Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie en urgence par le ministère de la justice d'un projet de décret portant application de l'article 4-1 de l'ordonnance n° 58-1360 du 29 décembre 1958 portant loi organique relative au Conseil économique, social et environnemental (CESE). Une saisine rectificative lui a été transmise le 22 décembre 2021.
Il est prévu par la Constitution, en son article 69 alinéa 3, que « Le Conseil économique, social et environnemental peut être saisi par voie de pétition dans les conditions fixées par une loi organique. Après examen de la pétition, il fait connaître au Gouvernement et au Parlement les suites qu'il propose d'y donner ». Les conditions de mise en œuvre du droit de pétition auprès du CESE sont précisées par l'article 4-1 de l'ordonnance n° 58-1360 du 29 décembre 1958, qui fixe initialement à cinq cent mille signatures le seuil de recevabilité des pétitions.
La loi organique n° 2021-27 du 15 janvier 2021 relative au Conseil économique, social et environnemental a notamment abaissé les conditions permettant aux citoyens de saisir le CESE par voie de pétition, sur toute question à caractère économique, social et environnemental. Ainsi, désormais, l'article 4-1 de la l'ordonnance n° 58-1360 précitée, dans sa version issue de cette loi, permet au CESE d'être saisi par voie de pétition par au moins cent cinquante mille personnes âgées de seize ans et plus.
Le projet de décret vise à préciser les modalités et les conditions de recevabilité de la saisine du CESE par voie de pétition. Il définit les informations collectées auprès des signataires des pétitions et en détermine la durée de conservation. Il fixe également les règles relatives à l'accès à ces informations.
L'article 3 de la loi organique n° 2021-27 précitée prévoit que les informations recueillies auprès des signataires afin de garantir leur identification sont précisées par décret en Conseil d'Etat, pris après avis de la Commission.
La Commission souligne que la question de la détermination du droit applicable aux traitements de données personnelles mis en œuvre par le CESE dans le cadre du droit de pétition est délicate. Si certains traitements mettant en œuvre des dispositions constitutionnelles françaises et n'intéressant ni la défense nationale, ni la sûreté de l'Etat relèvent du seul titre Ier de la loi informatique et libertés (v. CNIL, SP, 14 janvier 2021, avis sur projet de décret, répertoire électoral unique, n° 2021-008, publié), la Commission rejoint le Gouvernement pour considérer qu'en l'espèce, le RGPD est applicable. En effet, la Cour de justice de l'Union européenne a estimé que le RGPD était applicable aux traitements de données à caractère personnel effectués par la Commission des pétitions du parlement d'un Etat fédéré d'un Etat membre dans le cadre de ses activités (CJUE, troisième chambre, 9 juillet 2020, n° C-272/19, VQ contre Land Hessen).
Sur les conditions générales de mise en œuvre du dispositif
En premier lieu, la Commission invite le Gouvernement à clarifier le projet de décret. Celui-ci indique à son article 1er que la pétition et la liste des signataires, avec les justificatifs appropriés, peuvent être transmises au CESE par voie postale, par messagerie électronique ou support de stockage amovible (type clé USB) ou « par des plateformes en ligne ». L'article 3 fixe des justificatifs qui varient en fonction du mode transmission au CESE choisi par le mandataire unique des pétitionnaires.
Or, il ressort des échanges avec le ministère et le CESE que :
- d'une part, s'agissant de la transmission « par la plateforme », le rôle de la plateforme est en réalité de permettre un mode de recueil des signatures en ligne. Les données d'identification seront donc recueillies par les plateformes mais la transmission au président du CESE de ces éléments se fera par une application d'échange sécurisée entre la plateforme et le CESE. L'ordre de procéder à cette transmission par la plateforme agréée ou celle du CESE ne pourra être donné que par le mandataire unique ;
- d'autre part, les informations recueillies auprès des pétitionnaires sont déterminées par le ou les modes de signature qui peuvent être utilisés par les pétitionnaires, et non par le mode de transmission final. La Commission recommande que le décret indique clairement que le recueil des signatures peut se faire par signature manuscrite, par signature numérisée, par signature électronique, ou au moyen d'une plateforme en ligne à laquelle l'utilisateur fournit son nom et son adresse électronique. Il semble également nécessaire que le rôle des plateformes soit précisé. Enfin, la Commission souligne que le choix fait pour le recueil des signatures appelle des précautions de sécurité différentes pour le traitement des données à caractère personnel.
