Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis relative à un projet d'arrêté portant autorisation d'un traitement de données à caractère personnel relatif à l'instruction des propositions d'interdiction de sortie du territoire (IST) et au suivi des décisions d'IST, prévues aux articles L. 224-1 et R. 224-1 à R. 224-6 du code de la sécurité intérieure (CSI).
Ce traitement doit être autorisé par un arrêté pris après avis motivé et publié de la commission, conformément à l'article 26-1-1° de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
Le traitement envisagé, qui doit être mis en œuvre par la direction des libertés publiques et des affaires juridiques du ministère de l'intérieur, a pour finalités, aux termes de l'article 1er du projet d'arrêté, de permettre l'instruction et le suivi des décisions d'IST prévues à l'article L. 224-1 du CSI.
Cet article, issu de la loi n° 2014-1353 du 13 novembre 2014 renforçant les dispositions relatives à la lutte contre le terrorisme, permet au ministre de l'intérieur d'adopter une mesure d'IST à l'encontre de tout Français lorsqu'il existe des raisons sérieuses de penser qu'il projette soit des déplacements à l'étranger ayant pour objet la participation à des activités terroristes, soit des déplacements à l'étranger sur un théâtre d'opérations de groupements terroristes dans des conditions susceptibles de le conduire à porter atteinte à la sécurité publique lors de son retour sur le territoire français.
La mesure d'IST ne peut être prononcée que pour une durée maximale de six mois, mais peut être renouvelée. Outre l'inscription dans le Fichier des personnes recherchées dont la mise en œuvre est autorisée par le décret n° 2010-569 susvisé, l'IST entraîne l'invalidation du passeport et de la carte nationale d'identité de l'intéressé, notamment dans la base de données TES, créée par le décret n° 2016-1460 du 28 octobre 2016 susvisé. Un récépissé valant justification de son identité est donc remis à la personne concernée par le préfet du département dans lequel se situe le domicile, la résidence ou la commune de rattachement de l'intéressé ou par le préfet de police.
Dans un contexte marqué par l'aggravation de la menace terrorisme, le recours à des mesures d'IST est de plus en plus fréquent.
Pour faire face à une telle évolution, le ministère souhaite disposer d'un outil facilitant la conservation et le suivi des données et informations relatives à la procédure d'IST, de la date de saisine par le service demandeur jusqu'au prononcé effectif de la mesure ainsi que des données relatives aux suites afférentes à la mesure, notamment la restitution des titres, la remise d'un récépissé ou l'inscription de l'intéressé dans d'autres fichiers.
La mise en œuvre d'un traitement automatisé doit en outre faciliter l'instruction et le suivi des décisions d'IST en autorisant plusieurs utilisateurs à consulter les données de manière simultanée et en permettant la création d'alertes pour mieux gérer les procédures, notamment pour leur renouvellement.
Enfin, le traitement projeté doit permettre de générer automatiquement des tableaux de bord, facilitant ainsi la réalisation de statistiques.
Dans ces conditions, la commission considère que les finalités poursuivies par le traitement envisagé sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données traitées et leur durée de conservation :
Plusieurs catégories de données ou informations seront enregistrées dans le traitement.
Seront d'abord enregistrées des données à caractère personnel relatives à la personne faisant l'objet de l'IST ou pour laquelle une telle mesure est envisagée, telles que les données d'état civil, la qualité de mineur ou majeure et, le cas échéant, la mention de son incarcération.
Seront également enregistrées des données relatives à l'instruction de la mesure d'IST et à la mise en œuvre de cette mesure, notamment la date de saisine par les services compétents d'une proposition d'IST, la date de signature d'une telle mesure et sa durée ou la mention des signalements informatiques effectués.
La commission considère que ces données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Elle prend acte, en outre, que le traitement ne fera l'objet d'aucune interconnexion ni d'aucune mise en relation.
Elle relève, en outre, que le projet d'arrêté fixe une durée de conservation des données différente selon que la procédure d'instruction ait abouti ou non à une décision d'IST.
En cas de décision d'IST, l'article 3 du projet d'arrêté prévoit une durée de conservation de trois ans à compter de la date de la décision. Une telle durée de conservation, compte tenu notamment de la nécessité de pouvoir disposer de l'historique des mesures précédemment adoptées en cas de nouvelle proposition d'IST, n'apparaît pas excessive à la commission au regard des finalités pour lesquelles les données sont collectées et traitées.
N'apparaît pas non plus excessive la durée de conservation d'un an à compter de la date de la proposition, prévue à l'article 3 du projet d'arrêté dans l'hypothèse où une telle proposition ne donnerait pas lieu à une décision d'IST.
La commission prend acte, par ailleurs, que malgré le renouvellement possible de la durée de conservation à chaque nouvelle mesure d'IST, la durée de conservation des données ne pourra excéder, en toute hypothèse, vingt ans.
