Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (CNIL) a été saisie pour avis par le ministère de la défense d'un projet de décret autorisant la création d'un traitement automatisé de données à caractère personnel dénommé « contrôle d'accès biométrique ».
Ce traitement portant sur des données biométriques est destiné à contrôler l'accès aux locaux d'un bâtiment situé en zone réservée et abritant des activités classifiées de défense du ministère de la défense.
Conformément à l'article 27-I (2°) de la loi du 6 janvier 1978modifiée, ce traitement doit être autorisé par décret en Conseil d'Etat, pris après avis motivé et publié de la CNIL.
Sur la finalité du traitement :
Le traitement a pour finalité le contrôle de l'accès aux locaux d'un bâtiment situé en zone réservée et abritant des activités classifiées de défense, par authentification biométrique de deux cents agents habilités des services du ministère de la défense.
Les zones réservées protégées par le contrôle d'accès biométrique doivent en effet faire l'objet de mesures de sécurité renforcées, conformément à l'arrêté du 23 juillet 2010 portant approbation de l'instruction générale interministérielle sur la protection du secret de la défense nationale. Des mesures particulières doivent notamment être prises pour limiter l'accès aux seules personnes spécifiquement habilitées et prévenir toute intrusion.
La finalité identifiée dans l'article 1er du projet de décret n'appelle aucune observation de la commission.
La commission considère que la finalité est déterminée, explicite et légitime.
Sur la nature des données traitées :
L'article 2 du projet de décret prévoit que les données à caractère personnel et informations enregistrées dans le traitement concernent les seuls agents habilités à pénétrer sur le site et sont constituées par :
- le nom de famille et le prénom ;
- le numéro d'identification du badge ;
- les dates et heures d'entrée et de sortie ;
- le gabarit de l'empreinte digitale de deux doigts de chaque main.
L'alinéa 2 de l'article 2 du projet de décret initialement soumis à l'avis de la CNIL énonçait que le composant contenant le gabarit est « associé » au badge d'accès biométrique, remis aux agents qui souhaitent accéder à la zone réservée, la correspondance entre ce gabarit et l'empreinte du porteur de la carte étant vérifiée lors du contrôle de l'accès au bâtiment.
La commission prend acte qu'en vue de lever tout risque de confusion, le ministère retient une nouvelle rédaction de l'alinéa 2 afin de préciser de manière explicite que le composant dans lequel sont stockées les données biométriques est intégré au badge d'accès biométrique.
Il est ensuite indiqué qu'un dispositif de secours est prévu, permettant l'accès au local sous un autre mode, en cas de défaillance du dispositif ou bien lorsque la prise d'empreintes est impossible à réaliser et enfin, que les visiteurs ne sont pas soumis à ce dispositif.
La commission estime que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
Sur la durée de conservation des données :
L'article 3 du projet de décret initialement soumis à l'avis de la CNIL prévoyait que les données à caractère personnel mentionnées dans son article 2 sont effacées à la cessation définitive ou temporaire des fonctions de l'agent justifiant son accès au local situé en zone réservée, à l'exclusion des dates et heures d'entrée et de sortie qui sont conservées un an à compter de leur enregistrement.
La carte d'accès est restituée au terme de l'habilitation de l'agent en vue de sa destruction.
La commission prend acte que pour tenir compte de la durée de conservation traditionnellement recommandée s'agissant des éléments relatifs aux déplacements des personnes, le ministère a proposé une nouvelle rédaction de cette disposition et prévoit de conserver ces données six mois à compter de leur enregistrement.
Sur les destinataires des données :
L'article 4 du projet de décret prévoit que seuls peuvent accéder aux données enregistrées dans le traitement, pour les besoins exclusifs des missions de sécurité qui leur sont confiées :
- les personnels de la direction générale de l'armement chargés de la sécurité du site ;
- les personnels de la brigade de gendarmerie de l'armement chargées d'assurer la sécurité du bâtiment.
La commission considère que l'accès de ces agents aux données est justifié au regard de la finalité du traitement.
Sur l'information et les droits des personnes :
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes sont avisées de l'existence du traitement par voie d'affichage, envoi ou remise d'un document, ou par tout autre moyen équivalent.
Cette information mentionne notamment l'identité du responsable du traitement, la finalité poursuivie par le traitement, les destinataires des données, la durée de conservation et les modalités d'exercice des droits des personnes.
Les droits d'accès et de rectification prévus par les articles 39 et 40 de la loi du 6 janvier 1978 susvisée s'exercent auprès du directeur du centre de maîtrise de l'information et de la direction générale de l'armement. Le droit d'opposition prévu au titre de l'article 38 de la loi du 6 janvier 1978 susvisée ne s'applique pas au traitement autorisé par le présent décret.
La commission considère que les modalités d'information et d'exercice des droits des personnes concernées sont satisfaisantes au regard des dispositions des articles 32 et suivants de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Concernant les dispositions de l'article 2, les gabarits des empreintes seront chiffrés et stockés uniquement sur le badge d'accès de l'agent.
En fonctionnement, l'application journalise les opérations d'accès réalisées avec le badge : identification du local demandé en accès, identité de la personne demandant cet accès via son numéro de badge et les informations personnelles qui y sont associées telles que les date et heure, le résultat de l'accès. Aucune autre information relative à l'identité du porteur de badge n'est journalisée.
En cas de défaillance du système, l'accès au local pourra se faire par des modalités documentées et encadrées par les gendarmes chargés d'assurer la protection de la zone.