Après avoir entendu le rapport de M. Philippe-Pierre CABOURDIN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie d'une demande d'avis portant sur un projet de décret modifiant le décret n° 2014-1486 du 10 décembre 2014 portant création d'un traitement automatisé de données à caractère personnel dénommé logiciel de rédaction des procédures de la douane judiciaire (LRPDJ).
Le LRPDJ permet aux services de douane chargés de missions judiciaires, de rédiger les procès-verbaux des actes qu'ils sont habilités à réaliser sur le fondement de l'article 28-1 du code de procédure pénale (CPP). Il contribue de manière plus globale à la conduite de ces procédures, ainsi qu'à leur homogénéité.
A cet égard, la Commission relève que les modalités d'application de ce traitement sont pour partie similaires à d'autres logiciels de rédaction de procédures, sur lesquels elle a déjà été amenée à se prononcer, et plus particulièrement les traitements de logiciels de rédaction des procédures de la gendarmerie et de la police nationales (LRPGN et LRPPN). Ainsi, elle prend acte de ce que le projet de décret vise à doter le LRPDJ de fonctionnalités similaires à celles de ces logiciels. Le LRPDJ clarifie par ailleurs la mise en œuvre pratique du traitement au regard de ses finalités, à savoir l'exploitation de données dans le cadre de procédures judiciaires.
Cette saisine, qui fait suite à un premier avis de la Commission en date du 16 janvier 2014, vise notamment à élargir le traitement aux services fiscaux habilités à effectuer des enquêtes judiciaires, les finalités de ce logiciel et à mettre à jour les dispositions relatives à l'exercice des droits.
Dans ce contexte, la Commission soulève les observations suivantes.
La Commission émet des réserves sur la pertinence du traitement de certaines données. Elle regrette l'absence de précision quant au processus utilisé pour l'anonymisation des données à des fins statistiques et recommande l'usage d'un procédé qui garantit une anonymisation effective. Elle rappelle la nécessité de mettre en œuvre un mécanisme d'effacement périodique des données. Enfin, elle émet des réserves sur les modalités d'accès à l'archivage prévu.
Sur les finalités du traitement et ses utilisateurs :
Le projet de décret prévoit que le LRPDJ vise à « assurer la clarté et l'homogénéité de la rédaction des procédures judiciaires qu'ils [les officiers de douane judiciaire relevant de l'article 28-1 du CPP (ODJ) et les agents des services fiscaux relevant de l'article 28-2 du CPP (OFJ)] ont compétence pour mettre en œuvre du code en vertu du code de procédure pénale » et « permettre l'exploitation des informations nécessaires à la conduite des procédures judiciaires, en vue de leur transmission aux autorités judiciaires chargées de les exploiter » par ces agents.
En premier lieu, le projet de décret vise à élargir l'utilisation du traitement aux « agents des services fiscaux relevant de l'article 28-2 du [CPP] ».
La Commission relève que la modification introduite par le projet de décret a pour conséquence d'étendre le traitement LRPDJ en intégrant les attributions préexistantes des OFJ, et dès lors des procédures qui seront traitées au sein du LRPDJ. Elle souligne que cette évolution a notamment pour objectif de tenir compte de la création du service d'enquêtes judiciaires des finances, qui vise à augmenter les capacités d'enquête à disposition de l'autorité judiciaire en matière fiscale et douanière.
A cet égard, le ministère a précisé que les deux catégories d'agents (de la douane et des services fiscaux) ne seront pas amenées à accéder aux mêmes données dans la mesure où ils ne sont pas habilités à poursuivre les mêmes infractions (sauf dans l'hypothèse où ils seraient désignés sur une même affaire dans leur champ de compétence commun), et interviennent ainsi chacun dans leur domaine de compétence. La Commission souligne que le traitement ne devra être utilisé que dans les strictes limites des articles 28-1 et 28-2 du CPP.
Ces précisions apportées, la Commission estime que l'évolution projetée est légitime.
En deuxième lieu, l'article 1er du projet de décret précise les finalités du traitement, et notamment celles qui visaient initialement la possibilité de mettre en relation ce fichier avec d'autres fichiers. Il est désormais prévu que le LRPDJ a pour finalité de « permettre la collecte des informations nécessaires à la conduite de ces procédures, en vue de leur transmission aux autorités judiciaires chargées de les exploiter ».
La Commission relève tout d'abord que cette évolution vise à tenir compte des remarques qu'elle a notamment formulées dans sa délibération n° 2021-061 du 27 mai 2021 relative au LRPGN et plus particulièrement celle visant à considérer que la finalité initialement retenue correspondait davantage à une fonctionnalité technique, au service d'autres finalités. Dans son avis, la Commission avait en outre souligné que son caractère imprécis ne permettait d'appréhender ni les conditions de mise en œuvre du traitement, ni son périmètre.