En fonction des modalités de fonctionnement du dispositif qui seront retenues, le mandataire unique désigné et/ou les personnes ou structures organisant le recueil des signatures seront responsables des traitements induits par le recueil des signatures et des justificatifs d'identité. Le ministère indique qu'une fois les données transmises au CESE par ce mandataire unique, le président du CESE sera le responsable de traitement concernant les informations collectées auprès des signataires des pétitions qui lui sont adressées, quel que soit son mode de saisine. La Commission relève que cette précision a été ajoutée à l'article 3 du projet de décret. Elle considère que cette disposition du projet de décret devrait être modifiée afin d'indiquer que c'est le CESE, et non son président, qui sera responsable du traitement de ces informations.
S'agissant du contrôle de l'identité des personnes concernées, elle prend acte de ce que le mandataire unique « opèrera un contrôle de cohérence de l'identité des personnes signataires », tandis que le bureau du CESE contrôlera la véracité des informations collectées, et s'assurera que la signature émane bien d'une personne physique répondant aux conditions légales pour être signataire et que cette dernière n'a pas signé plusieurs fois la même pétition. La Commission regrette de ne pas avoir eu davantage de précisions lui permettant d'apprécier de quelle façon sera opérée en pratique le contrôle d'identité des personnes signataires et invite le ministère à clarifier ce point.
La Commission prend acte de ce que la liste des signataires ne fera pas l'objet d'une publication. Elle prend également acte de ce que les signataires pourront s'adresser au CESE pour vérifier que leur signature et les données à caractère personnel les concernant ont été enregistrées et validées.
Sur les données collectées
L'article 3 du projet de décret liste les informations qui seront recueillies auprès des signataires, à savoir :
- dans tous les cas : le nom de famille, le nom d'usage, les prénoms, en distinguant le cas échéant le prénom d'usage, la date de naissance, l'adresse postale ;
- des données qui vont varier en fonction de la modalité choisie pour le recueil des signatures, dont découlera la modalité de transmission des documents au CESE.
En premier lieu, le ministère soutient que « la déduction des opinions politiques, des convictions religieuses ou philosophiques des signataires n'apparaît pas possible au regard de l'objet premier du décret, qui vise, en application de l'article 4-1 de l'ordonnance du 29 décembre 1958, uniquement à permettre l'identification des signataires et aucune donnée “sensible” n'est collectée à cette fin ».
Cependant, la Commission relève qu'en fonction du contenu du texte de la pétition, les informations enregistrées pourront être de nature à révéler des données dites « sensibles », au sens de l'article 6 de la loi du 6 janvier 1978 modifiée. En effet, des opinions ou convictions, réelles ou supposées, pourraient être déduites des données collectées s'agissant des personnes signataires, par exemple des données relatives à l'opinion politique. Elle considère, dès lors, que l'article 3 du projet de décret devra être modifié afin de mentionner expressément que des données « sensibles » pourront être traitées, le cas échéant, sur le fondement de la mission d'intérêt public important dans les conditions définies à l'article 9-2 du RGPD.
En deuxième lieu, l'article 1er du projet de décret prévoit que le mandataire unique adresse au président du CESE la pétition signée selon les modalités indiquées et peut notamment le faire au moyen des plateformes de pétition en ligne agréées par le CESE ou d'une plateforme développée par le CESE.
La Commission relève que le projet de décret a été complété afin de prévoir que les plateformes visées respectent les spécifications techniques et procédures d'identification électronique correspondant au niveau de garantie dit « faible » prévues par l'annexe du règlement d'exécution (UE) 2015/1502 de la Commission du 8 septembre 2015 fixant les spécifications techniques et procédures minimales relatives aux niveaux de garantie des moyens d'identification électronique visés à l'article 8, paragraphe 3, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et disposent d'un mécanisme les prémunissant des soumissions automatisées.
La Commission souligne que le CESE lors de l'agrément, puis les responsables du recueil des signatures, devront également être particulièrement attentifs à ce que les plateformes agréées ne procèdent pas à des réutilisations illicites des données collectées, en particulier des données sensibles.
En troisième lieu, le ministère estime que l'article 32 du RGPD n'impose pas de prévoir dans l'acte instaurant le traitement un système de journalisation et qu'un tel système n'est pas nécessaire en l'espèce.
