Articles

Article AUTONOME (Délibération n° 2017-152 du 18 mai 2017 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « ACCRED » (demande d'avis n° 17006644))

Article AUTONOME (Délibération n° 2017-152 du 18 mai 2017 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « ACCRED » (demande d'avis n° 17006644))


Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « ACCRED ».
Ce traitement doit notamment faciliter la réalisation d'enquêtes administratives prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du code de la sécurité intérieure (CSI) en permettant, d'une part, la consultation automatique de traitements de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée et, d'autre part, la centralisation des informations recueillies dans le cadre de ces enquêtes. Parmi les données à caractère personnel susceptibles d'y être enregistrées, figurent des catégories de données relevant du I de l'article 8 de la loi du 6 janvier 1978 modifiée.
Le traitement projeté doit donc être autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la commission, conformément à l'article 26-II de la loi du 6 janvier 1978 modifiée.
Sur les finalités poursuivies :
Aux termes de l'article 1er du projet de décret, le traitement ACCRED, mis en œuvre par la Direction générale de la police nationale (DGPN) et la Direction générale de la gendarmerie nationale (DGGN) du ministère de l'intérieur, a pour finalités :


- d'exploiter et de conserver les informations recueillies dans le cadre d'enquêtes administratives réalisées en application des articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI ;
- de faciliter la délivrance et le suivi des autorisations d'accès aux installations nucléaires intéressant la défense nationale ou désignées comme établissements, installations ou ouvrages d'importance vitale.


La création du traitement ACCRED est justifiée, d'une part, par l'adoption de nouveaux dispositifs législatifs imposant la réalisation d'enquêtes administratives conditionnant l'accès à certains emplois ou sites sensibles et, d'autre part, par l'évolution des modalités de réalisation des contrôles effectués à l'occasion de ces enquêtes. Les enquêtes prévues à l'article L. 211-11-1 du CSI, issu de l'article 53 de la loi n° 2016-731 du 3 juin 2016 susvisée et relatif à la sécurité des grands évènements, ainsi que celles mentionnées à l'article L. 114-2 du CSI, dans sa rédaction issue de la loi n° 2017-258 du 28 février 2017 relative à la sécurité publique et qui concerne la sécurité des transports publics et le transport de marchandises dangereuses, s'ajoutent en effet aux possibilités d'enquêtes administratives déjà prévues par l'article L. 114-1 du même code.
La commission relève en outre qu'est prévu, dans le cadre des enquêtes relevant des articles L. 114-2 et L. 211-11-1 du CSI et pour certaines enquêtes prévues à l'article L. 114-1 du même code, un renforcement des contrôles effectués avec la consultation de multiples traitements de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée, sur lequel elle s'est prononcée, s'agissant du dispositif relatif aux grands événements, dans la délibération susvisée du 9 mars 2017.
Les traitements dont la consultation est envisagée sont :


- le traitement d'antécédents judiciaires (TAJ), dont les conditions de mise en œuvre sont prévues aux articles 230-6 et suivants et R. 40-23 et suivants du code de procédure pénale ;
- le fichier des personnes recherchées (FPR), prévu par le décret n° 2010-569 du 28 mai 2010 susvisé ;
- le traitement « enquêtes administratives liées à la sécurité publique » (EASP), prévu aux articles R. 236-1 et suivants du CSI ;
- le traitement « prévention des atteintes à la sécurité publique » (PASP), prévu aux articles R. 236-11 et suivants du CSI ;
- le traitement « Gestion de l'information et prévention des atteintes à la sécurité publique » (GIPASP), prévu aux articles R. 236-21 et suivants du CSI ;
- le fichier FSPRT ;
- le traitement CRISTINA ;
- le fichier des objets et véhicules signalés (FOVeS), dont la création, suite à son expérimentation, est prévue par un projet d'acte réglementaire examiné ce même jour par la commission ;
- le traitement de données à caractère personnel dénommé GESTEREXT, dont la création est prévue par un projet d'acte réglementaire examiné ce même jour par la commission.


Les enquêtes prévues à l'article L. 114-2 du CSI peuvent en outre donner lieu à la consultation du bulletin n° 2 du casier judiciaire.
