Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Fichier des objets et des véhicules signalés » (FOVeS).
Fichier commun aux services de police et de gendarmerie, le FOVeS leur permet de disposer d'une base unique et homogène des signalements relatifs aux véhicules et aux objets volés, placés sous surveillance ou perdus. Dans la mesure où il intéresse la sécurité publique et a également pour objet la recherche et la constatation des infractions pénales, le traitement FOVeS relève des dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée et doit être autorisé par arrêté pris après avis motivé et publié de la commission.
Le traitement FOVeS a dans un premier temps été mis en œuvre à titre expérimental, l'arrêté du 17 mars 2014, pris après avis de la commission en date du 14 novembre 2013, ayant autorisé une expérimentation pour une durée de deux ans à compter de la publication dudit arrêté. Conformément audit arrêté, il a été procédé à une évaluation de cette expérimentation, donnant lieu à un rapport transmis à la commission et qui comporte les éléments qu'elle avait souhaité voir figurer.
La commission se félicite de cette approche expérimentale, qui a permis au ministère de l'intérieur d'améliorer progressivement l'efficacité et le caractère opérationnel du traitement FOVeS tout en permettant de mieux prendre en compte, notamment par l'intermédiaire des avis de la commission sur les actes réglementaires relatifs audit traitement, les règles en matière de protection des données à caractère personnel. La commission rappelle néanmoins que cette démarche ne doit en aucun cas avoir pour effet la mise en œuvre de ce traitement sans base légale.
Dans ce contexte, le présent projet d'arrêté vise, d'une part, à pérenniser le traitement FOVeS et, d'autre part, à apporter des modifications substantielles aux conditions de sa mise en œuvre à titre expérimental.
Sur les finalités :
L'article 1er du projet d'arrêté énumère les finalités assignées au traitement FOVeS. Si des ajustements rédactionnels ont été apportés aux dispositions concernées, la commission relève que les trois finalités assignées au FOVeS sont similaires à celles qui lui étaient assignées dans le cadre de l'expérimentation :
- la découverte et la restitution des véhiculés volés ;
- la découverte et la restitution des objets perdus ou volés ;
- la surveillance des véhicules et objets signalés.
La commission considère que ces finalités sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Une modification substantielle est néanmoins apportée aux finalités du traitement FOVeS, qui vise également à permettre la consultation du FOVeS dans le cadre d'enquêtes administratives prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du code de la sécurité intérieure (CSI).
La nécessité de ces modifications résulte, d'une part, de l'adoption de nouveaux dispositifs législatifs imposant la réalisation d'enquêtes administratives conditionnant l'accès à certains emplois ou sites sensibles et, d'autre part, de l'évolution des modalités de réalisation des contrôles réalisés à l'occasion de ces enquêtes. Les enquêtes prévues à l'article L. 211-11-1 du CSI, issu de l'article 53 de la loi n° 2016-731 du 3 juin 2016 susvisée et relatif à la sécurité des grands événements, ainsi que celles imposées par l'article L. 114-2 du même code, dans sa rédaction issue de la loi n° 2017-258 du 28 février 2017 relative à la sécurité publique et qui concerne la sécurité des transports publics et le transport de marchandises dangereuses, s'ajoutent en effet aux possibilités d'enquêtes administratives déjà prévues par l'article L. 114-1 du CSI.
La commission relève en outre qu'est envisagé, dans le cadre des enquêtes prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI, un renforcement des contrôles effectués avec la consultation de multiples traitements de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée. La commission s'est prononcée sur ce criblage de fichiers, s'agissant du dispositif relatif aux grands événements, dans sa délibération du 9 mars 2017 susvisée.
Elle relève également qu'est prévue la mise en œuvre d'un outil spécifique, le traitement de données à caractère personnel ACCRED, dont la création est prévue par un acte réglementaire examiné ce même jour par la commission, et qui doit permettre une consultation automatique et simultanée d'une partie des fichiers concernés, parmi lesquels figure le FOVeS.
Ce dispositif de criblage sera mis en œuvre par deux nouveaux services à compétence nationale : le « Service national des enquêtes administratives de sécurité » (SNEAS), créé par le décret n° 2017-668 du 27 avril 2017 susvisé et rattaché à la direction générale de la police nationale, et le « Commandement spécialisé pour la sécurité nucléaire » (CoSSeN), créé par le décret n° 2017-588 du 20 avril 2017 susvisé et rattaché à la direction générale de la gendarmerie nationale.
