Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie pour avis, par le ministère de l'intérieur, d'un projet de décret en Conseil d'Etat modifiant les dispositions du code de la sécurité intérieure relatives au traitement de données à caractère personnel dénommé « Gestion des sollicitations et des interventions ».
Mis en œuvre par la direction générale de la gendarmerie nationale (DGGN), le traitement « GSI » a été créé par le décret n° 2011-341 du 29 mars 2011 puis modifié par le décret n° 2013-1113 du 4 décembre 2013, sur lesquels la Commission s'est prononcée (délibérations n° 2010-458 du 9 décembre 2010 et n° 2013-095 du 11 avril 2013).
Ce traitement constitue le principal outil de travail des opérateurs des centres opérationnels et de renseignement de la gendarmerie nationale (CORG) au niveau départemental. Il permet d'assurer la gestion et d'apporter une réponse opérationnelle aux sollicitations, effectuées à partir du numéro d'urgence « 17 » (« police-secours »), concernant des faits relevant du domaine judiciaire ou de la sécurité publique. Ainsi, GSI vise à « apporter une réponse adaptée aux sollicitations des usagers, notamment faites auprès d'un centre d'appel » et à « assurer l'engagement des personnels et des moyens de gendarmerie dans les meilleures conditions d'efficacité » (article R. 236-1 du code de la sécurité intérieure (CSI)).
Au regard de ces finalités, le traitement « GSI » relève du champ de la directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et doit être examiné au regard des dispositions des titres I et III de la loi du 6 janvier 1978 modifiée (ci-après, la loi « informatique et libertés »).
Le projet de décret soumis pour avis à la Commission modifie les dispositions du CSI encadrant le traitement pour notamment étendre la liste des données à caractère personnel pouvant être enregistrées dans GSI, en prévoyant en particulier le traitement de données de localisation, de photographies, et de nouvelles catégories de données sensibles. Ces modifications visent d'une part à permettre le traitement, par la gendarmerie nationale, des données de localisation des appels d'urgence dont la transmission, par les opérateurs téléphoniques, est prévue par l'article D. 98-8 du code des postes et des télécommunications électroniques (CPCE). Elles visent d'autre part à améliorer la réponse et l'engagement de la gendarmerie nationale par une meilleure appréhension de la situation décrite par l'appelant et les gendarmes intervenant sur les lieux.
Le projet de décret modifie également les durées de conservation pour prévoir que, par dérogation au principe d'une conservation maximale des données pendant deux ans, les données de localisation et les photographies ne pourront être conservées plus de trente minutes après la fin de l'intervention ou, lorsque la sollicitation n'a donné lieu à aucune intervention, trente minutes après la fin de la gestion de la sollicitation. Enfin, il modifie les dispositions relatives à l'exercice des droits et à la journalisation à des fins de mise en conformité avec la règlementation en matière de protection des données à caractère personnel.
La Commission estime ces évolutions pertinentes et légitimes. Cependant, elle émet quelques observations, en particulier sur les modalités concrètes du traitement de données de localisation et de photographies, l'extension du périmètre des personnes concernées par le traitement de données sensibles, et le droit à l'information. Elle souligne que la mise en œuvre du traitement devra tenir compte de l'urgence de chaque sollicitation et intervention : les modalités devront le cas échéant être adaptées pour ne jamais risquer de dégrader la qualité de l'assistance fournie.
Sur le traitement de données de localisation :
En premier lieu, le projet de décret prévoit l'enregistrement de « données de localisation du véhicule issues de l'utilisation d'un dispositif de géolocalisation » des personnels de la gendarmerie nationale engagés sur une intervention.
La Commission rappelle que, selon sa doctrine, l'utilisation de dispositifs de géolocalisation par l'employeur, susceptible d'entraîner la surveillance des personnels disposant d'un véhicule de service, ne doit en principe pas conduire à un contrôle permanent des personnes concernées par leur employeur. Tout en reconnaissant que ces principes doivent être adaptés à la situation particulière des déplacements des personnels de la gendarmerie nationale, pour le bon accomplissement de leurs missions et pour leur protection, elle souligne que les données de localisation collectées doivent être limitées aux données nécessaires à la poursuite des objectifs visés. Cela exclut en principe la collecte de données de localisation en dehors du temps de travail. Au regard des dernières précisions apportées par le ministère, la Commission prend acte de ce que le dispositif projeté sera désactivé en fin de service et de ce que les véhicules concernés ne sont pas utilisés en dehors du temps de travail des personnels de la gendarmerie nationale.