C'est dans ce contexte qu'est envisagée la création du traitement de données à caractère personnel ACCRED, qui doit permettre une consultation automatique et simultanée des fichiers précédemment mentionnés, à l'exception des traitements CRISTINA et GESTEREXT, « aux fins de vérifier si l'identité de la personne concernée y est enregistrée », et la centralisation de l'ensemble des informations collectées dans le cadre des enquêtes.
Le dispositif ainsi envisagé sera mis en œuvre par deux nouveaux services à compétence nationale : le « Service national des enquêtes administratives de sécurité » (SNEAS), créé par le décret n° 2017-668 du 27 avril 2017 susvisé et rattaché à la DGPN, et le « Commandement spécialisé pour la sécurité nucléaire » (CoSSeN), créé par le décret n° 2017-588 du 20 avril 2017 susvisé et rattaché à la DGGN.
La commission relève que le traitement précité dénommé EASP est déjà mis en œuvre par la DGPN pour faciliter la réalisation des enquêtes administratives.
Elle prend toutefois acte que le traitement ACCRED, dont la création est envisagée dans une perspective de rationalisation et d'homogénéisation des procédures, disposera de fonctionnalités différentes du traitement EASP, permettant de tenir compte de l'augmentation importante du nombre de demandes d'enquêtes qu'impliquent les dispositions législatives précitées.
Dans cette perspective, l'application ACCRED disposera en particulier d'une interface offrant la possibilité d'intégrer une liste de personnes au sujet desquelles l'avis de l'autorité administrative est demandé. Cette application permettra, d'une part, de consulter simultanément les traitements concernés par la consultation automatique et, d'autre part, d'adresser automatiquement la liste des personnes faisant l'objet de la demande d'avis à la Direction générale de la sécurité intérieure (DGSI), qui met en œuvre le traitement CRISTINA, et au service mettant en œuvre le traitement GESTEREXT, afin qu'ils vérifient manuellement si les personnes figurent dans ces traitements.
Les réponses à ces consultations, qui permettront de visualiser la mention « inconnu » ou « levée de doute » pour chaque fichier consulté de manière automatique et « sans observation » ou « levée de doute » pour les traitements CRISTINA et GESTEREXT, seront réceptionnées et automatiquement intégrées par le traitement ACCRED.
La commission prend acte de la nécessité d'accélérer et de faciliter les consultations réalisées dans le cadre de certaines enquêtes administratives, compte tenu de l'extension de leur champ d'intervention, et de l'intérêt, à cette fin, de l'automatisation des procédures d'interrogation de traitements de données à caractère personnel relevant de l'article 26 de la loi du 6 janvier 1978 modifiée. Elle relève en outre que l'automatisation des interrogations est accompagnée des mesures de journalisation adéquates et favorise ainsi la traçabilité des opérations.
Les finalités poursuivies par le traitement ACCRED apparaissent dès lors légitimes à la commission. Elle considère toutefois que des garanties doivent être prévues pour que l'automatisation des consultations ne conduise pas à ce que, contrairement aux dispositions de l'article io de la loi du 6 janvier 1978 modifiée, des avis ou des décisions résultent de la seule inscription d'une personne dans un traitement de données à caractère personnel.
Sur ce point, le projet de décret prévoit que « lorsque la consultation automatique révèle que l'identité de la personne concernée a été enregistrée dans un traitement, l'enquête administrative ne peut aboutir à un avis défavorable sans procéder à un complément d'information, par consultation dudit traitement ou par la saisine préalable du responsable dudit traitement ».
Si l'obligation d'un complément d'information ainsi prévue apparaît opportune, la commission estime qu'elle ne saurait se limiter à la consultation des données enregistrées dans le traitement dans lequel l'intéressé est inscrit. Les données enregistrées dans les traitements précités sont en effet susceptibles de résulter d'éléments déclaratifs et pourraient être erronées ou ne pas avoir fait l'objet d'une mise à jour récente. Compte tenu des préjudices importants qui pourraient découler de l'adoption d'un avis ou d'une décision défavorable infondés, la commission considère que le complément d'information envisagé doit imposer la réalisation de vérifications complémentaires, autres que la seule consultation du traitement dans lequel la personne est inscrite. Elle prend dès lors acte que le ministère s'engage à modifier le projet de décret en ce sens.
En outre, la commission estime que la rédaction de l'article 1er du projet de décret doit être explicitée ou clarifiée sur plusieurs points.
