La Commission nationale de l'informatique et des libertés (ci-après la « Commission ») a été saisie par la ministre des armées d'une demande d'avis relative à un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « FL@sh EVENT » relatif au signalement d'évènements graves lesquels ont été fixés par une instruction ministérielle.
Ce traitement doit permettre de porter à la connaissance de plusieurs services du ministère des armées et, le cas échéant, du ministre, tout événement grave mettant en cause, comme victime ou auteur, un personnel militaire ou civil dans une affaire susceptible d'emporter des conséquences aux plans disciplinaire, pénal ou médiatique. La Commission relève ainsi d'emblée le périmètre particulièrement large du dispositif envisagé, lequel doit dès lors faire l'objet de conditions de mise en œuvre strictement définies et être entouré de garanties satisfaisantes.
La Commission relève que le traitement « FL@sh EVENT » est mis en œuvre uniquement à des fins d'information du ministre, des états-majors, directions et services du ministère de la survenance de ces évènements (outil visant à assurer la remontée d'informations) et n'a pas pour but d'organiser l'instruction d'éventuelles suites disciplinaires ou judiciaires données à ces événements et réalisées par l'intermédiaire d'autres traitements. A cet égard, elle relève que plusieurs garanties sont prévues, parmi lesquelles l'absence de mise en relation avec d'autres traitements de données à caractère personnel.
Compte tenu des finalités poursuivies par le traitement « FL@sh EVENT » ainsi que des précisions apportées par le ministère, la Commission estime qu'il y a lieu de faire application des dispositions du RGPD. Elle relève par ailleurs que le ministère entend se prévaloir du fondement légal de l'exécution d'une mission d'intérêt public, conformément à l'article 6.1.e du RGPD.
Dans la mesure où des données mentionnées au I de l'article 6 de la loi n° 78-17 du 6 janvier 1978 modifiée susvisée (données « sensibles » à l'exclusion des données génétiques et biométriques) sont susceptibles d'être enregistrées dans le traitement « Fl@sh EVENT », le ministère considère que sa création doit fait l'objet d'un décret en Conseil d'Etat pris après avis motivé et publié de la Commission, conformément à l'article 6-III de cette même loi. La Commission relève qu'en l'état, le décret prévoit non seulement la transmission des comptes-rendus d'événements, mais en outre la constitution d'un fichier conservant systématiquement ces comptes-rendus pour une période de cinq ans.
Sur le fonctionnement du traitement « FL@sh EVENT » et les finalités poursuivies
L'article 1er du projet de décret précise que le traitement a uniquement pour finalité de « porter à la connaissance des états-majors, directions et services du ministère et, le cas échéant, du ministre de la défense, la survenance d'événements graves ». Ce même article précise que les événements graves susceptibles de faire l'objet d'un signalement sont ceux « mettant en cause, comme victime ou auteur, un personnel militaire ou civil dans une affaire susceptible d'avoir des conséquences au plan disciplinaire, pénal ou médiatique » ou portant « une atteinte grave au domaine et aux biens du ministre ou des établissements publics qui en dépendent ».
La Commission relève ainsi que le traitement mis en œuvre concerne les faits survenus au sein du ministère des armées ou des établissements publics qui en dépendent ainsi que tous ceux qui pourraient être associés à ce ministère sans l'impliquer directement. Elle prend ainsi acte de ce que sont susceptibles d'être concernés les événements dont l'auteur ou la victime est un membre de forces militaires étrangères en transit sur le territoire national ou un civil dans le cadre d'un événement ayant eu lieu dans une emprise militaire (tel que le survol d'un drone).
La Commission prend acte des précisions apportées par le ministère selon lesquelles le traitement constitue une procédure de compte-rendu immédiat et de simple information des hautes autorités précitées à des fins de communication (jusqu'à la communication de crise) et vise, ainsi, à se substituer aux « messageries d'autorité » utilisées au sein du ministère des armées. Elle relève toutefois qu'une telle précision n'apparaît pas dans le projet de décret et estime que l'article 1er devrait être modifié afin d'expliciter la finalité poursuivie par la remontée d'informations opérée au travers du traitement « FL@sh EVENT ». Une telle précision contribuerait à écarter toute ambiguïté notamment quant à l'utilisation des informations contenues dans ce traitement à des fins de poursuites éventuelles (disciplinaires et judiciaires).