La Commission considère comme indispensable la mise en place d'un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données, conforme à sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation. En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l'objet d'un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d'autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l'institution et la société. Si aucune disposition du RGPD n'impose effectivement de prévoir un système de journalisation dans l'acte réglementaire créant le traitement, la Commission rappelle que le fait de le prévoir dans le décret oblige l'administration à le mettre en place et constitue une garantie importante. Elle relève d'ailleurs que de nombreux décrets et arrêtés réglementant des traitements de données à caractère personnel le prévoient. La Commission considère donc que le projet de décret devrait être complété afin de prévoir un tel système de journalisation.
Sur les accédants et les destinataires
L'article 6 du projet de décret indique que « ont accès à l'ensemble des données à caractère personnel et informations mentionnées à l'article 4, à raison de leurs attributions et dans la limite du besoin d'en connaître, les membres du bureau du Conseil économique, social et environnemental chargés d'examiner la recevabilité de la pétition ainsi que les agents et prestataires spécialement accrédités par le Conseil ».
La Commission prend acte des précisions apportées par le ministère selon lesquelles le secrétaire général du CESE sera principalement habilité au titre des accédants, afin de contrôler l'exactitude des informations en lien avec l'identité des signataires préalablement à l'examen de la recevabilité des pétitions. Elle prend également acte de ce que les autres agents habilités et prestataires n'étaient, à ce stade, pas encore totalement définis.
Sur les durées de conservation
L'article 4 du projet de décret précise la durée de conservation des informations et données à caractère personnel enregistrées, les données étant détruites :
- sans délai après la publication au Journal officiel de l'avis du CESE rendu sur la pétition ;
- le cas échéant, à l'issue d'un délai de deux mois à compter de la décision du bureau du CESE déclarant la pétition irrecevable ou, en cas de recours contre cette décision, sans délai à compter de la décision du Conseil d'Etat confirmant l'irrecevabilité de la pétition.
La Commission relève qu'en cas de décision d'irrecevabilité, la conservation des signatures est nécessaire en cas de recours contentieux, pour les durées prévues par le projet de décret, afin de garantir que le recours pourra utilement être examiné. S'agissant du cas où la pétition est recevable, elle prend acte de ce qu'il n'est pas prévu de suppression anticipée des données, afin notamment de permettre au bureau du CESE de disposer de l'ensemble des justificatifs durant l'instruction de la pétition.
Sur les droits des personnes concernées
En premier lieu, s'agissant de l'information des personnes concernées, la Commission considère que la rédaction de l'article 6 du projet de décret relative au droit à l'information est ambigüe et devrait être précisée dans la mesure où, conformément aux articles 12 et suivants du RGPD, il incombe au responsable de traitement de fournir à la personne concernée les informations listées et non à la personne de demander communication de ces informations.
S'agissant des modalités d'information des personnes concernées par les personnes qui recueilleront les signatures, la Commission prend acte de ce que celle-ci sera assurée dans les conditions prévues par l'article 13 du règlement (UE) 2016/679 du 27 avril 2016 par une mention présente sur le support utilisé pour recueillir les soutiens à la pétition (support papier, dématérialisé ou sur le site du CESE ou les plateformes partenaires). La Commission rappelle qu'il convient également que le CESE fournisse une information sur les traitements dont il sera responsable, après transmission des signatures. Elle considère, au regard des éléments transmis, que la collecte des données par le CESE sera indirecte dans la mesure où ce n'est pas lui qui sera responsable de traitement au moment de la collecte des signatures et des justificatifs d'identité des personnes concernées, y compris lorsque sa plateforme sera utilisée. Elle prend acte de ce que le ministère entend clarifier le projet de décret et faire application de l'exception prévue l'article 14-5-b) du RGPD.
La Commission considère que les mentions d'information pourraient utilement être complétées afin de détailler les modalités à suivre par les personnes concernées pour vérifier que leur signature et leurs données à caractère personnel les concernant ont été enregistrées et validées.