C'est dans ce contexte que le projet d'arrêté soumis à la commission prévoit de compléter les dispositions relatives aux finalités du traitement FOVeS et d'ajouter à ses destinataires les agents du SNEAS et du CoSSeN, en charge de la réalisation des enquêtes administratives concernées.
Dans la mesure où la consultation du FOVeS, dans le cadre de la réalisation des enquêtes administratives mentionnées aux articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI, ne portera que, d'une part, sur les titres d'identité, afin de vérifier qu'ils ne sont pas déclarés volés, usurpés, invalidés ou ne font pas l'objet d'une surveillance particulière, et, d'autre part, sur les véhicules, dans la stricte mesure où la personne qui fait l'objet de l'enquête doit, dans le cadre de l'autorisation sollicitée, utiliser un véhicule pour accéder à des établissements ou des installations jugés sensibles, ces modifications apparaissent justifiées à la commission.
Sur le cadre de la collecte et la nature des données traitées :
L'article 2 du projet d'arrêté détaille les procédures à l'occasion desquelles les données sont recueillies. Il s'agit des procédures judiciaires diligentées pour des faits de vols établis par les services de la police ou les unités de la gendarmerie nationale, des mesures de surveillances exécutées dans le cadre de missions répressives ou préventives de ces agents et des agents des douanes, des déclarations de perte et des décisions d'invalidation de documents prononcées par les autorités administratives. Sont également enregistrées des données à caractère personnel issues des traitements gérés par les organismes de coopération internationale.
Le projet d'arrêté est, sur ce point, identique à l'arrêté du 17 mars 2014 précité. Certaines données sont importées de manière automatique par l'intermédiaire d'autres traitements, telles que les procédures de vols concernant des objets par exemple, tandis que certaines données sont inscrites de manière manuelle.
Les modalités d'inscription et de mise à jour de ces données, respectivement prévues aux articles 3 et 6 du projet d'arrêté, sont également identiques à celles prévues par l'arrêté du 17 mars 2014 et n'appellent dès lors pas d'observation particulière de la part de la commission.
Les catégories de données sont définies dans une annexe au projet d'arrêté. Elles diffèrent selon l'état de l'objet (volé, surveillé, perdu). Conformément aux finalités assignées au traitement, dédié aux objets et non aux personnes physiques, les données collectées sont, à titre principal, relatives aux objets (nature, numéro de série et autre numéro d'identification, photographie) et, le cas échéant, à leur propriétaire, au plaignant ou à leur titulaire (état civil et coordonnées), ainsi qu'à la procédure judiciaire dont ils sont l'objet (numéro de procédure, date et heure de plainte, coordonnées du service, etc.).
Ces données sont les mêmes que celles traitées dans le cadre de l'expérimentation du FOVeS et la commission estime qu'elles sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
En premier lieu, les I, II et III de l'article 5 du projet d'arrêté prévoient des durées de conservation différentes (de cinq à cinquante ans), en fonction de l'état du bien (volé, perdu, surveillé), mais également, au sein de ces catégories, en fonction de la nature du bien.
D'une manière générale, ces durées sont semblables à celles déjà prévues lors de l'expérimentation, que la commission avait considérées proportionnées aux finalités assignées au traitement.
En deuxième lieu, la commission relève que, dans le cadre de l'expérimentation, il était prévu, lorsque la découverte des objets ou des véhicules signalés ou la demande de cessation d'une surveillance intervenaient avant l'expiration de la durée de conservation prévue, que les données ne soient effacées du FOVeS qu'à compter d'une période de latence de quatre mois. Le ministère avait indiqué que, pendant cette période, qui permet éventuellement de corriger l'information ou de réactiver le signalement, la consultation de la fiche était possible par les seuls administrateurs du système mais n'entraînait aucune alerte en cas d'interrogation.
Le ministère de l'intérieur a souhaité formaliser ce dispositif dans le IV de l'article 5 du projet d'arrêté. La commission relève toutefois qu'il est prévu une durée beaucoup plus longue pour les véhicules terrestres, les bateaux et les moteurs de bateaux (cinq ans au lieu de quatre mois). Interrogé à ce sujet, le ministère a précisé que l'allongement de la durée de conservation est justifié par la nécessité d'identifier et de restituer tout ou partie d'un véhicule, l'identification de ces biens ou de certaines pièces (coques, châssis, moteurs, boîtes de vitesse, etc.) pouvant être longue, et de ne pas supprimer du FOVeS un véhicule qui n'aurait été que partiellement découvert. Le ministère estime ainsi que cette procédure permet d'assurer un équilibre entre les impératifs liés aux investigations conduites dans le cadre d'enquêtes judiciaires et la nécessité de ne pas pénaliser les victimes en retardant la restitution de leurs biens et leur indemnisation par les assurances.