S'agissant par ailleurs des données, complémentaires aux informations de localisation, susceptibles d'être collectées, il convient également de s'assurer de leur nécessité. En l'espèce, le projet de décret limite le traitement de données des personnels concernés aux données de géolocalisation des véhicules d'une part, et à des informations tenant à l'état civil (nom, prénoms), à la profession (grade, numéro d'identification, unité d'affectation), et au numéro de téléphone d'autre part. La Commission estime ces données pertinentes.
Enfin, le ministère précise que la collecte de données de localisation, qui concernera tous les véhicules de service de la gendarmerie, permettra de visualiser le positionnement des véhicules disponibles pour organiser une intervention. En revanche, les données de localisation ainsi collectées ne seront conservées dans GSI qu'en cas d'intervention, pour une durée maximale de trente minutes, pour permettre de contacter les personnels concernés pendant l'intervention ou a posteriori en cas de besoin. La Commission prend acte de ce que les données de localisation des équipages qui ne sont pas intervenus au cours de leur patrouille ne seront pas conservées dans le traitement.
En second lieu, le projet de décret ajoute la possibilité d'enregistrer les données de localisation de l'appel, s'agissant des personnes à l'origine de l'intervention (les « appelants »).
En effet, l'article D. 98-8 du CPCE prévoit que, lors d'un appel d'urgence, l'opérateur téléphonique met « sans délai à la disposition des services de secours, agissant dans le cadre de missions d'interventions de secours, les informations de localisation de l'appelant par un procédé sécurisé ». Le traitement des données de localisation de l'appelant au sein de GSI, qui résultera de cette transmission, vise à augmenter l'efficacité des interventions de la gendarmerie nationale (en permettant par exemple d'intervenir auprès d'un appelant qui n'aurait pas été en mesure de fournir l'adresse précise de sa position).
En l'absence de définition, au sein du projet de décret, du périmètre des « données de localisation » enregistrées dans GSI, la Commission estime que cette catégorie doit se limiter à couvrir les seules « informations de localisation » au sens de la disposition précitée du CPCE, soit « l'adresse de l'appelant issue de la liste d'abonnés et d'utilisateurs du fournisseur de service de communications interpersonnelles fondé sur la numérotation complète, non expurgée et mise à jour et, dans le cas du service mobile, le lieu géographique de provenance de la communication […] ». Elle prend acte de l'engagement du ministère de modifier le projet de décret en conséquence.
S'agissant des modalités de collecte des données de localisation de l'appel, la Commission prend acte de ce que le traitement sera interconnecté avec la plate-forme nationale de localisation des appels d'urgence (PFLAU) de manière à ce que cette dernière transmette ces données à GSI. Elle souligne que dans le cadre de ce traitement, la PFLAU ne devrait être interrogée qu'à l'occasion d'un appel au 17.
Au-delà des données de localisation de l'appelant, le projet de décret prévoit l'enregistrement dans GSI des données relatives au titulaire de la ligne téléphonique utilisée pour l'appel. Les informations relatives à l'état civil ou à la dénomination sociale, l'adresse physique et le numéro de téléphone de cette personne seront systématiquement transmis par la PFLAU et permettront tant d'identifier le titulaire de la ligne que de lutter contre les appels malveillants.
Les données transmises par la PFLAU dans le cadre d'un appel apparaissent pertinentes. La Commission souligne qu'elles pourront être enregistrées au titre tant des données relatives au titulaire de la ligne téléphonique que des données de l'appelant. Or ce dernier peut, selon les cas, correspondre ou de se distinguer du titulaire de la ligne téléphonique. En particulier, lorsque l'appelant ne correspond pas au titulaire de la ligne téléphonique, les données d'état civil du titulaire de la ligne issues de la PFLAU ne devraient pas être enregistrées au titre des données relatives à l'appelant. Ainsi, la distinction des données traitées au titre de ces deux catégories de personnes, qui ressort clairement du projet de décret, devrait être effective dans la pratique. Pour que cette distinction puisse être compatible avec l'urgence qu'il y a à traiter les appels au 17, la Commission comprend des échanges avec le gouvernement que cette distinction pourrait être faite postérieurement au traitement de l'appel.
Sur la collecte de photographies et le périmètre des personnes concernées par ce traitement :
Le projet de décret modifie l'article R. 236-32 du CSI pour autoriser l'enregistrement de photographies de la scène d'intervention prises par les personnels de la gendarmerie nationale et de photographies de la personne recherchée ou disparue ou d'un véhicule recherché. Il est également précisé que le traitement « GSI » ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie.
La Commission estime que l'usage de photographies dans ce contexte est légitime et relève les différentes garanties mises en place pour encadrer leur traitement (collecte par les seuls personnels de la gendarmerie nationale, suppression automatique au bout de trente minutes après la fin de la gestion de la sollicitation ou de l'intervention, possibilité de suppression manuelle, absence de transmission à d'autres traitements, etc.). Elle émet cependant des observations tenant aux circonstances de collecte de photographies de la scène d'intervention et aux personnes concernées par ce traitement.