La Commission relève que le traitement « FL@sh EVENT » repose, d'un point de vue opérationnel, sur la rédaction d'une « fiche compte-rendu », comprenant un résumé succinct des faits ainsi que des mesures prises ou envisagées à cet égard, par le chef d'organisme ou une personne qu'il a désignée à cet effet (le rédacteur). Ce rédacteur analyse ainsi la sensibilité de son signalement après avoir examiné les circonstances et les conséquences supposées de l'événement. S'il estime que l'événement est d'une particulière gravité et doit être porté directement à la connaissance du cabinet du ministre des armées, il choisit le format « FL@sh MIN ». S'il estime, en revanche, que l'événement présente une gravité moindre pour l'institution, il choisit le format « FL@sh ADS » qui est ensuite transmis à une chaîne de destinataires selon l'ADS concerné (pour « armée, direction générale, direction ou service du ministère »). La Commission prend enfin acte de ce que le signalement initial pourra être actualisé afin d'apporter des corrections ou des ajouts à un compte-rendu imprécis ou inexact et que cette actualisation sera réalisée de manière apparente.
La Commission relève qu'il résulte du fonctionnement même du traitement « FL@sh EVENT » que tout fait en lien avec l'activité du ministère des armées est susceptible de constituer un « événement grave » de nature à figurer dans ce traitement à l'exception toutefois de certaines catégories d'événements précisées par une instruction ministérielle du 30 avril 2020 (n° 20/ARM/CAB/CM11/NP), faisant l'objet de procédures de compte-rendu spécifiques, tels des « événements à caractère nucléaire ».
Si la Commission prend acte de ce que les événements pouvant donner lieu à un signalement dans le traitement « FL@sh EVENT » ont été énumérés dans le cadre de l'instruction ministérielle du 30 avril 2020 précitée, elle relève que certains d'entre eux semblent particulièrement larges ou ne font pas l'objet d'un degré de détail suffisant permettant effectivement d'en apprécier la gravité. Tel est le cas par exemple de la catégorie « Autres événements - Personnel » qui permet de renseigner « tout autre événement grave lié à un personnel ».
La Commission déduit de ce qui précède qu'en pratique, tout fait qui selon l'appréciation de l'autorité concernée revêt une importance particulière du point de vue de sa nature, de ses circonstances, des personnes impliquées ou de ses conséquences éventuelles est susceptible de faire l'objet d'une remontée d'informations via le traitement « FL@sh EVENT » y compris lorsqu'aucune donnée à caractère personnel n'est renseignée. A défaut de critère permettant de qualifier un seuil de « gravité » s'agissant des événements amenés à figurer dans ce traitement, elle rappelle l'importance d'entendre strictement cette notion de « gravité ». Compte tenu de ce qui précède, la Commission estime que l'article 1er du projet de décret devrait être modifié afin de ne viser que les événements considérés comme graves au sens de l'instruction ministérielle précitée.
La Commission relève enfin que, selon le ministère, les critères susceptibles de rendre obligatoire la réalisation d'une analyse d'impact relative à la protection des données (AIPD) ne sont pas réunis. Elle observe toutefois que le traitement « FL@sh EVENT » est notamment susceptible de contenir des données sensibles et qu'il n'est pas possible d'exclure, au regard de la nature particulière du traitement, que les personnes concernées, lorsqu'elles sont membres du personnel du ministère, soient considérées comme des personnes dites « vulnérables », eu égard au lien de subordination découlant de la relation de travail. Dans ces conditions, la Commission estime qu'une AIPD devrait être réalisée et ne lui être transmise que dans le cas où celle-ci ferait apparaitre des risques résiduels élevés.
Sur les données collectées
L'article 2 du projet de décret prévoit que peuvent faire l'objet d'un traitement les données relatives à « l'identité des personnes impliquées dans la survenance d'un événement grave », « leur vie professionnelle » ainsi que celles relatives à « la description de l'événement grave, des circonstances dans lesquelles il s'est produit et des suites qui lui ont été données, à l'exclusion de toute donnée relative aux condamnations pénales ».
La Commission prend acte de ce que pourront être collectées au titre de la catégorie relative à « l'identité des personnes », les données suivantes :
- la qualité de la personne : auteur présumé, victime présumée ou témoin présumé ;
- la catégorie de personnel : officier, sous-officier/officier marinier, militaire du rang, personnel de catégorie A, B ou C ;
- l'armée, direction ou service employeur de la personne ;
- l'armée, direction ou service gestionnaire de la personne ;
- le sexe de la personne ;
- les grade, nom, prénom et numéro d'identifiant défense de la personne.
Compte tenu de ces éléments, la Commission demande que l'article 2 du projet de décret soit précisé en ce sens.
En ce qui concerne les données collectées au titre de la « vie professionnelle », la Commission prend acte de ce que seront enregistrées « la catégorie de personnel militaire ou civil ainsi que la référence à l'armée, la direction ou le service gestionnaire ou employeur ».
La Commission relève par ailleurs que les données enregistrées au titre de cette catégorie dans le traitement « FL@sh EVENT » sont susceptibles de se recouper avec certaines des données enregistrées au titre de la catégorie « identité des personnes » (telles que la catégorie de personnel ou le grade etc.).
