Après avoir entendu M. Loïc Hervé, commissaire, en son rapport et Mme Nacima Belkacem, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La directive 2010/75/UE du Parlement européen et du Conseil du 24 novembre 2010 relative aux émissions industrielles (prévention et réduction intégrées de la pollution) prévoit que les Etats membres prennent les mesures nécessaires pour que les autorités compétentes réexaminent périodiquement toutes les conditions d'autorisation des exploitations de porcs et de volailles afin de s'assurer du respect des valeurs limites d'émissions industrielles.
Dans sa décision d'exécution 2017/302/UE du 15 février 2017 établissant les conclusions sur les meilleures techniques disponibles (MTD), au titre de la directive 2010/75/UE du Parlement européen et du Conseil pour l'élevage intensif de volailles ou de porcs, la Commission européenne a présenté les conclusions sur les MTD et a fixé un cadre de référence des conditions d'autorisation des installations de porcs et de volailles, et notamment les valeurs limites d'émissions industrielles par les autorités compétentes.
Un arrêté ministériel du 23 mars 2017 prévoit les modalités de mise en œuvre des MTD adoptées le 21 février 2017 au niveau européen.
Le ministère de l'environnement, de l'énergie et de la mer a donc développé un téléservice afin de permettre aux éleveurs de porcs et de volailles de s'acquitter de leurs obligations déclaratives aux fins du réexamen des conditions d'autorisation de leurs exploitations conformément à la directive 2010/75/UE et à sa décision d'exécution 2017/302/UE.
Le ministère susvisé a saisi la Commission nationale de l'informatique et des libertés, sur le fondement de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée en août 2004 d'une demande d'avis concernant le projet d'arrêté portant création d'un téléservice dénommé " Réexamen élevage IED " à l'égard des éleveurs de porcs et de volailles.
Sur les finalités et le fonctionnement du traitement :
L'article 1er du projet d'arrêté prévoit que le traitement a pour finalité " de mettre à la disposition des éleveurs de porcs et de volailles soumis aux dispositions de la directive du 24 novembre 2010 susvisée un téléservice leur permettant de s'acquitter de leurs obligations déclaratives aux fins du réexamen des conditions d'autorisation de leurs exploitations ".
Plus précisément, ce dispositif permettra aux éleveurs de porcs et de volailles d'effectuer des démarches administratives dématérialisées par une simple activation de leurs comptes sur le site du téléservice.
La commission prend note que les comptes seront créés préalablement par le ministère de l'environnement, de l'énergie et de la mer, à partir d'une extraction de la base de données S3IC (base dédiée aux inspecteurs de l'environnement).
Une fois la saisine effectuée, les usagers recevront un courriel de confirmation de la transmission de leur dossier aux services compétents du ministère susvisé.
La commission prend note qu'un courrier postal sera adressé aux éleveurs de porcs et/ou de volailles par le préfet du département lorsque le dossier de réexamen de l'autorisation sera validé à l'issue de l'instruction du dossier par les services compétents.
La commission recommande de supprimer la mention suivante de l'article 1er du projet d'arrêté : " ce téléservice est mis en œuvre conformément aux dispositions du décret du 27 mai 2016 susvisé emportant acte réglementaire unique (ARU-052) au sens du IV de l'article 26 et du III de l'article 27 de la loi du 6 janvier 1978 susvisée " dans la mesure où le traitement mis en œuvre ne rentre pas dans le cadre de référence de l'acte règlementaire unique n° 52 autorisant les téléservices tendant à la mise en œuvre du droit des usagers de saisir l'administration par voie électronique.
La commission considère les finalités poursuivies comme déterminées, explicites et légitimes conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée en août 2004.
Sur les données à caractère personnel traitées :
L'article 2 du projet d'arrêté liste les données collectées, celles-ci portant sur les informations relatives au représentant de l'exploitant, à l'établissement ainsi qu'aux meilleures techniques disponibles (MTD) mises en œuvre par l'exploitant.
La commission estime que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur les destinataires des données :
L'article 4 du projet d'arrêté prévoit que les services en charge des installations classées pour la protection de l'environnement des directions départementales de la protection des populations, ainsi que ceux en charge des biotechnologies et de l'agriculture du ministère de l'environnement, de l'énergie et de la mer ont accès à l'ensemble des données mentionnées à l'article 2 du projet d'arrêté, à raison de leurs attributions respectives et dans la limite du besoin d'en connaître.