Toutefois, la commission relève que ce dispositif conduit à augmenter de manière significative les durées de conservation des données relatives aux véhicules. Aussi, elle estime que la conservation des données pendant cette période de latence devrait être exceptionnelle et réservée, par exemple, aux seuls cas dans lesquels le véhicule n'est pas retrouvé en totalité.
En troisième lieu, le ministère de l'intérieur met en œuvre une procédure d'archivage des données à l'issue des durées de conservation prévues par l'article 5 du projet d'arrêté, formalisée au V de l'article 5 du projet d'arrêté. Cet archivage vise notamment à permettre d'accéder aux données en cas de contentieux relatif à la propriété d'un bien.
Les données seront conservées dix ans sur un support distinct non modifiable, qui devra faire l'objet de mesures de sécurité spécifiques, et ne seront accessibles qu'à la seule direction technique. La commission estime que cette durée d'archivage est proportionnée, au regard de la nature des biens qui peuvent être enregistrés dans le FOVeS et des durées de conservation fixées par le présent projet d'arrêté.
Sur les destinataires des données :
L'article 4 du projet d'arrêté liste les destinataires des données enregistrées dans le traitement, en distinguant les personnels bénéficiant d'un accès direct aux données (article 4-I du projet d'arrêté) des personnels à qui ces informations pourront être communiquées (article 4-II du projet d'arrêté).
L'accès et la communication de données aux personnels prévus dans le cadre de l'expérimentation du FOVeS n'appellent pas d'observation particulière de la part de la commission.
Deux nouvelles catégories de personnels pourront en outre accéder directement aux données enregistrées dans le traitement FOVeS.
Il s'agit, en premier lieu, des agents du service à compétence nationale dénommé « Unité Information Passagers » (UIP), créé par le décret du 22 décembre 2014 susvisé. Cet accès au FOVeS s'inscrit dans le cadre de la mise en œuvre du traitement dénommé « Système API/PNR France », dont les modalités de mise en œuvre sont prévues aux articles R. 232-12 et suivants du CSI. Le traitement « Système API/PNR France » procède en effet, de manière automatique et systématique, à un rapprochement des données qu'il contient avec d'autres fichiers de police judiciaire ou administrative relatifs à des personnes ou des objets recherchés ou surveillés, et notamment le FOVeS.
Il s'agit en l'espèce de déterminer si le document d'identité ou de voyage présenté par le voyageur est inscrit dans le FOVeS. L'article R. 232-14 du CSI prévoit ainsi que les fiches du FOVeS dont la mise en relation avec les données enregistrées dans le « Système API/PNR France » s'est avérée positive seront conservées dans ce dernier traitement.
S'agissant des modalités d'accès, la commission prend acte que les agents de l'UIP ne sont autorisés à accéder aux données du FOVes qu'en cas de concordance, afin de leur permettre d'effectuer une levée de doute.
Il s'agit, en second lieu, des agents des services en charge des enquêtes administratives, à savoir du Commandement spécialisé pour la sécurité nucléaire (COSSEN) et du Service national des enquêtes administratives de sécurité (SNEAS), dans le cadre de la mise en œuvre du dispositif de criblage précité.
Le traitement ACCRED procédera ainsi à une consultation automatique du FOVeS en mode hit/no hit. Si le document de la personne qui fait l'objet de l'enquête administrative ou son véhicule est connu du traitement FOVes, les agents des deux services précités seront alors tenus de procéder à une consultation du FOVeS en vue d'obtenir les informations nécessaires complémentaires pour procéder à l'analyse.
La commission relève que, contrairement aux autres fichiers consultés dans le cadre de ces enquêtes administratives, le FOVeS ne constitue pas un fichier de personnes mais un fichier de biens, qui appelle dès lors des modalités d'interrogation distinctes. Elle estime ainsi que cette consultation automatique ne devrait intervenir qu'à partir du numéro du document ou de la plaque d'immatriculation du véhicule de la personne concernée.
Sous réserve des précédentes observations, la commission estime que ces nouveaux accédants ont un intérêt légitime à accéder au traitement FOVeS.
S'agissant des personnels habilités à recevoir communication de données enregistrées dans le FOVeS, deux nouvelles catégories sont ajoutées.