Si elle relève que le ministère s'est engagé à prévoir une annexe au décret détaillant les données collectées, elle estime qu'il aurait été préférable de les faire figurer directement dans le décret. Elle rappelle, en tout état de cause, que seules les données strictement nécessaires au regard de la finalité poursuivie par le traitement devront être collectées au titre de cette catégorie.
La Commission relève en outre que le rédacteur du compte-rendu décrit l'événement grave ainsi que les circonstances dans lequel il s'est produit, les suites données, « à l'exclusion de toute donnée relative aux condamnations pénales » en renseignant des champs libres.
La Commission rappelle, de manière générale, que les données traitées doivent être pertinentes, adéquates et non excessives au regard de la finalité poursuivie et qu'il revient au ministère d'assurer un contrôle strict des données renseignées via ces champs libres. Elle estime ce contrôle d'autant plus indispensable que des données sensibles pourront être collectées en fonction de la nature de l'événement signalé dans « FL@sh EVENT ». A cet égard, si la Commission prend acte de ce qu'il existe un « canevas » afin d'inciter le rédacteur à ne renseigner que les informations nécessaires au bon fonctionnement du dispositif, elle invite cependant le ministère à introduire un système permettant de filtrer les termes qui auront préalablement été définis comme étant interdits afin de veiller à la pertinence des informations collectées et à leur caractère non excessif.
La Commission relève également que des données relatives aux infractions mentionnées à l'article 10 du RGPD pourraient néanmoins être traitées. A cet égard, elle relève que le ministère entend se prévaloir des dispositions de l'article 46-1° de la loi n° 78-17 du 6 janvier 1978 modifiée et appelle son attention sur la nécessité d'enregistrer uniquement les données strictement nécessaires à la finalité poursuivie par le traitement.
Enfin, la Commission relève que si des documents pourront être joints au compte-rendu (description de l'événement par les protagonistes, procès-verbal de dépôt de plainte, etc.), aucune copie de pièce d'identité, photographie ou enregistrement vidéo n'est collectée.
Sur la durée de conservation
L'article 3 du projet de décret prévoit que les données à caractère personnel et informations enregistrées dans le traitement sont conservées pour une durée de cinq ans à compter de leur enregistrement. Ces données peuvent être conservées au-delà de cette durée en cas d'action contentieuse devant une juridiction administrative ou pénale, jusqu'à ce qu'il ait été définitivement statué sur le litige ou jusqu'à la clôture de l'enquête judiciaire.
La Commission prend acte de ce que ces durées de conservation ont été arrêtées en collaboration avec le service historique de la défense dans le cadre d'une stratégie d'archivage. Selon le ministère, cette durée de cinq ans correspond à la durée usuelle de conservation de données à caractère personnel, notamment à des fins d'engagement de poursuites disciplinaires et de gestion de recours juridictionnels.
Si la Commission prend acte de ces précisions, elle rappelle qu'aux termes de l'article 5 du RGPD, les données à caractère personnel doivent être conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Dans la mesure où le traitement « FL@sh EVENT » poursuit seulement une finalité d'information dans le cadre de la survenance d'événements graves et non d'instruction des suites disciplinaires ou judiciaires données à ces événements, la Commission s'interroge sur les raisons ayant conduit à conserver, par principe, les comptes-rendus pour cinq ans et non pour la durée strictement nécessaire à la remontée de l'information. Au regard des finalités poursuivies par le traitement « FL@sh EVENT », elle considère qu'une telle durée de conservation de ces données, en base active, n'apparaît pas proportionnée. Si elle prend acte de ce que des réflexions sont actuellement en cours pour envisager la création d'une base d'archivage intermédiaire, elle relève qu'aucune autre information ne lui a été transmise.
Sur les accédants et les destinataires
L'article 4 du projet de décret détaille la liste des accédants et destinataires du traitement « FL@sh EVENT » et prévoit trois niveaux d'accès distincts aux informations :
- les personnes pouvant accéder, à la seule fin de consultation, aux informations strictement nécessaires à leur mission ;
- les personnes pouvant accéder, aux fins de consultation et de modification, aux informations strictement nécessaires à leur mission ;
- les personnes pouvant accéder, aux fins de consultation et de modification, à l'ensemble des informations.
De manière générale, la Commission appelle l'attention du ministère sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels concernés, afin de limiter au strict nécessaire les personnes susceptibles d'accéder aux informations ou d'en recevoir communication.
Elle relève à ce titre que les données relatives aux actes de poursuite et aux mesures de sûreté prises par un juge font l'objet de règles plus strictes de communication et ne sont accessibles qu'à certaines catégories de personnes.
La Commission prend par ailleurs acte de ce que la liste des organismes recevant automatiquement communication des informations et données à caractère personnel selon la catégorie d'événements « FL@sh MIN » ou « FL@sh ADS » est précisée par l'instruction ministérielle du 30 avril 2020 précitée.
