Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis portant sur un projet d'arrêté portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Gestion Electronique des Courriers Internationaux » (GECI).
Le traitement projeté vise à permettre le référencement, le suivi et le recoupement des demandes et des réponses de coopération internationale en matière de police judiciaire émises et reçues par les services de la police nationale, de la gendarmerie nationale et de la douane judiciaire, ainsi que l'établissement de statistiques relatives à l'usage des outils de coopération internationale de police judiciaire. Il relève dès lors de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée et doit être autorisé par arrêté ministériel pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Aux termes de l'article 1er du projet d'arrêté soumis à la commission, le traitement projeté, qui doit être mis en œuvre par la Direction générale de la police nationale (DGPN) du ministère de l'intérieur, a pour finalités : « le référencement, le suivi et le recoupement des demandes et des réponses de coopération internationale en matière de police judiciaire émises et reçues par les services français compétents de la police et de la gendarmerie nationales et de la douane judiciaire, ainsi que l'établissement de statistiques relatives à l'usage des outils de coopération internationale de police judiciaire ».
Le ministère a précisé que le traitement GECI doit uniquement constituer un outil interne à la direction des relations internationales de la DGPN, permettant de faciliter la gestion et le suivi de toutes les demandes de coopération internationale en matière policière par l'attribution d'un numéro à chaque demande, le référencement unique des multiples messages relatifs à un même dossier ainsi que le recoupement des différentes demandes émises et reçues par les services français.
GECI doit en effet disposer d'une fonctionnalité permettant d'opérer des recoupements dans la base afin d'éviter des doublons. Cette fonctionnalité doit permettre :
- de ne pas attribuer deux numéros GECI à une demande de coopération portant sur un objet identique émanant de services différents ;
- d'aviser par un courriel unique les services ayant émis la même demande qu'un rapprochement a été opéré dans la base, afin qu'ils se contactent.
Enfin, la commission prend acte que le traitement comportera un module statistique qui permettra de mesurer la manière dont les canaux de coopération sont utilisés par les services français et étrangers par l'établissement de statistiques à la demande et automatiquement (production de tableaux hebdomadaires, mensuels, trimestriels…), afin d'avoir une connaissance plus fine de l'évolution du nombre de demandes émises ou reçues par la France, de leur répartition par grand type (observations transfrontalières, commission rogatoire internationale avec déplacement d'enquêteurs…) et de l'intensité de la coopération avec un pays donné.
Dès lors, la commission considère que les finalités poursuivies par le traitement sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les données traitées et leur durée de conservation :
Les données à caractère personnel qui seront enregistrées dans le traitement sont des données issues de procédures judiciaires transmises par les services d'enquêtes français et internationaux.
La commission prend acte que les catégories de personnes relatives auxquelles des données pourraient être enregistrées dans le traitement seront limitées aux personnes suivantes :
- personnes soupçonnées d'avoir commis ou tenté de commettre un crime ou un délit ;
- personnes à l'encontre desquelles existent des indices laissant supposer qu'elles ont l'intention de commettre un crime ou un délit ;
- personnes faisant l'objet d'une enquête judiciaire pour disparition inquiétante ;
- victimes, seulement lorsque la transmission de leur identité par ou vers un autre pays apparaît nécessaire à l'enquête (en matière d'enlèvements, de soustraction d'enfants, de traite ou d'exploitation d'êtres humains).
L'article 2 du projet d'arrêté définit plus précisément les catégories de données susceptibles d'être enregistrées dans le traitement.
S'agissant des signes physiques enregistrés en tant qu'éléments de signalement des personnes, la commission prend acte que les informations collectées se limiteront à la description objective d'un signe physique particulier sans utilisation de références ethno-raciales. Le ministère a également fait savoir que les utilisateurs seront sensibilisés à la stricte utilisation de ce champ et que des consignes écrites seront diffusées pour exclure l'enregistrement d'informations relatives à des signes physiques susceptibles de révéler directement ou indirectement l'appartenance, vraie ou supposée, à un ethnie, une nation ou une prétendue race, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ainsi que l'enregistrement de données relatives à la santé ou à la vie sexuelle des personnes concernées.
Concernant l'enregistrement de diverses informations relatives à l'objet et aux références de la demande de coopération internationale, notamment sur des moyens de transport (nature, numéro d'immatriculation, marque…), des moyens de communication (numéro de ligne téléphonique, adresse électronique, adresse IP…), des comptes bancaires, des moyens de paiement, certains types de produits (stupéfiants, explosifs, tabac…) ou encore des armes à feu, la commission prend acte qu'il est justifié par le fait que de tels informations peuvent faire l'objet d'investigations découlant de la demande de coopération. Par exemple, un véhicule, une arme ou un compte bancaire peuvent être utilisés par les auteurs présumés d'infractions et le service d'enquête demandeur peut ainsi avoir besoin d'en identifier le propriétaire ou de déterminer son implication possible dans des enquêtes conduites dans d'autres pays. L'enregistrement de ces éléments dans le traitement GECI permettra alors d'opérer des recoupements entre les demandes et, le cas échéant, d'informer les services enquêteurs qu'une précédente demande de coopération a déjà lieu sur une même voiture, un même numéro de téléphone, une même adresse IP, etc.
