[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2020-023 du 4 février 2021 portant avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « PARCOURS » (demande d'avis n° 20013863)

Données personnelles
Justice et droit
Institutions publiques
Déposé le 3 février 2021 à 23h00, publié le 10 avril 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le garde des sceaux, ministre de la justice d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « PARCOURS » ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 31-I et 89-I ;

Après avoir entendu Mme Christine MAUGÜÉ, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « PARCOURS » soumis pour avis à la Commission par le garde des sceaux, ministre de la justice vise à enregistrer, à des fins de suivi éducatif, de pilotage et de statistiques, les données issues des décisions judiciaires pénales et civiles concernant des mineurs et des majeurs jusqu'à l'âge de vingt-trois ans, confiés aux établissements et services du secteur public et du secteur associatif habilité (SAH) de la protection judiciaire de la jeunesse (PJJ). La Commission relève que cette première version du traitement PARCOURS comporte des données d'identification, de suivi et de parcours, à l'exclusion de toute donnée sensible.
Ce traitement a vocation à remplacer le traitement dénommé « gestion de l'activité et des mesures éducatives 2010 » (GAME) encadré par un arrêté du 20 mars 2012 portant création d'un traitement automatisé de données à caractère personnel dénommé « gestion de l'activité et des mesures éducatives 2010 ». La Commission prend acte de ce qu'il doit également se substituer, au moins en partie à l'application « IMAGES », créée par l'arrêté du 21 octobre 2005 autorisant le traitement automatisé de données relatives à l'activité et aux dépenses liées aux prises en charge éducatives confiées au secteur habilité et conventionné, qui ne demeurera que dans sa partie financière et de suivi de facturation.
La Commission relève que le traitement projeté s'inscrit dans un projet plus large de refonte des systèmes d'information de la direction de la protection judiciaire de la jeunesse (DPJJ) et dans la dynamique de transformation numérique du ministère de la justice.
Sur les conditions générales de mise en œuvre du dispositif
En premier lieu, la Commission relève qu'il ressort des éléments transmis par le ministère que, s'agissant des modalités de reprise du traitement « IMAGES » dans le traitement « PARCOURS », la finalité relative au suivi de l'exécution du budget dans l'ordre des opérations ne sera pas intégrée dans « PARCOURS ». Elle prend acte de ce que cette finalité a vocation à être mise en œuvre à partir d'un tableur et que le ministère s'engage à abroger, dès la fin de la migration des données, l'arrêté relatif au traitement « IMAGES » afin d'éviter la coexistence de systèmes d'information en partie redondants.
En tout état de cause, elle rappelle que, dans l'hypothèse où la suppression du traitement « IMAGES » entraînerait des modifications supplémentaires des finalités ou des données collectées du traitement « PARCOURS », l'acte encadrant ce dernier devrait être modifié en conséquence.
En deuxième lieu, la Commission observe que le projet d'arrêté qui lui est soumis a vocation à constituer une première version du traitement « PARCOURS ». Elle prend acte de ce qu'une deuxième version du traitement, dont les caractéristiques ne sont pas encore déterminées, est envisagée afin d'inclure notamment des modalités de saisie contenant des champs libres et des zones de commentaires.
Elle appelle l'attention du ministère sur le fait qu'une telle évolution du traitement est susceptible de conduire à la collecte de données dites « sensibles ». Dans cette hypothèse, elle souligne que le traitement devra alors faire l'objet de formalités préalables auprès de la Commission, conformément aux articles 31-II et 89-II de la loi du 6 janvier 1978 modifiée.
En troisième lieu, la Commission prend acte de ce qu'il ressort des éléments transmis par le ministère que le traitement « PARCOURS » relève du règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données à caractère personnel (RGPD) pour les données issues des décisions en matière civile (prises sur le fondement des articles 375 et suivants du code civil, 1183 du code de procédure civile et du décret du 18 février 1975 pour le prolongement d'un suivi civil au-delà de la majorité) et de la directive (UE) 2016/680 du 27 avril 2016 dite « Police-Justice » telle que transposée au titre III de la loi du 6 janvier 1978 modifiée pour les décisions en matière pénale (prises sur le fondement des ordonnances n° 45-174 du 2 février 1945 relative à l'enfance délinquante et n° 2019-950 du 11 septembre 2019 portant partie législative du code de la justice pénale des mineurs).
La Commission prend également acte de ce qu'un cloisonnement, au sein du traitement « PARCOURS », entre les données relevant des mesures civiles et celles relevant des mesures pénales ne pourra pas être mis en œuvre dans la mesure où un tel cloisonnement ne permettrait pas de disposer d'une vue d'ensemble du parcours du jeune et des mesures le concernant.