En l'espèce, et au regard tant des précisions apportées par le Conseil d'Etat dans sa décision du 13 avril 2021 que des observations formulées dans de précédentes délibérations quant aux conditions de mise en œuvre des traitements mettant en œuvre des opérations d'interconnexion, de mise en relation ou de rapprochement, la Commission estime que les modifications projetées des finalités du traitement LRPDJ n'appellent pas d'observations dans son principe.
En troisième lieu, le projet de décret ajoute comme finalité l'élaboration de statistiques, en vue de suivre l'activité des services. Malgré les précisions du ministère selon lesquelles ces données seront anonymes, la Commission rappelle que l'anonymisation répond à des critères spécifiques. A cet égard, l'absence de données nominatives et la seule présence de données chiffrées ne suffisent pas à établir le caractère anonyme d'une donnée. Par ailleurs, le responsable de traitement doit réaliser une analyse permettant de démontrer que les processus d'anonymisation respectent les trois critères définis par l'avis n° 5/2014 du groupe de l'article 29 (qui correspond aujourd'hui au Comité européen de la protection des données). A cet égard, un ensemble de données pour lequel il n'est possible ni d'individualiser, ni de corréler ni d'inférer des informations est a priori anonyme. Dans l'hypothèse où ces critères ne seraient pas réunis, une étude doit être menée afin d'identifier les risques de réidentification des personnes concernées. La Commission recommande au ministère de retenir un procédé qui permette une anonymisation effective.
Sur la nature des données traitées :
Les données à caractère personnel enregistrées dans le traitement étaient mentionnées dans l'annexe au décret du 10 décembre 2014 susvisé modifié par l'actuel projet de décret, et ne font pas l'objet de modifications. Elles concernent les personnes physiques mises en cause, les victimes, les témoins et plaignants, les personnes morales mises en cause ou victimes, ainsi que les faits visés par l'enquête, les lieux, la date de l'infraction et les informations relatives aux objets, y compris celles qui sont indirectement nominatives. La Commission relève que la liste des données intègre la mention de tous les « faits objets de l'enquête » : si cette expression est particulièrement large, elle est admissible au regard de la nature particulière du traitement en cause, qui est un logiciel permettant la rédaction d'actes relatifs à toutes les procédures en cause.
La Commission relève néanmoins que de nombreuses données concernant les personnes mises en cause sont collectées. Elle considère que la collecte de certaines de ces données ne semble a priori pas systématiquement pertinente au regard des finalités du traitement. Ce sont notamment les informations relatives aux titres et moyens de transport, à la situation militaire et aux diplômes. Dès lors, ces données peuvent être ponctuellement traitées lorsqu'elles sont pertinentes au regard des finalités du traitement.
Comme elle l'avait déjà fait dans sa délibération précédente, elle rappelle que l'article 4-3° de la loi du 6 janvier 1978 modifiée impose que seules les données pertinentes, adéquates et non excessives soient enregistrées dans le traitement LRPDJ pour chaque procédure judiciaire et que toutes les informations mentionnées à l'annexe au projet de décret ne sauraient être systématiquement collectées.
Sur la durée de conservation des données :
A titre liminaire, la Commission rappelle que lorsqu'elle s'est prononcée sur la création du traitement en 2014, le ministère avait indiqué qu'un mécanisme d'effacement automatique des informations devait être prévu afin de s'assurer que les données à caractère personnel ne seraient pas conservées à l'issue de la transmission des documents à l'autorité judiciaire. Toutefois, le ministère a précisé que le mécanisme n'est toujours pas effectif, et ne le sera qu'en 2023. A cet égard, la Commission insiste sur le caractère impératif de cette mise en œuvre dans les plus brefs délais. Elle rappelle qu'elle se réserve la possibilité d'exercer son pouvoir de contrôle afin de s'assurer de la mise en œuvre d'un mécanisme effectif de suppression des données.
Le projet de décret prévoit dorénavant que les données pourront être conservées en base d'archives pour une durée de cinq ans, à l'issue de la transmission de la procédure à l'autorité judiciaire. Le ministère précise que cette évolution vise à faciliter la réouverture d'une enquête.
En premier lieu, la Commission souligne qu'une fois transmises à l'autorité judiciaire, les données font l'objet d'un enregistrement au sein d'autres traitements, pour des finalités spécifiques. Au regard de ces éléments, et en l'absence de précisions complémentaires, la Commission estime que la conservation de ces données au-delà de leur transmission à l'autorité compétente n'est pas nécessaire.
En second lieu, le ministère a précisé que lorsque la procédure est archivée, les données de cette dernière peuvent être consultés en effectuant une recherche à l'aide du moteur de recherche de LRPDJ par l'agent habilité à traiter l'affaire. La Commission estime que les données faisant l'objet d'un archivage intermédiaire doivent rester inaccessibles pour les utilisateurs et ne devraient être consultables via un moteur de recherche que par des profils spécialement habilités et restreints, tels qu'un administrateur par exemple.
