Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie, par le ministère de l'intérieur, d'une demande d'avis relative à un projet d'arrêté portant création d'un traitement automatisé de lutte contre la fraude au certificat d'immatriculation.
La création de ce traitement s'inscrit dans le cadre du « Plan préfecture nouvelle génération » (PPNG). Ce projet implique d'importants travaux de dématérialisation des démarches administratives liées notamment aux certificats d'immatriculation des véhicules (déclaration de cession, demandes de duplicata, changement d'adresse ou de titulaire). Cela conduira à la fermeture des guichets d'accueil physiques dédiés aux demandes de certificats d'immatriculation.
Celles-ci devront désormais être effectuées à partir d'un téléservice ou par l'intermédiaire de professionnel du commerce de l'automobile.
Pour pallier l'absence de face-à-face physique entre les usagers et les agents des préfectures au moment de la présentation de la demande de fourniture des pièces justificatives, le ministère de l'intérieur souhaite mettre en œuvre un outil de modélisation et détection, par des algorithmes (machine learning), de demandes potentiellement frauduleuses nécessitant une analyse approfondie.
Ce dispositif a également vocation à être utilisé pour permettre le pilotage et le suivi d'activité des centres d'expertise et de ressources titres (CERT) chargés de traiter les demandes dématérialisées dans le cadre du PPNG.
Compte tenu des enjeux et risques pour les droits et les libertés des personnes soulevés par de tels outils automatisés de détection et de lutte contre la fraude, particulièrement lorsqu'ils sont mis en œuvre à une échelle nationale, la commission estime que le traitement envisagé doit être entouré de garanties particulièrement fortes de nature à limiter ces risques, notamment en termes d'information des personnes concernées, et assurer un niveau élevé de protection des données.
La commission rappelle à cet égard que, dès mai 2018, la nouvelle réglementation européenne en matière de protection des données, qu'il s'agisse de l'article 35 du règlement général relatif à la protection des données ou de l'article 27 de la directive du Parlement européen et du Conseil (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, imposera la réalisation d'une analyse d'impact relative à la protection des données avant la mise en œuvre de traitement « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Par ailleurs, la commission s'interroge sur l'adéquation de la base légale de la saisine du ministère, à savoir l'article 26-I (2°) de la loi n° 78-17 du 6 janvier 1978 modifiée, avec la finalité du traitement projeté. En effet, si la mise en œuvre du traitement de lutte contre la fraude en matière d'immatriculation intègre, parmi d'autres objectifs, celui de prévention et de recherche d'infractions pénales, elle semble s'inscrire dans une finalité plus globale de sécurité publique.
Ainsi, les éléments fournis dans le cadre de l'instruction de cette demande d'avis amènent la commission à considérer que la finalité principale de ce dispositif est d'éviter la délivrance de certificats d'immatriculation indus, en vue notamment de répondre à un impératif de sécurité routière. Elle retient que, de manière subsidiaire, l'analyse effectuée sur la base de ce traitement peut conduire le préfet à saisir le procureur de la République en application de l'article 40 du code de procédure pénale afin que des poursuites judiciaires soient engagées.
Le ministère de l'intérieur n'a pas produit d'éléments qui permettent de considérer que, dans l'usage du traitement envisagé, le recours aux poursuites pénales aurait un caractère prépondérant, principal ni même fréquent. En effet, un système de détection des incohérences et défaillances dans les déclarations effectuées en ligne doit, avant tout, permettre que celles-ci soient corrigées et rectifiées, ces erreurs pouvant avoir été commises de bonne foi, et réserver la voie pénale aux seuls cas de fraude avérée.
En conséquence, la commission estime que ce dispositif s'apparenterait davantage à un traitement qui « intéresse […] la sécurité publique » qu'à un traitement « ayant pour objet » la prévention et la constatation d'infractions pénales et qu'il doit être fait application de l'article 26-I (1°) de la loi n° 78-17 du 6 janvier 1978 modifiée ainsi que des dispositions qui en découlent.
Sur la finalité :
La finalité du traitement projeté apparaît légitime dans la mesure où celui-ci s'inscrit dans le cadre de la lutte contre la fraude et a pour principal objectif d'améliorer et de faciliter la détection des dossiers à risques ou frauduleux, à partir des données relatives aux usagers.