En premier lieu, ces données seront traitées pour permettre aux personnels de la gendarmerie nationale d'apprécier rapidement et concrètement une situation opérationnelle (dans le cas par exemple d'une catastrophe naturelle ou d'un accident mettant en cause de nombreux véhicules) et d'exprimer sans délai les demandes de renforts et de moyens complémentaires nécessaires. Le Commission estime le traitement de ces données pertinent et justifié au regard des finalités du traitement.
En deuxième lieu, s'agissant de la rédaction du texte, la Commission recommande de modifier le projet de décret pour préciser explicitement que les photographies de la scène d'intervention pourront comprendre des données à caractère personnel, à savoir les images de personnes.
En troisième lieu, de nombreuses personnes sont susceptibles d'être concernées par le traitement de leur photographie, y compris au sein d'une même intervention. La Commission estime que la collecte de cette donnée devrait être limitée aux seules situations dans lesquelles une autre modalité de transmission de l'information n'est pas suffisante pour garantir une intervention adaptée, eu égard notamment à la nature et au degré de gravité de la situation et selon des critères qui pourraient être préétablis.
En dernier lieu, dans la mesure où le traitement de photographies a pour seuls objectifs de fournir aux personnels concernés une vision d'ensemble de la situation et d'adapter les moyens à engager en conséquence, sans qu'il soit besoin en principe de pouvoir identifier les personnes ou de disposer de détails sur les personnes, la Commission invite le ministère à envisager la mise en œuvre, dans la mesure compatible avec les contraintes opérationnelles des interventions, de procédés de floutage automatiques ou semi-automatiques des visages et autres éléments identifiants.
Sur l'extension du périmètre des données sensibles :
Dans sa version en vigueur, l'article R. 236-33 du CSI autorise la collecte, la conservation et le traitement des données concernant les personnes à l'origine de la demande d'intervention ou faisant l'objet de l'intervention, relatives soit à des signes physiques particuliers et objectifs comme éléments de leur signalement, soit à la santé lorsqu'elles sont nécessaires aux missions de secours, sauvetage et protection des personnes. Sous l'angle des modifications projetées, le traitement « GSI » pourra comprendre toutes les catégories de données sensibles mentionnées au I de l'article 6 de la loi informatique et libertés, à l'exception des données génétiques et biométriques.
A titre liminaire, la Commission rappelle que, conformément à l'article 88 de la loi informatique et libertés, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ».
En premier lieu, elle relève que les éléments factuels qui seront retranscrits dans GSI varient selon la sollicitation en cause, et sont donc susceptibles de comprendre des données mentionnées au I de l'article 6 de la loi informatique et libertés.
S'agissant en particulier des modalités d'enregistrement dans le traitement, il ressort des précisions apportées que ces données pourront être enregistrées à partir de zones de champs libres.
D'une part, la Commission souligne qu'il conviendra de pré-renseigner ces champs avec une information relative à la manière dont il convient de les compléter. Un contrôle strict devra être assuré à ce titre, notamment afin de s'assurer que seuls les éléments utiles à la gestion de la sollicitation de l'usager et à l'efficacité de l'intervention soient effectivement renseignés. A cet égard, la Commission prend acte de ce qu'un bandeau d'information apparaîtra à l'ouverture du traitement et au sein des champs libres, permettant ainsi de rappeler aux agents le cadre juridique applicable, et de ce que les données relatives aux personnes à l'origine de l'intervention telles qu'intégrées dans les zones de texte libre feront l'objet d'un contrôle hiérarchique.
D'autre part, les données sensibles susceptibles d'être enregistrées dans le traitement pourront être communiquées par l'appelant ou la patrouille se trouvant sur les lieux de l'intervention, et seront retranscrites par les personnels du centre opérationnel complétant la fiche de prise en compte créée manuellement pour chaque appel. Au regard de cette diversité des sources de l'information transmise, la Commission invite le ministère à prendre les mesures nécessaires, notamment en sensibilisant les agents concernés, pour que les données à caractère personnel fondées sur des faits soient autant que possible distinguées de celles fondées sur des appréciations personnelles, conformément à l'article 94 de la loi informatique et libertés. Au regard des dernières précisions apportées, elle prend acte de ce que les agents concernés sont spécifiquement sensibilisés à la problématique du traitement de données sensibles et à la nécessité de renseigner des éléments fondés uniquement sur des faits.
Au-delà des modifications projetées, il ressort des précisions apportées par le ministère que les données de santé enregistrées dans le traitement sont soit issues des échanges avec l'appelant, soit transmises par la patrouille se trouvant sur les lieux de l'intervention, et sont donc susceptibles d'être fondées sur des appréciations effectuées par les gendarmes.