En second lieu, l'article 6 du projet de décret prévoit que les droits d'accès et de rectification s'exercent auprès du président du CESE dans les conditions prévues aux articles 13, 15 et 16 du RGPD. Cette disposition indique également que, en application du h) du paragraphe 1 de l'article 23 du RGPD, les droits de limitation et d'opposition prévus aux articles 18 et 21 de ce règlement ne s'appliquent pas au présent traitement. La Commission s'interroge sur l'existence même du droit d'opposition dès lors que le traitement des signatures par le CESE semble résulter d'une obligation légale, au sens de l'article 6 du RGPD, auquel cas celui-ci ne prévoit pas de droit d'opposition. En tout état de cause, elle approuve le fait que le décret précise que le droit d'opposition ne trouve pas à s'exercer.
La Commission regrette de ne pas avoir eu davantage de précisions lui permettant d'apprécier les justifications conduisant le ministère à exclure le droit à la limitation, en particulier si la personne concernée conteste l'exactitude de certaines données. Elle prend acte de ce que le ministère estime que l'article 23-1-h) du RGPD permet de justifier l'exclusion du droit à la limitation, dans la mesure où le CESE exerce une mission de contrôle et de réglementation (l'identification des pétitionnaires et l'examen de la recevabilité des pétitions).
La Commission s'interroge enfin sur les modalités d'exercice du droit à l'effacement et regrette de ne pas avoir eu davantage de précisions à ce sujet. Elle s'interroge sur la possibilité pour une personne de retirer son soutien à la pétition et estime que le projet de décret devrait préciser ce point. Dans l'hypothèse où une personne viendrait à retirer son soutien à la pétition, ses données n'apparaîtraient plus nécessaires au regard des finalités pour lesquelles elles sont traitées et devraient alors être supprimées. Elle prend acte des précisions apportées par le ministère selon lesquelles le traitement sera fondé sur une obligation légale, et que le droit à l'effacement ne s'applique pas conformément à l'article 17-3-b) du RGPD.
Sur les mesures de sécurité
En premier lieu, la Commission relève que le dossier transmis ne contient pas d'analyse d'impact relative à la protection des données (AIPD) car le ministère considère que les critères nécessitant la réalisation d'une AIPD ne sont pas remplis.
La Commission estime toutefois que le traitement peut présenter un risque élevé pour les personnes concernées dans la mesure où il est susceptible de révéler des données dites « sensibles » au sens de l'article 6 de la loi du 6 janvier 1978 modifiée, impliquer le traitement à grande échelle de telles données compte tenu du nombre de signataires potentiels des pétitions, est susceptible de concerner des personnes vulnérables et peut concerner des personnes mineures, dans la mesure où les personnes signataires doivent être âgées de seize ans et plus.
Au regard de ces éléments, elle estime que le traitement pourrait remplir au moins deux critères nécessitant la réalisation d'une AIPD et recommande, en tout état de cause, au CESE de réaliser une AIPD. Cette observation vaut également pour les plateformes de recueil des signatures que le CESE sera amené à développer ou à agréer.
En second lieu, la Commission regrette de n'avoir reçu aucune information relative à l'architecture ou la sécurité du dispositif et ne peut donc statuer sur la conformité du dispositif à l'exigence de sécurité prévue par les articles 5-1-f) et 32 du RGPD. Toutefois, elle attire l'attention du ministère sur les points suivants.
La Commission souligne que toute plateforme servant à collecter des signatures devra, en tant que téléservice permettant un échange entre administration et usagers, être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010. A ce titre, elle devra faire l'objet d'une analyse de risques incluant les risques pesant sur les personnes concernées. La Commission rappelle également qu'il revient au responsable de traitement d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation RGS.
En particulier, la Commission considère que les mesures recommandées par l'Agence nationale de la sécurité des systèmes d'information dans les documents intitulés « Recommandations pour la mise en œuvre d'un site web » et « Recommandations pour la mise en œuvre d'un site web : maîtriser les standards de sécurité côté navigateur » devraient être mises en œuvre.
Enfin, la Commission rappelle que le traitement de photocopies de pièces d'identité doit se faire avec la plus grande rigueur en matière de sécurité. En particulier, elle recommande au responsable de traitement que les pièces numérisées fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du RGS tant au niveau des bases de données que des sauvegardes. Des mesures équivalentes doivent être prises pour la conservation des copies de pièces d'identité sous forme papier qui doit s'effectuer dans un meuble sécurisé. La suppression de ces pièces doit s'effectuer en respectant l'état de l'art en matière de suppression sécurisée, que ce soit pour les versions numérique ou papier.