En premier lieu, le projet de décret fait référence aux enquêtes prévues à l'article L. 114-1, L. 114-2 et L. 211-11-1 du CSI, sans autre précision. Si le ministère a indiqué à la commission que, s'agissant des enquêtes relevant de l'article L. 114-1 du CSI, le champ d'application du dispositif se limiterait temporairement au secteur du nucléaire et serait ensuite étendu, il n'a aucunement défini les limites de cette extension, alors même que les enquêtes prévues par l'article L. 114-1 du CSI conditionnent l'adoption de décisions administratives nombreuses, très diverses et ne présentant pas toutes le même degré de sensibilité. La commission considère en particulier que la consultation des traitements FSPRT, GESTEREXT et CRISTINA, particulièrement sensibles et intéressant la sûreté de l'Etat, doit être réservée aux enquêtes préalables à certaines décisions, compte tenu de leur objet spécifique.
En l'absence de précisions fournies par le ministère sur les enquêtes précisément concernées par le dispositif projeté et en l'absence de justification sur la nécessité, pour chacune d'entre elles, de consulter ces traitements sensibles, la commission estime que la proportionnalité du dispositif n'est pas démontrée.
Elle rappelle qu'elle devra en tout état de cause être informée de l'évolution des conditions d'utilisation du traitement ACCRED et prend acte que le ministère s'engage à respecter cette obligation.
La commission regrette également, pour la clarté du dispositif et dans la mesure où les dispositions définissant les conditions de réalisation des enquêtes administratives concernées sont codifiées, que le ministère de l'intérieur n'ait pas prévu, dans lesdites dispositions du CSI, un renvoi aux dispositions du projet de décret définissant la liste des traitements susceptibles d'être consultés dans le cadre des enquêtes prévues aux articles L. 114-1 et L. 114-2 du CSI.
En deuxième lieu, la commission relève que les finalités du traitement ACCRED mentionnent la conservation des données recueillies dans le cadre d'enquêtes administratives. Si le ministère fait valoir que cette conservation est nécessaire à l'adoption de l'avis faisant suite à l'enquête, à la formalisation de ses résultats et en cas de contentieux, la commission estime que de telles utilisations ne nécessitent pas de mentionner la conservation des données enregistrées parmi les finalités du traitement, dès lors que ce dernier vise précisément à faciliter l'adoption de ces avis et que la durée de conservation prévue à cette fin par le projet de décret est suspendue en cas de procédure contentieuse.
Elle prend dès lors acte que la mention de la conservation des données au sein des finalités sera supprimée, de même que les dispositions précisant que le traitement aura également pour finalité de faciliter la délivrance et le suivi des autorisations d'accès aux installations nucléaires intéressant la défense nationale ou désignées comme établissements, installations ou ouvrages d'importance vitale, cette finalité n'étant pas distincte de la réalisation des enquêtes administratives déjà mentionnée par le projet de décret.
Sur les données traitées et leur durée de conservation :
L'article 2 du projet de décret prévoit l'enregistrement dans le traitement ACCRED de données à caractère personnel et informations relatives à la demande d'avis, à la personne faisant l'objet de l'enquête et aux résultats de l'enquête, qui apparaissent pertinentes au regard des finalités du traitement, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
L'article 3 du projet de décret prévoit la possibilité de collecter également certaines catégories de données à caractère personnel relevant du I de l'article 8 de la loi du 6 janvier 1978 modifiée. Cet article précise que la collecte doit être indispensable à la réalisation des enquêtes administratives et interdit de sélectionner dans les traitements une catégorie particulière de personnes à partir des seules données sensibles concernées, ce dont la commission prend acte.
Elle relève toutefois que l'objectif des enquêtes administratives est de porter une appréciation sur la dangerosité de comportements ou d'agissements et qu'à cette fin, la collecte d'informations relatives « aux origines raciales ou ethniques », qui ne renvoient à aucune catégorie de données objectives liées à des agissements ou des comportements, ne saurait être justifiée. Elle rappelle en outre que la mention de telles origines a pu être légalement autorisée dans d'autres traitements de données à caractère personnel aux seules fins d'identification et de signalement des individus susceptibles d'être recherchés, ce qui est sans rapport avec les finalités du traitement ACCRED. Elle prend dès lors acte que, à sa demande, le ministère s'engage à supprimer du projet de décret la disposition autorisant la collecte de données relatives aux origines raciales ou ethniques.