Enfin, la Commission relève que le traitement « PARCOURS » porte principalement sur des personnes mineures. Celles-ci étant particulièrement vulnérables, elle sera particulièrement vigilante à la mise en œuvre de mesures permettant de s'assurer que le traitement de données relatives à cette catégorie de personnes fait l'objet de garanties appropriées pour leurs droits et libertés.
Sur les finalités du traitement
L'article 1er du projet d'arrêté précise que le traitement a pour finalité d'améliorer la mise en œuvre et le suivi des décisions pénales et civiles prononcées par l'autorité judiciaire à l'égard des mineurs ou des majeurs jusqu'à l'âge de vingt-trois ans qu'elle confie aux services et établissements du secteur public et du SAH de la PJJ, en mettant à disposition des personnes habilitées le détail du parcours judiciaire et éducatif.
La Commission relève que le traitement « PARCOURS » a également pour finalités :



- d'exploiter, à des fins statistiques et de pilotage des établissements et services concernés, les données du parcours judiciaire et de prise en charge éducative. Elle prend acte de ce que, à cette fin, la quasi-totalité des données sera aussi conservée de manière pseudonymisée dans un « infocentre » afin de les exploiter à des fins statistiques. Selon le ministère, cet outil vise à permettre, d'une part, de réaliser des requêtes sur des données de pilotage et, d'autre part, de réaliser des études de parcours et de population, ainsi que d'évaluer les effets des prises en charge ;
- d'évaluer les effets de la prise en charge des mineurs et des majeurs jusqu'à l'âge de vingt-trois ans pris en charge et des politiques publiques en la matière.



En outre, la Commission prend acte de ce que deux autres finalités du traitement « IMAGES », mentionnées dans l'arrêté du 21 octobre 2005 précité, seront intégrées au traitement « PARCOURS », à savoir « le suivi des mesures confiées au secteur associatif habilité » et « le contrôle de l'exactitude des mémoires de frais transmis par les structures associatives ».
La Commission prend acte de ce que le projet d'arrêté sera modifié en conséquence et que l'analyse d'impact relative à la protection des données (AIPD) sera complétée. Elle invite toutefois le ministère à préciser davantage les termes de ces finalités et recommande que le module financier relatif au suivi d'exécution du budget dans l'ordre des opérations, qui apparaît indivisible des autres finalités du traitement « IMAGES », soit également rattaché à terme au traitement PARCOURS.
Sur les droits des personnes concernées
L'article 6 du projet d'arrêté précise que les droits des personnes s'exercent directement auprès du directeur territorial de la protection judiciaire de la jeunesse où se trouve le service éducatif en charge de l'exécution de la décision judiciaire.
De manière générale, la Commission rappelle que l'exercice des droits des personnes constitue une garantie importante en vue de prévenir des atteintes à leur vie privée, et que l'information devra être adaptée pour être aisément compréhensible par des personnes mineures. Or, elle relève que le caractère mixte du traitement « PARCOURS » entraîne une complexité particulière des modalités d'exercice des droits.
La Commission estime, dès lors que les données sur lesquelles la personne concernée demande à exercer ses droits ne pourront pas être exclusivement rattachées soit aux finalités prévues par la directive, soit aux autres finalités du traitement de données, que, conformément à l'avis du Conseil d'Etat sur un projet de loi d'adaptation au droit de l'Union européenne de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (CE, Assemblée générale (section de l'intérieur), n° 393836, 7 décembre 2017), il convient que l'acte ayant autorisé le traitement de données à finalités mixtes s'appuie sur l'article 23 du RGPD pour déterminer un régime des droits des personnes concernées cohérent pour l'ensemble des données traitées pour les diverses finalités. Conformément au second paragraphe de cet article 23, les dispositions apportant de telles limitations doivent être précises et ne sauraient prendre la forme d'habilitations générales. Si la Commission estime que le traitement relève d'un régime mixte, elle invite ainsi le ministère à garder des modalités d'exercice des droits aussi simples et unifiées que possible.
A cet égard, la Commission prend acte de ce que le ministère s'engage à modifier le projet d'arrêté afin d'indiquer que les droits d'accès, de rectification ainsi qu'à la limitation s'exercent sans restriction et que, afin de garantir la protection de la personne faisant l'objet d'une prise en charge, les droits à l'effacement et d'opposition ne s'appliquent pas au présent traitement en application de l'article 23-1.i) du RGPD.
En premier lieu, s'agissant de l'information des personnes concernées, la Commission considère que la rédaction du projet d'arrêté relative au droit à l'information est ambiguë et mériterait d'être précisée dans la mesure où, conformément aux articles 48 et 104-I de la loi du 6 janvier 1978 modifiée, le responsable de traitement est tenu de mettre à la disposition de la personne concernée les informations listées. Elle prend acte de l'engagement du ministère de modifier le projet d'arrêté sur ce point.
