conforme aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée en août 2004.
Sur l'information et les droits des personnes concernées :
La commission prend acte que les modalités d'information des personnes n'ont pas encore été définies.
La commission rappelle qu'il appartient au responsable de traitement de s'assurer que l'ensemble des personnes est effectivement informé conformément aux dispositions de l'article 32 de la loi informatique et libertés du 6 janvier 1978.
Le projet d'article D. 311-33 du code rural et de la pêche maritime prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi susvisée s'exercent auprès des centres de formalités des entreprises territorialement compétents.
La commission prend note que le droit d'opposition prévu à l'article 38 est expressément exclu par le projet d'acte réglementaire.
Sur les mesures de sécurité :
La commission rappelle que le responsable du traitement doit prendre toutes les précautions utiles au regard des risques présentés par le traitement pour préserver la sécurité des données à caractère personnel. Il doit, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher que les données soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A cet égard, le responsable de traitement doit notamment s'assurer que :
- toute transmission d'information via un canal de communication non sécurisé, par exemple Internet, s'accompagne de mesures adéquates permettant de garantir la confidentialité des données échangées, telles qu'un chiffrement des données ;
- les personnes habilitées disposant d'un accès aux données doivent s'authentifier avant tout accès à des données à caractère personnel, au moyen d'un identifiant et d'un mot de passe personnels respectant les recommandations de la CNIL, ou par tout autre moyen d'authentification garantissant au moins le même niveau de sécurité ;
- un mécanisme de gestion des habilitations est mis en œuvre et régulièrement mis à jour pour garantir que les personnes habilitées n'ont accès qu'aux seules données effectivement nécessaires à la réalisation de leurs missions. Le responsable de traitement doit définir et formaliser une procédure permettant de garantir la bonne mise à jour des habilitations ;
- des mécanismes de traitement automatique garantissent que les données à caractère personnel seront systématiquement supprimées, à l'issue de leur durée de conservation, ou feront l'objet d'une procédure d'anonymisation rendant impossible toute identification ultérieure des personnes concernées ;
- les accès à l'application font l'objet d'une traçabilité afin de permettre la détection d'éventuelles tentatives d'accès frauduleux ou illégitimes. Les données de journalisation doivent être conservées pendant une durée de six mois glissants à compter de leur enregistrement, puis détruites.
Concernant les mécanismes d'anonymisation, il conviendra de s'assurer que les statistiques produites ne permettent aucune identification, même indirecte, des personnes concernées.
La commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement, qui doit notamment vérifier que ces outils ou logiciels respectent les obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Enfin, le responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants. Le contrat établi entre les parties doit mentionner les obligations incombant au sous-traitant en matière de préservation de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instructions du responsable de traitement.