Au regard notamment de la sensibilité de ces données et de l'absence de compétence médicale des personnes enregistrant ces informations dans GSI, la Commission considère qu'une certaine prudence doit être observée concernant la collecte et l'enregistrement de ces données. Elle estime qu'une mention pourrait figurer dans le traitement afin de préciser que les informations qui y sont enregistrées n'ont pas été délivrées par un professionnel de santé et ne correspondent pas à un diagnostic médical.
En second lieu, l'article R. 236-33 du CSI autorise actuellement le traitement des données sensibles relatives aux seules personnes à l'origine de la demande d'intervention ou faisant l'objet de l'intervention. Le projet de décret étend l'énumération des personnes susceptibles d'être concernées par le traitement de ces données.
La Commission estime que le traitement de données sensibles relatives aux personnes requises par la gendarmerie nationale ou envers lesquelles il existe une obligation d'information, au titulaire de la ligne téléphonique (lorsque celui-ci de correspond pas à la personne à l'origine de l'intervention ni à celle faisant l'objet d'une intervention), et aux personnels de la gendarmerie nationale engagés dans une intervention n'est pas justifié au regard des finalités du traitement. Au regard des dernières précisions apportées, elle prend acte de l'engagement du ministère de modifier le projet de décret en conséquence.
Sur l'information des personnes concernées :
Le projet de décret prévoit que le droit d'information s'exerce directement auprès de la DGGN.
En premier lieu, la Commission rappelle que l'article 104 de la loi informatique et libertés impose au responsable de traitement de « mettre à disposition » des personnes concernées cette information, de façon permanente et sans demande de leur part. La rédaction du décret selon laquelle le droit à l'information « s'exerce auprès » de l'administration, correcte pour les autres droits accordés par la loi informatique et libertés, est donc inappropriée pour le droit à l'information. La Commission prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
En second lieu, s'agissant des modalités de mise en œuvre de ce droit, une information générale des personnes concernées sera réalisée par la publication d'un lien, sur le site web du ministère de l'intérieur, vers les dispositions règlementaires autorisant le traitement « GSI ». D'une part, les usagers sont informés par une bande sonore que leur appel fait l'objet d'un enregistrement. La Commission estime que les usagers pourraient être informés, par ce moyen, de la mise à disposition sur le site web du ministère de l'intérieur des informations relatives au traitement, si cela s'avère compatible avec les contraintes opérationnelles de la gendarmerie nationale tenant notamment à l'urgence de la situation. D'autre part, les personnels de la gendarmerie nationale seront avisés par une circulaire que leurs actions au sein de GSI sont enregistrées et tracées. La Commission souligne la nécessité de garantir que les informations énumérées à l'article 104 de la loi informatique et libertés soient « mises à disposition » des personnes concernées par le traitement et donc effectivement accessibles à ces dernières.
Sur les mesures de sécurité :
Le ministère indique fournir des données anonymisées à son prestataire de développement pour permettre des tests. La Commission rappelle que l'anonymisation doit être effective. Le responsable de traitement doit donc réaliser une analyse permettant de démontrer que ses processus d'anonymisation respectent les trois critères définis par l'avis du groupe de l'article 29 n° 05/2014. À défaut, si ces trois critères ne peuvent être réunis, une étude des risques de réidentification doit être menée.
Si l'utilisation d'une infrastructure sécurisée apporte des garanties en termes de confidentialité, la Commission considère que la nature des données traitées ainsi que la gravité des risques pour les personnes physiques en cas d'atteinte à la confidentialité des données rendent incontournable la mise en place de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité, sinon en base active, a minima pour les sauvegardes.
La Commission rappelle que le terme d'archivage correspond à des modalités précises de stockage et d'accès. En conséquence, la description des données conservées pendant deux années comme des archives, alors qu'aucune de ces modalités n'est mise en œuvre, est incorrecte. La Commission invite donc le ministère à rectifier l'analyse d'impact relative à la protection des données sur ce point.
La Commission prend acte de la mise en place d'une journalisation. Elle rappelle que le traitement de ces données a pour seule finalité la détection et la prévention d'opérations illégitimes sur les données du traitement. En raison de de la gravité et de la vraisemblance du risque pour les personnes en cas de détournement des finalités du traitement, la durée de conservation maximale des données de journalisation de trois années est considérée comme proportionnée par la Commission. En effet, cette journalisation participe par sa capacité dissuasive à la sécurité du traitement. La Commission prend acte de ce qu'une analyse des données de journalisation sera réalisée via un contrôle trimestriel d'un échantillon de données. Elle rappelle que la mise en œuvre d'un mécanisme proactif de contrôle de ces données contribue à la sécurité du traitement par la génération automatique d'alertes.