L'outil résulte d'un programme basé sur des méthodes algorithmiques de statistiques et mathématiques. Analysant les données issues du « système d'information des véhicules », il permet de mettre en évidence des incohérences dans les dossiers de demande d'immatriculation et de modéliser des cas de fraude potentiels.
Le ministère de l'intérieur a précisé que les types de fraude visés sont principalement liés à la sécurité routière (trafic de véhicules endommagés) ou au paiement des taxes (fraude sur immatriculations provisoires successives). Il a ajouté que la version ultérieure de l'outil pourrait également permettre de détecter des cas de fraude interne. La procédure spécifique à suivre dans de tels cas devrait alors être définie par le préfet en lien avec l'administration centrale.
La commission relève que le dispositif est limité aux fraudes liées à l'immatriculation de véhicule. Il permet d'émettre des alertes destinées à faire l'objet d'une vérification manuelle par le personnel habilité. L'interconnexion avec le « système d'immatriculation des véhicules » ou SIV, dans la limite des données mentionnées à l'article 2 du projet d'arrêté, apparaît dans ces conditions légitime. A cet égard, la commission prend acte que la mise en œuvre du traitement n'appelle pas d'interconnexion avec d'autres traitements que le SIV.
Sur les données traitées :
L'article 9 du projet d'arrêté a pour objet de modifier l'arrêté du 10 février 2009 portant création du « système d'immatriculation des véhicules » afin qu'il y soit expressément prévu son interconnexion avec le traitement de lutte contre la fraude au certificat d'immatriculation.
L'article 2 du projet d'arrêté limite les données à caractère personnel traitées dans le cadre du dispositif à celles issues du « système d'immatriculation des véhicules », relatives essentiellement au véhicule, au demandeur de certificat d'immatriculation et au professionnel ayant transmis la demande ainsi qu'à celles enregistrées dans le cadre de l'instruction de la demande ou de demandes antérieures.
La commission relève qu'au vu des éléments qui ont été fournis par le ministère de l'intérieur dans le cadre du dossier de saisine seront principalement utilisées les données relatives aux opérations d'immatriculation effectuées, les caractéristiques techniques des véhicules, les données d'immatriculation et les données relatives aux professionnels du commerce de l'automobile intervenus sur le véhicule ou par l'intermédiaire duquel la demande est effectuée.
En outre, la commission constate que parmi la liste des données traitées figure une catégorie « commentaires techniques » qui a vocation à comporter les éléments de restitution de l'instruction menée par l'agent. La commission prend acte que, conformément à ses recommandations, le ministère s'engage à intégrer, dès la prochaine version du traitement, un menu déroulant ou un outil de vérification automatique des mots enregistrés dans ces zones commentaires.
Sur la durée de conservation :
L'article 5 du projet d'arrêté prévoit que les données à caractère personnel utilisées dans le cadre de ce traitement sont analysées pour la période correspondant à la durée de conservation des données au sein du « système d'immatriculation des véhicules », soit cinq ans à compter de la date de la destruction physique du véhicule.
La seule restriction prévue concerne les données liées à la détection de la fraude et à l'instruction du dossier. La commission prend d'ailleurs acte que le projet d'arrêté sera modifié sur ce point afin de limiter la durée de conservation de ces données à une période de six ans après leur enregistrement.
De manière générale, le ministère justifie d'une telle conservation de données calquée sur celle de la base source en indiquant qu'elle permet d'assurer leur cohérence et la pérennité de la base de connaissances.
La commission prend acte de l'impératif de disposer d'un historique détaillé et d'une certaine antériorité de données dans le cadre d'un tel traitement de lutte contre la fraude mais rappelle toutefois que la durée de conservation des données à caractère personnel doit être proportionnée aux situations en cause (fraudes avérées ou simple signalement), afin de se conformer aux dispositions de l'article 6 (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée. La commission retient notamment que des mesures de pseudonymisation ou, a minima, la suppression des données directement identifiantes devraient être envisagées s'agissant des données utilisées en vue de l'amélioration des algorithmes.
Sur l'information des personnes :
L'article 7-I du projet d'arrêté exclut l'application des droits d'information et d'opposition à ce traitement.
L'absence de droit d'opposition des personnes n'appelle pas d'observation de la part de la commission.