Compte tenu de ces éléments, la Commission considère que les modalités de mise en œuvre de l'archivage prévu par le projet de décret reviendraient à conserver ces informations en base active même après transmission à l'autorité judiciaire. En conclusion, elle considère que ces modalités, fixent une durée de conservation des données excessive au regard des finalités pour lesquelles elles sont traitées.
Sur les interconnexions, mises en relation et rapprochements :
De manière générale, le ministère a précisé que l'alimentation par le LRPDJ des traitements d'antécédents judiciaires (TAJ) et de Cassiopée (qui permet l'enregistrement de données relatives aux procédures judiciaires au sein des tribunaux judiciaires) doit permettre d'assurer la transmission des procédures à l'autorité judiciaire afin d'en assurer le suivi. Cette mise en relation doit ainsi permettre de satisfaire les modalités de mise en œuvre des finalités du traitement LRPDJ. Une mise en relation est également projetée avec le dossier pénal numérique mis en œuvre par le ministère de la justice.
De manière générale, la Commission rappelle que les mises en relation doivent respecter les dispositions régissant les autres traitements. Cela impose de s'assurer que l'opération est conforme aux finalités, aux données et aux accédants et destinataires fixés par les actes réglementaires concernant ces traitements. La Commission estime que c'est le cas en l'espèce.
Ainsi, s'agissant par exemple du transfert de données d'une base de données vers une autre, celui-ci n'est possible que s'il s'inscrit ou concourt aux finalités poursuivies par la base d'origine (ou à celles associées aux transmissions à des destinataires), si les données transférées sont autorisées à figurer dans la base de destination et si au moins une personne habilitée à alimenter la base de destination constitue un accédant ou un destinataire de la base d'origine. La Commission rappelle également que l'analyse d'impact relative à la protection des données devra être mise à jour sur ce point.
Sur les modalités d'exercice des droits des personnes concernées :
Le projet de décret prévoit que le droit d'opposition, d'une part, les droits d'accès, de rectification et d'effacement, d'autre part, ne s'appliquent pas au traitement prévu par le présent décret au regard des articles 110 et 111 de la loi du 6 janvier 1978.
En premier lieu, la Commission souligne que si l'article 111 permet d'écarter l'application des droits des personnes concernées il précise que, « dans ces cas, l'accès à ces données et les conditions de rectification ou d'effacement de ces données ne peuvent être régis que par les dispositions du code de procédure pénale », à savoir le procureur de la République ou le procureur général selon les cas en application de l'article R. 155 du CPP.
En second lieu, le projet de décret reste silencieux quant à l'application du droit d'information des personnes concernées. Le ministère a néanmoins précisé que toutes les personnes concernées seront informées du traitement de leurs données par la publication de l'acte règlementaire ainsi que par une page d'information relative à ce traitement sur le site de la douane. A cet égard, la Commission estime que le ministère devrait également informer les personnes concernées du traitement de leurs données via les sites de la direction générale des finances publiques.
A des fins de lisibilité pour les personnes concernées, la Commission invite le ministère à préciser le projet de décret sur ces points, en indiquant notamment les personnes auprès desquelles les droits d'information et de communication ont vocation à s'appliquer.
Sur la sécurité des données et la traçabilité des actions :
La Commission prend acte de ce que ni les modalités techniques ni le calendrier des interconnexions avec les traitements TAJ et Cassiopée ne sont à ce jour définis. Il lui est par conséquent impossible de se prononcer sur l'adéquation des mesures de sécurisation des données sur ce point. Elle invite le ministère à prévoir des mesures de sécurité permettant de garantir l'intégrité et la confidentialité des données qui transiteront par ces interconnexions.
La Commission accueille favorablement la proposition du ministère de fixer la durée de conservation des données de journalisation à trois ans. Cependant, elle rappelle que l'exploitation de ces données est indispensable afin d'atteindre l'objectif de sécurisation du traitement. A défaut d'une solution technique de traitement et d'analyse des données de journalisation collectées, des mesures organisationnelles de revue périodique par la hiérarchie peuvent permettre cette sécurisation.
En l'absence d'informations suffisantes sur le sujet, elle ne peut donc se prononcer sur l'adéquation des mesures de sécurité de la LRPDJ BOX, module qui permet aux enquêteurs des services fiscaux d'utiliser LRPDJ sans être connectés à un réseau. En tout état de cause, la Commission rappelle que le hachage (qui peut participer au contrôle d'intégrité des données) et le chiffrement (qui peut participer à la confidentialité des données) sont deux notions différentes.
De manière générale, et en l'absence de réponse sur ce point, la Commission rappelle qu'elle considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement ainsi que de contrôle d'intégrité conformes à l'annexe B1 du référentiel général de sécurité tant au niveau des bases de données que des sauvegardes.
La Commission prend acte de ce que le LRPDJ est accessible alternativement via le Réseau interministériel de l'Etat ou bien via un VPN, et que cet accès est dans tous les cas soumis à l'utilisation d'une carte agent combinée avec un code PIN individuel.