L'article 4 du projet de décret précise que « les données et informations enregistrées dans le traitement ACCRED peuvent être conservées pendant une durée de cinq ans à compter de leur enregistrement » et que, « par dérogation », les données et informations « sont conservées jusqu'à l'expiration du délai de recours contentieux dirigé contre l'avis ou, en cas de recours, jusqu'à ce qu'il ait été définitivement statué sur le litige ».
Il ressort toutefois des précisions apportées par le ministère que, contrairement à ce que semble indiquer le projet de décret, le délai de conservation de principe sera systématiquement celui du délai de recours contentieux et que la durée de conservation ne dépassera ce délai qu'en cas de contentieux effectif, ce dont la commission se félicite. Elle considère toutefois que la rédaction du projet de décret induit en erreur et doit être revue, la mention d'un délai de conservation de cinq ans et d'une « dérogation » possible à ce délai étant finalement injustifiées.
Sur les destinataires :
Le projet de décret distingue les agents ayant accès à tout ou partie des données et informations enregistrées dans le traitement des personnes qui peuvent être destinataires de tout ou partie de ces mêmes données et informations.
S'agissant des agents ayant accès aux données, il s'agit des agents du SNEAS, individuellement désignés et habilités par le directeur général de la police nationale, et des agents du CoSSeN, individuellement désignés et habilités par le directeur général de la gendarmerie nationale. Cet accès, qui n'est autorisé aux agents de ces deux services « qu'à raison de leurs attributions et dans la limite du besoin d'en connaître » et qui est limité « aux seules données et informations relatives aux enquêtes administratives qu'ils réalisent », apparaît justifié à la commission.
S'agissant des personnes pouvant être destinataires de tout ou partie de ces mêmes données et informations, le projet de décret mentionne en premier lieu tout autre agent d'un service du ministère de l'intérieur, chargé de la réalisation d'enquêtes administratives, pour les seules données relatives au sens de l'avis. Le ministère a précisé que cet accès doit permettre d'avoir connaissance de l'existence d'un avis antérieur d'incompatibilité et, le cas échéant, de renforcer la vérification des informations reçues dans le cadre d'une enquête administrative. Il a également indiqué que le sens de l'avis qui serait transmis pourrait être tant l'avis adopté par le SNEAS sur la base des enquêtes administratives prévues aux articles L. 114-2 et L. 211-11-1 du CSI, que le sens de l'avis émis par l'autorité administrative initialement saisie et compétente pour se prononcer sur l'accès à certains sites sur le fondement de l'article L. 114-1 du même code, sur la base des résultats de l'enquête réalisée par le CoSSeN.
La commission considère toutefois que la communication envisagée d'informations ou de données enregistrées dans ACCRED à des agents du ministère de l'intérieur dès lors qu'ils seraient chargés de la réalisation d'enquêtes administratives n'est pas justifiée par les finalités de ce traitement. Celui-ci vise en effet à faciliter les seules enquêtes administratives définies à l'article 1er du projet de décret, dont les méthodes de réalisation doivent être adaptées au regard de leur volume ou de leur sensibilité particulière.
Le projet de décret mentionne en deuxième lieu la communication aux personnes morales ou autorités administratives à l'origine de la demande des résultats de l'enquête. La commission prend acte que cette communication n'est envisagée que pour transmettre à l'autorité administrative compétente pour rendre l'avis justifiant l'enquête les éléments lui permettant de se prononcer et qu'elle est donc exclue dans les hypothèses où le SNEAS adopte lui-même l'avis résultant de l'enquête.
En troisième lieu, le projet de décret prévoit la communication au préfet de département du lieu d'exercice de l'emploi ou de l'établissement du sens des avis rendus à la suite des enquêtes administratives concernées. Le ministère a précisé que ces dispositions sont justifiées par la nécessité de transmettre des informations au dépositaire de l'autorité de l'Etat et responsable de l'ordre public dans le département concernant une personne résidant dans ce même département et qui pourrait porter atteinte à l'ordre ou la sécurité publique, par exemple en matière de radicalisation.
Sans contester la nécessité de la communication au préfet de département d'informations concernant des agissements susceptibles de porter atteinte à l'ordre public, la commission relève qu'elle n'est pas justifiée par les finalités précisément poursuivies par le traitement ACCRED et que les données utiles doivent donc être extraites d'un autre traitement. La commission demande donc que la disposition prévoyant la communication au préfet du sens des avis rendus soit supprimée du projet de décret.