Enfin, elle relève que le projet d'arrêté prévoit la conservation, au-delà des durées précitées, de certaines informations aux seules fins de suivi statistique des mesures d'IST, ce qui n'appelle pas d'observation de la part de la commission dans la mesure où seront supprimées les données nominatives relatives aux personnes faisant l'objet de la mesure, leur taille, leur adresse personnelle, leur signalement informatique et leur numéro de récépissé.
Sur les destinataires :
Le projet d'arrêté distingue les personnes ayant accès à tout ou partie des données à caractère personnel et informations mentionnées dans le traitement et les personnes pouvant être destinataires de données à caractère personnel dans le cadre de leurs attributions.
S'agissant des premiers, le projet d'arrêté mentionne les agents de la direction des libertés publiques et des affaires juridiques du ministère de l'intérieur. Dans la mesure où cet accès est réservé aux agents chargés de la procédure d'interdiction de sortie du territoire, individuellement désignés et habilités, il apparaît justifié au regard des finalités du traitement.
S'agissant des personnes pouvant être destinataires de données et informations contenues dans le traitement, le projet d'arrêté mentionne :
- les agents chargés de la mise en œuvre des décisions d'interdiction de sortie du territoire ou de la délivrance des cartes nationales d'identité et des passeports au sein des services déconcentrés du ministère de l'intérieur ;
- les agents chargés de la délivrance des cartes nationales d'identité et des passeports au sein du ministère des affaires étrangères ou du réseau consulaire ; les agents des services de la police nationale, de la gendarmerie nationale et des douanes chargés des missions de recherche et de contrôle de l'identité des personnes, de la validité et de l'authenticité des titres d'identité et de voyage ;
- les agents des services de la police nationale et les militaires des unités de la gendarmerie nationale chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la nation et des actes de terrorisme ;
- les agents du service spécialisé de renseignement mentionné à l'article R. 811-1 du code de la sécurité intérieure relevant du ministère de l'intérieur, pour les seuls besoins de la prévention des atteintes aux intérêts fondamentaux de la nation et des actes de terrorisme.
La communication d'informations à ces catégories de destinataires, qui ne pourra intervenir que dans le cadre de leurs attributions et dans la limite du besoin d'en connaître, n'appelle pas d'observation de la part de la commission.
Sur l'information et les droits des personnes concernées :
Le projet d'arrêté prévoit que l'obligation d'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée, de même que le droit d'opposition prévu à l'article 38 de la même loi ne s'appliquent pas au traitement, ce qui n'appelle pas d'observation de la part de la commission.
Il en va de même des dispositions prévoyant que le droit d'accès s'exerce de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Concernant l'authentification des personnes habilitées à accéder au traitement, la commission rappelle, conformément aux recommandations formulées dans sa délibération n° 2017-012 du 19 janvier 2017, que le ministère est invité à mettre en place un mécanisme de restriction de l'accès au compte, qui doit prendre une ou plusieurs des formes suivantes :
- une temporisation d'accès au compte après plusieurs échecs, dont la durée augmente exponentiellement dans le temps, étant rappelé que la commission recommande que cette durée soit supérieure à 1 minute après 5 tentatives échouées et permette de réaliser au maximum 25 tentatives par 24 heures ; et/ou
- un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (p. ex. : « captcha ») ; et/ou
- un blocage du compte après un nombre d'authentifications échouées consécutives au plus égal à 10.
A défaut de mise en place d'un tel mécanisme de restriction de l'accès au compte, la taille des mots de passe des utilisateurs devra être portée à 12 caractères, et ceux-ci devront comprendre obligatoirement des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Concernant les profils d'habilitation de l'application, la commission prend acte de l'existence de trois profils différents, adaptés aux missions des différents agents ayant à intervenir sur l'application.
Concernant le chiffrement des échanges de données entre le serveur et les postes clients, la commission prend acte du fait que les données seront chiffrées via le protocole TLS, utilisé dans les versions 1.1 et 1.2. La commission rappelle toutefois que l'ANSSI tolère l'utilisation de la version 1.1 de TLS uniquement avec prise en charge de TLS_FALLBACKSCSV.
Concernant les mesures de traçabilité des accès à l'application et aux données, la commission prend acte que l'ensemble des consultations et interventions dans la base seront tracées pendant une durée d'un an. La commission rappelle au ministère que ces traces doivent inclure l'identifiant de l'utilisateur à l'origine de l'opération ainsi que l'identifiant du dossier concerné par la consultation ou la modification.
La commission prend acte de la réalisation par le ministère d'une analyse de sécurité permettant de déterminer les objectifs de sécurité du traitement mis en œuvre, conformément au guide sécurité des systèmes d'information (GISSIP) de l'agence nationale de sécurité des systèmes d'information (ANSSI). La commission regrette toutefois que cette analyse ne prenne pas en compte les risques pour les personnes concernées par le traitement, et suggère que cet axe d'analyse soit intégré aux analyse de sécurité réalisées par le ministère.
La commission prend également acte de l'acceptation formelle des risques résiduels présentés par l'application par la commission d'homologation du ministère, conformément à la politique de sécurité des systèmes d'information de l'Etat et de la politique de sécurité des systèmes d'information du ministère de l'intérieur.
Les autres mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.