La Commission relève que selon cette instruction, il s'agit de permettre la transmission de données en fonction des catégories d'événements « hors chaînes hiérarchiques ». Afin de clarifier le dispositif dans son ensemble, elle demande que l'article 4-III du projet de décret soit précisé en ce sens.
La Commission observe en outre que certaines catégories de destinataires reçoivent automatiquement communication d'informations en fonction de différents critères, à savoir la catégorie d'événement, la chaîne de commandement de l'émetteur, la nature du compte-rendu, ou encore selon des indications portées par l'émetteur sur le compte-rendu (chaîne opérationnelle, zone géographique, etc.). La personne signataire peut en outre ajouter les destinataires supplémentaires qu'elle estime pertinents. A cet égard, la Commission appelle l'attention du ministère sur la nécessité de s'assurer que, conformément au principe du respect du besoin d'en connaître, seules les personnes pour lesquelles l'information est strictement nécessaire à leur mission en aient effectivement connaissance.
La Commission constate par ailleurs que la direction du renseignement et de la sécurité de la défense (DRSD) est rendue systématiquement destinataire des alertes transmises via « FL@sh EVENT ». Si cette transmission se justifie par les missions confiées à la DRSD en vertu des articles D. 3126-5 et suivants du code de la défense, elle rappelle que cette transmission à des fins de seule information ne doit pas conduire à ce que les données issues de « FL@sh EVENT » soient mises en relation, d'une quelconque manière, avec les traitements mis en œuvre par la DRSD.
Sur les autres conditions de mise en œuvre du traitement « FL@sh EVENT »
Sur les droits des personnes
La Commission prend acte de ce qu'une information générale sera publiée et que la personne qui effectue le signalement peut également se voir délivrer une information spécifique via sa connexion à l'application. Elle prend acte des précisions apportées selon lesquelles une information individuelle serait susceptible de compromettre l'objet même du traitement.
La Commission relève que si l'article 6 du projet de décret prévoit que les droits d'accès, de rectification, de limitation et d'opposition prévus aux articles 15 et suivants du RGPD s'appliquent, le droit à l'effacement est quant à lui exclu. Si elle estime, au regard des finalités poursuivies par le traitement « FL@sh EVENT » que cette exclusion n'est pas de nature à porter une atteinte excessive aux droits et libertés des personnes concernées, la Commission s'interroge sur les raisons ayant conduit à maintenir, en parallèle, le droit d'opposition dont l'exercice, au regard des fonctionnalités du traitement, semble difficilement réalisable.
Sur les mesures de sécurité et les transferts hors de l'Union européenne (UE)
La Commission prend acte des précisions apportées selon lesquelles des identifiants fonctionnels seront utilisés pour gérer l'accès au traitement, ce qui semble suggérer que certains comptes seront ainsi partagés entre différents utilisateurs. Elle rappelle que les comptes permettant d'accéder à des traitements de données à caractère personnel doivent être nominatifs et que les identifiants et mots de passe doivent être individuels, définis par les utilisateurs et connus d'eux seuls, et prend acte des engagements du ministère en ce sens.
La Commission relève que l'article 5 du projet de décret prévoit la conservation des traces pour une durée d'un an à compter de leur enregistrement. Ce même article prévoit par ailleurs que chaque opération fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention. La Commission rappelle que le traitement des traces de supervision a principalement pour finalité la détection et la prévention d'opérations illégitimes sur les données principales. Dans ce cadre, la Commission précise que des mécanismes d'analyse proactive automatique ou semi-automatique des traces, ainsi que des mesures organisationnelles, doivent être mises en œuvre afin de repérer la plupart des comportements illicites. La Commission considère dès lors qu'une durée de conservation des journaux de six mois est suffisante pour exploiter ces informations.
La Commission prend en outre acte des éléments apportés par le ministère selon lesquels :
- les données traitées dans le cadre du présent traitement ne seront accessibles que depuis le réseau interne du ministère, régulièrement homologué et considéré comme étant sûr ;
- le logiciel utilisé est un logiciel couramment utilisé, dont le code source est publiquement disponible, ce qui apporte une garantie non négligeable quant à sa fiabilité.
La Commission prend acte de ce qu'aucun transfert de données vers un Etat hors de l'Espace économique européen ou vers un destinataire établi dans un Etat n'appartenant pas à l'UE n'est réalisé. Elle rappelle que les transferts de données vers des pays tiers ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD. En l'absence de décision d'adéquation adoptée par la Commission européenne, de tels transferts ne pourront être réalisés que sous réserve que des garanties appropriées soient mises en œuvre conformément à l'article 46 du RGPD, en prenant en compte les circonstances du transfert ainsi que les recommandations du comité européen de la protection des données sur les mesures qui complètent les outils de transfert pour garantir le respect du niveau de protection des données à caractère personnel de l'UE.