La commission estime que ces personnes présentent un intérêt légitime à connaître de ces données.
Sur la durée de conservation :
L'article 3 du projet d'arrêté prévoit que les données à caractère personnel sont conservées quatre ans à compter de la publication de la décision 2017/302/UE du 15 février 2017 au Journal officiel de l'Union européenne, conformément à l'article 21, alinéa 3, de la directive 2010/75/UE du 24 novembre 2010.
Cette durée n'appelle pas d'observation de la part de la commission.
Sur l'information et les droits des personnes concernées :
A titre liminaire, constatant l'essor des téléprocédures, la commission souhaite insister sur l'importance de prendre en considération les difficultés auxquelles peuvent être confrontés les usagers soumis à l'accomplissement de formalités dématérialisées (difficulté d'accès à internet ou encore insuffisance des connaissances dans le domaine du numérique). C'est pourquoi elle estime nécessaire d'accompagner les usagers, en les informant notamment des dispositifs leur permettant d'être assistés dans leurs démarches, tels que les espaces publics numériques (EPN). A cet égard, la commission recommande que cette information soit portée à la connaissance des éleveurs de porcs et de volailles, en renvoyant notamment vers le répertoire des lieux d'accès publics ( http://www.netpublic.fr/net-public/espaces-publics-numeriques/repertoire-national/).
La commission prend note que les usagers sont informés conformément aux dispositions de l'article 32 de la loi informatique et libertés du 6 janvier 1978 modifiée en août 2004 par des mentions sur le site internet du téléservice.
L'article 5 du projet d'arrêté prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée en août 2004 s'exercent auprès de la direction générale de la prévention des risques du ministère chargé de l'environnement.
La commission considère que les modalités d'information et d'exercice des droits des personnes sont satisfaisantes.
La commission prend note que le droit d'opposition prévu à l'article 38 de la loi informatique et libertés du 6 janvier 1978 modifiée en août 2004 est expressément exclu par le projet d'arrêté.
Sur les mesures de sécurité :
La commission rappelle tout d'abord que le traitement étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé. Elle rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS et d'en publier l'attestation d'homologation sur le site du téléservice.
L'accès au téléservice est sécurisé au moyen du protocole https. Concernant le recours à ce protocole, la commission note avec satisfaction qu'il n'est prévu d'utiliser que les versions de TLS les plus à jour possibles. La commission rappelle la nécessité de mettre régulièrement à jour la liste des algorithmes autorisés. Elle relève ainsi que la politique en la matière élaborée par le ministère nécessite une mise à jour afin de maintenir sa conformité au référentiel général de sécurité.
Concernant la sécurité des téléservices, la commission recommande de mettre en œuvre les recommandations techniques relatives à la sécurité des sites internet publiées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans une note technique " recommandations pour la sécurisation des sites web ".
La commission prend note que le ministère met en œuvre un contrôle d'accès des utilisateurs que ce soit pour les agents ou pour les déclarants par le biais du portail " Cerbère ". A cet égard, la commission a élaboré une délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe. Elle relève ainsi que la politique de mots de passe mise en œuvre pour le portail " Cerbère " pourrait nécessiter une mise à jour afin de maintenir sa conformité aux recommandations de la CNIL.
Afin de pouvoir détecter, analyser et solutionner une utilisation non conforme des droits accordés aux utilisateurs que ce soit par les utilisateurs eux-mêmes ou suite à une usurpation de leurs moyens d'authentification, la commission recommande de mettre en œuvre une journalisation des opérations. Au minimum, il s'agirait de journaliser les opérations de consultation, modification et suppression du traitement. Ces journaux ne devraient pas être conservés plus de six mois et devraient faire l'objet d'une analyse régulière. Les utilisateurs devraient être informés que leurs actions font l'objet d'une journalisation.
Des sauvegardes régulières sont réalisées. Elles sont stockées dans un endroit garantissant leur sécurité et leur disponibilité. Le transfert des sauvegardes est sécurisé. La continuité d'activité est testée régulièrement.
Enfin, une clause spécifique couvre les interventions des sous-traitants en matière d'accès aux données personnelles.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.