D'une part, les contrôleurs de la préfecture de police exerçant leurs fonctions dans la spécialité voie publique et les agents de surveillance de Paris pourront être rendus destinataires de données enregistrées dans le FOVeS. L'article R. 325-13 du code de la route impose en effet, avant toute prescription de mise en fourrière, une vérification tendant à déterminer s'il s'agit d'un véhicule volé. La commission rappelle que seules les données nécessaires à l'exercice de leurs missions légales prévues à l'article R. 325-13 du code de la route doivent leur être communiquées et prend acte à cet égard que les informations transmises à ces nouveaux destinataires sont limitées à l'état du véhicule concerné (volé ou non).
D'autre part, il est prévu que le service statistique ministériel de la sécurité intérieure (SSMSI), créé par décret n° 2014-1161 du 8 octobre 2014, soit rendu destinataire de données enregistrées dans le traitement FOVeS, ce qui n'appelle pas d'observation particulière de la part de la commission.
Sur les droits des personnes :
L'article 8 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent indirectement auprès de la CNIL, pour les véhicules et objets surveillés. Il s'exercera en revanche de manière directe auprès de la direction générale de la police nationale ou de la direction générale de la gendarmerie nationale pour les véhicules volés et les objets perdus ou volés.
La commission constate que ce droit d'accès mixte, déjà en œuvre lors de l'expérimentation, est en outre cohérent par rapport à ce qui est prévu déjà par l'arrêté du 15 mai 1996 relatif au fichier des véhicules volés géré par le ministère de l'intérieur et n'appelle dès lors pas d'observation particulière de la part de la commission.
L'article 8 du projet d'arrêté prévoit que les victimes de vol ou les propriétaires d'objets perdus sont informés de la collecte et du traitement de leurs données.
La commission prend acte que, à sa demande, une information sera délivrée aux personnes concernées s'agissant de l'alimentation du traitement dénommé « N-SIS II » par le FOVeS, par l'intermédiaire d'une mention dans les procès-verbaux ou dans les notices d'informations communiquées aux plaignants lors du dépôt de la plainte.
Le droit d'opposition ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière de la part de la commission.
Sur la sécurité des données, la mise en relation avec d'autres traitements et la traçabilité des actions :
Il est prévu plusieurs mises en relation du FOVeS avec des traitements relatifs aux procédures judiciaires, avec des traitements mis en œuvre dans le cadre de la coopération internationale, avec plusieurs traitements relatifs aux véhicules et aux permis de conduire, ainsi qu'avec un traitement relatif aux détentions d'armes et de munitions. Dans le cadre de la pérennisation du FOVeS, de nouvelles mises en relation sont prévues, notamment avec le « système API/PNR France », le traitement dénommé « DOCVERIF » et des bases de données gérées par Interpol.
La confidentialité des transferts de données dans le cadre de ces interconnexions est sécurisée par la mise en œuvre d'un chiffrement, soit au niveau de la donnée, soit par l'utilisation de tunnels chiffrés. En particulier, l'accès au FOVeS via une application web est sécurisé au moyen du protocole https. Concernant le recours à ce protocole, la commission rappelle l'importance d'utiliser la version de TLS la plus à jour possible.
Les profils d'accès au FOVeS sont attribués par le chef de service, en fonction des besoins des missions, pour les agents de la police nationale et de la DLPAJ, tandis qu'ils sont automatiquement obtenus en fonction de l'emploi du militaire, ses qualifications et son affectation pour la gendarmerie nationale et les douanes. Dans les deux cas, les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité. De façon générale, la commission rappelle la nécessité d'effectuer régulièrement une revue globale des habilitations.
L'authentification s'effectue par identifiant et mot de passe ou, lorsqu'elle existe, par utilisation d'une carte agent et d'un code confidentiel. Compte tenu de la sensibilité de ce type d'application, la commission recommande la systématisation de l'utilisation de la carte agent ou d'un dispositif équivalent permettant l'authentification forte.
La commission a élaboré une recommandation relative aux modalités techniques d'authentification par mot de passe. La politique de mots de passe élaborée par le ministère de l'intérieur pourrait nécessiter une mise à jour afin de maintenir sa conformité à cette recommandation.
Dans tous les cas, les mots de passe doivent être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. La commission recommande pour cela d'appliquer une fonction de hachage à clé ou à sel, comme les fonctions bcrypt ou scrypt.
Enfin, l'article 7 du projet d'arrêté prévoit que des mesures de traçabilité seront mises en œuvre pour les opérations de création, consultation, modification et suppression.
La commission rappelle que ces traces doivent être exploitées régulièrement afin de détecter tout usage anormal, et ce d'autant plus que le projet d'arrêté étend les personnels habilités à accéder aux données enregistrées dans le FOVeS.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.