En dehors de la définition des destinataires du traitement, le projet de décret prévoit la consultation automatique, dans les conditions précitées, des traitements FPR, FSPRT, FOVeS, TAJ, PASP, GIPASP et EASP. Cette consultation automatique, qui constitue l'objet même dudit traitement et doit dès lors être regardée comme une interconnexion, apparaît justifiée à la commission au regard de la nécessité de prendre en charge un volume important d'enquêtes et de procéder à la consultation simultanée de multiples traitements.
Sur l'information et les droits des personnes concernées :
Le projet de décret prévoit que l'obligation d'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée et le droit d'opposition prévu à l'article 38 de la même loi ne s'appliquent pas au traitement ACCRED, ce qui n'appelle pas d'observation de la part de la commission.
Il en va de même des dispositions prévoyant que le droit d'accès s'exerce de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Le traitement ACCRED permet l'interrogation directe de nombreux fichiers au sein de l'application. En ce qui concerne l'interrogation intégrée (TAJ, FPR, EASP, PASP, GIPASP, FOVeS et FSPRT), les connections entre le serveur ACCRED et les traitements interrogés se font au sein de la plate-forme virtualisée d'hébergement du Service du traitement de l'information gendarmerie (STIG) et sont sécurisées par une authentification mutuelle.
Concernant l'interrogation indirecte de CRISTINA et GESTEREXT, les réponses sont envoyées à ACCRED en pièce jointe chiffrée de courrier électronique.
La confidentialité des transferts de données est ainsi systématiquement sécurisée par la mise en œuvre d'un chiffrement, soit au niveau de la donnée, soit par l'utilisation de tunnels chiffrés. En particulier, l'accès au traitement est sécurisé au moyen du protocole https. Concernant le recours à ce protocole, la commission rappelle l'importance d'utiliser la version de TLS la plus à jour possible.
Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée. Celles-ci sont tracées de façon à permettre aux applications interrogées de remonter la trace d'un incident jusqu'à l'individu : les applications interrogées tracent les interrogations par ACCRED, tandis qu'ACCRED organise les traces des actions des utilisateurs au sein de l'application. La commission se félicite de l'adoption par le ministère de telles mesures de traçabilité, qui apparaissent d'autant plus justifiées que les consultations réalisées par le biais du traitement ACCRED et les données qui y seront enregistrées devraient être très nombreuses.
Des profils d'habilitation sont prévus afin de gérer les accès aux données. Afin de limiter les accès aux données nécessaires, bien que l'application soit partagée entre les deux services, SNEAS et CoSSeN, les agents d'une entité n'auront pas accès aux données utilisées par l'autre.
Les profils sont attribués par le chef de service, en fonction des besoins des missions, pour les agents du SNEAS, tandis qu'ils sont directement obtenus via l'application de gestion des ressources humaines AGHOR@ en fonction de l'emploi du militaire, ses qualifications et son affectation pour les gendarmes. Dans les deux cas, les permissions d'accès sont supprimées pour tout utilisateur n'étant plus habilité.
A cet égard, la commission rappelle la nécessité d'effectuer régulièrement une revue globale des habilitations.
L'authentification s'effectue soit via CHEOPS NG pour les agents de la police nationale, soit via PROXIMA pour les agents de la gendarmerie. Dans les deux cas, l'authentification s'effectue par identifiant et mot de passe ou, lorsqu'elle existe, par l'utilisation d'une carte agent. Au regard de la sensibilité du traitement, la commission invite le ministère de l'intérieur à réévaluer la possibilité de doter l'ensemble des agents concernés d'une telle carte ou d'un dispositif équivalent permettant une authentification forte.
La commission rappelle que, conformément à ses recommandations en la matière, les mots de passe doivent avoir une longueur minimale de douze caractères et être composés de lettres majuscules, minuscules, chiffres et symboles ou comporter entre huit et onze caractères, composés de trois des quatre possibilités précitées et associés à une restriction d'accès en cas d'erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d'attente incrémentielle, etc.).
En toute hypothèse, ceux-ci doivent être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. La commission recommande pour cela d'appliquer une fonction de hachage à clé ou à sel, comme les fonctions bcrypt ou scrypt.
Sous ces réserves, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.