Enfin, il est prévu l'enregistrement, au titre de la catégorie de données intitulée « objets divers », de commentaires, étant précisé que ce champ constituera un champ non obligatoire permettant de mentionner certains objets non prévus dans le menu déroulant de la catégorie et que les utilisateurs seront sensibilisés à la stricte utilisation de ce champ par le biais de consignes écrites.
Au regard de l'ensemble de ces éléments, la commission estime que les données et informations enregistrées dans le traitement GECI sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Le projet d'arrêté fixe à trois ans après l'enregistrement de la dernière demande de coopération la durée de conservation de ces données. La commission prend acte que cette durée correspond à celle pendant laquelle la nécessité de procéder à des recoupements entre des demandes est la plus fréquente et qu'une durée de conservation inférieure ne laisserait pas aux différents services compétents le temps nécessaire pour enquêter et trouver des indices à l'encontre des auteurs d'infractions. Dans ces conditions, la commission considère que la durée de conservation prévue par le projet d'arrêté n'excède pas la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées, conformément à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires du traitement/des données :
Le projet d'arrêté distingue les personnes ayant accès à tout ou partie des données à caractère personnel enregistrées dans le traitement, des personnes pouvant être destinataires d'informations issues du traitement GECI.
S'agissant des premières, le projet précise que seuls auront accès au traitement, à raison de leurs attributions et dans la limite du besoin d'en connaître :
- les fonctionnaires de la police nationale, les militaires de la gendarmerie nationale et les agents des douanes affectés au sein des services et unités de la section centrale de coopération opérationnelle policière et du service en charge des actions de coopération européenne et internationale de la division des relations internationales de la direction centrale de la police judiciaire, individuellement désignés et habilités par leur chef de service ;
- les fonctionnaires de la police nationale et les militaires de la gendarmerie nationale des groupes de relations internationales des offices centraux de la direction centrale de la police judiciaire, de la direction centrale de la police aux frontières et de la sous-direction de la police judiciaire de la direction générale de la gendarmerie nationale individuellement désignés et habilités par leur chef de service.
S'agissant des secondes catégories de destinataires, qui ne peuvent également recevoir des informations que dans le cadre de leurs attributions et dans la limite du besoin d'en connaître, le projet d'arrêté mentionne :
- les fonctionnaires de la police nationale, les militaires de la gendarmerie nationale, les agents de la douane judiciaire ;
- les services d'enquête des Etats membres de l'espace Schengen, de l'Union européenne et des pays membres d'Interpol, l'agence européenne de police Europol et l'organisation internationale de police criminelle Interpol.
La commission prend acte que le projet d'arrêté a été modifié par le ministère pour tenir compte de ses observations et qu'il précise ainsi, d'une part, que les informations susceptibles d'être communiquées à ces derniers destinataires se limitent aux seuls numéros de dossier et, d'autre part, qu'une telle communication ne peut intervenir que lorsque les dossiers concernés ont fait l'objet d'un recoupement ayant donné lieu à un résultat positif.
Dans ces conditions, la commission considère que les accès aux données prévus par le projet d'arrêté sont justifiés au regard des finalités du traitement.
Sur l'information et les droits des personnes concernées :
Le projet d'arrêté prévoit que l'obligation d'information prévue à l'article 32 de la loi du 6 janvier 1978 modifiée et le droit d'opposition prévu à l'article 38 de la même loi ne s'appliquent pas au traitement, ce qui n'appelle pas d'observation de la part de la commission.
Il en va de même des dispositions prévoyant que les droits d'accès et de rectification s'exercent de manière indirecte auprès de la Commission nationale de l'informatique et des libertés, dans les conditions prévues aux articles 41 et 42 de la loi du 6 janvier 1978 modifiée.
Sur les mesures de sécurité du traitement :
La commission prend acte que l'ensemble de la chaîne de transmission des demandes de coopération est sécurisée, que les demandes seront conservées dans des boîtes aux lettres électroniques du domaine gouv.fr et qu'elles transiteront via la messagerie sécurisée SIENA et le réseau mondial 1/24, tous les deux mis à disposition par Interpol.
Elle prend également acte que des droits d'accès ad hoc sont prévus pour les agents accédant au traitement.
Leur authentification s'appuiera sur le portail CHEOPS.NG, soit au moyen d'une carte agent, soit d'un mot de passe. Sur ce dernier point, la commission rappelle que, conformément à ses recommandations dans ce domaine, les mots de passe doivent avoir une longueur minimale de douze caractères et être composés de lettres majuscules, minuscules, chiffres et symboles ou faire entre huit et onze caractères, être composés de trois des quatre possibilités précitées et être associés à une restriction d'accès en cas d'erreurs successives (blocage temporaire de compte, possibilité de nouvelles tentatives après une durée d'attente croissante, etc.), Ils doivent en outre être définis ou modifiés par l'utilisateur dès sa première connexion, puis régulièrement renouvelés et ne doivent pas être stockés en clair.
La commission relève qu'une traçabilité des actions des agents sera réalisée. Le projet d'arrêté prévoit en effet que les créations, consultations, mises à jour et suppressions de données du traitement font l'objet d'un enregistrement comprenant l'identifiant de l'auteur, la date, l'heure et l'objet de l'opération. Les informations relatives à ces opérations seront conservées pendant trois ans.
Enfin, elle prend acte que les sauvegardes seront chiffrées.
Dans ces conditions, la commission considère que les mesures prévues par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que le respect de cette exigence nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.