S'agissant de l'information des personnes, le ministère envisageait de l'exclure sur la base des dispositions de l'article 32-VI de la loi n° 78-17 du 6 janvier 1978 modifiée applicable aux traitements ayant pour objet la prévention et la recherche d'infractions pénales. Il indiquait que permettre à une personne d'obtenir des informations relatives au traitement, notamment les critères retenus pour la détection des fraudes, compromettrait l'objectif recherché.
La commission estime qu'une telle information ne contreviendrait pas aux finalités poursuivies en l'espèce.
Dès lors que le but recherché est de faire obstacle à la fraude, la prévention et la dissuasion de celle-ci sont aussi, voire plus, importantes que la procédure pénale qui est susceptible d'être engagée.
A cet égard, une information générale sur la mise en œuvre d'outils de contrôle par l'administration constitue un facteur important de dissuasion des tentations de fraude.
La commission rappelle que les dispositions de l'article 32 de la loi du 7 janvier 1978 modifiée permettent que l'information délivrée aux personnes concernées reste générale, et n'imposent aucunement que soient révélées des précisions sur les méthodes et critères mis en œuvre dans le cadre du traitement projeté.
La commission relève à cet égard que l'article 8 du projet d'arrêté fait application de l'article L. 311-5 (2°) du code des relations entre le public et l'administration pour exclure le droit des personnes à obtenir information et communication des règles caractéristiques du traitement algorithmique réalisé.
Elle prend dès lors acte de l'engagement du ministère d'assurer une telle information et de modifier le projet d'arrêté en conséquence.
Par ailleurs, dans l'esprit des dispositions de l'article 10 de la loi n° 78-17 du 6 janvier 1978 modifiée, la commission estime qu'une information générale devrait également être fournie aux personnes concernées dans le cas où des pièces complémentaires leur seraient demandées. Une information claire à ce stade permet en effet aux personnes concernées de prendre la mesure de la demande qui leur est faite et des conséquences éventuelles d'un défaut de réponse de leur part. Cela peut également permettre d'améliorer la qualité des réponses et documents transmis par les personnes concernées. Enfin, cette transparence assure que les personnes puissent présenter leurs observations le cas échéant, et limite d'autant le risque de discrimination engendré en cas de non-réponse ou de réponse insatisfaisante.
Sur le droit d'accès aux données :
L'article 7-II du projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent, de manière indirecte, auprès de la Commission nationale de l'informatique et des libertés.
Le ministère fonde cette disposition sur celles de l'article 42 de la loi n° 78-17 du 6 janvier 1978 modifiée relatives à la possibilité de prévoir l'application du droit d'accès indirect aux traitements mis en œuvre par les administrations publiques qui ont pour mission de prévenir, rechercher ou constater des infractions.
Or, la commission estimant que le traitement s'apparente non pas à un tel traitement mais à un traitement intéressant la sécurité publique, elle considère qu'il doit être fait application de l'article 41 de la loi n° 78-17 du 6 janvier 1978 modifiée.
Si de telles modalités d'accès indirectes sont autorisées par cette disposition, la commission relève que l'essentiel des données enregistrées dans le cadre de ce traitement sont issues du « système d'immatriculation des véhicules », pour lesquelles les droits d'accès et de rectification s'exercent directement par les personnes concernées.
Elle rappelle en outre que l'article 39-I (5°) de la loi n° 78-17 du 6 janvier 1978 modifiée permet aux personnes concernées d'accéder aux informations permettant « de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques » et ce, y compris en cas de droit d'accès indirect.
La commission recommande donc au ministère de faire application du dernier alinéa de l'article 41 de la loi n° 78-17 du 6 janvier 1978 modifiée qui prévoit la possibilité d'établir une dissociation par catégories de données entre celles dont la communication ne mettrait pas en cause la finalité poursuivie, qui pourraient donc être communiquées au requérant par le gestionnaire du fichier directement saisi, et les autres données directement liées aux critères de détection de la fraude, soumises au droit d'accès indirect.
A cet égard, la commission recommande que soit établi un point de contact national chargé de la gestion de ces procédures d'accès indirect.
Sur la sécurité des données :
Si les mesures de sécurité prévues par le ministère de l'intérieur apparaissent satisfaisantes au regard de l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée, la commission rappelle toutefois que celles-ci devront faire l'objet d'une réévaluation régulière permettant de tenir compte des risques et de l'évolution des technologies.