En outre, la Commission prend acte de ce que différentes mesures visant à faciliter l'information des personnes concernées sont prévues par le ministère (élaboration automatique d'une lettre type, affichage dans l'espace d'accueil des unités éducatives, ou encore sensibilisation des personnels de la PJJ).
En second lieu, s'agissant des modalités d'exercice des autres droits, la Commission relève que le projet d'arrêté prévoit que le droit d'opposition ne s'applique pas au traitement en application de l'article 23-1.i) du RGPD ainsi que des articles 56 et 110 de la loi du 6 janvier 1978. Elle prend acte de ce que l'absence de ce droit permet de protéger les personnes concernées dans la mesure où l'exercice du droit d'opposition ne permettrait pas de disposer de l'ensemble du parcours du mineur ou du majeur jusqu'à l'âge de vingt-trois ans et serait alors susceptible de porter atteinte au bon suivi de son parcours et à sa prise en charge. Elle prend acte de ce que le ministère s'engage à modifier le projet d'acte afin d'indiquer que les informations fournies en application du RGPD précisent que le droit d'opposition est écarté.
Elle observe également que le droit à l'effacement ne s'appliquera pas, en application de l'article 17-3.b) du RGPD, et prend également acte de ce que le projet d'arrêté sera complété afin de le prévoir expressément.
Sur les durées de conservation des données
En premier lieu, l'article 3 du projet d'arrêté précise que les données mentionnées à l'article 2 sont conservées en base active jusqu'au jour où la personne concernée atteint l'âge de vingt-et-un ans et trois cent soixante-quatre jours, sous réserve que cette personne ne fasse plus l'objet d'une prise en charge à cette date. Dans le cas contraire, les données sont alors conservées en base active jusqu'au jour où la personne atteint l'âge de vingt-trois ans.
Selon le ministère, de telles durées de conservation se justifient par le besoin de disposer de l'intégralité du parcours de la personne concernée afin d'assurer une prise en charge adaptée.
La Commission prend acte de ce que la notion de « prise en charge » recouvre les décisions judiciaires pénales ou civiles, les activités d'insertion ainsi que les suivis en détention concernant les personnes confiées aux services et établissements du secteur public et du SAH de la PJJ. Elle relève que cette notion vise aussi les prises en charge réalisées indépendamment de toute décision judiciaire, par exemple dans l'hypothèse d'une activité de jour ou d'un suivi éducatif en détention.
Par ailleurs, l'article 3 précise qu'à compter de la date à laquelle les données ne sont plus conservées en base active, celles-ci demeurent accessibles pendant une durée de cinq ans aux personnels en charge de la gestion des contentieux au sein du bureau de la législation et des affaires juridiques de la DPJJ. A cet égard, la Commission prend acte de ce que cette dernière durée de conservation vise à permettre au ministère de répondre à d'éventuels contentieux mettant en cause la responsabilité même sans faute de l'Etat, soit sur le fondement de la garde, soit sur le fondement du risque spécial.
Elle relève également qu'un dossier conservé dans la base active est visible par les accédants autorisés jusqu'à trente jours après la date de fin de la dernière prise en charge. A l'issue de ces trente jours, il n'est plus visible par aucun des accédants autorisés, sauf dans l'hypothèse d'une « ré- activation » du dossier à l'occasion d'une nouvelle prise en charge. Or, la Commission rappelle qu'elle recommande dans le secteur social et médico-social que les données collectées et traitées pour les besoins de l'accompagnement social et médico-social des personnes ne soient pas conservées dans la base active au-delà de deux ans à compter du dernier contact émanant de la personne ayant fait l'objet de cet accompagnement. Aussi, elle s'étonne de la singularité de la solution retenue par le ministère consistant à conserver le dossier en base active sans recourir à un archivage intermédiaire. Elle considère néanmoins que des modalités de conservation protectrices sont mises en œuvre afin de compenser la longueur de ces durées de conservation.
La Commission accueille favorablement que le ministère envisage de mettre en place un mécanisme automatisé de suppression des données au cours de l'année 2021.
En deuxième lieu, la Commission prend acte de ce que le ministère s'engage à compléter le projet d'arrêté afin de préciser la durée de conservation des bases de données accessibles depuis « l'infocentre ». Elle estime que cette précision devrait figurer à l'article 3 du projet d'arrêté. La Commission relève que l'infocentre, qui comporte la quasi-intégralité des données du traitement, mais de manière pseudonymisée, vise à permettre, d'une part, aux utilisateurs (notamment aux contrôleurs de gestion) de réaliser des requêtes sur des données de pilotage saisies par les professionnels des établissements et services de la PJJ et, d'autre part, de réaliser des études de parcours et de population, ainsi que d'évaluer les effets des prises en charge et des politiques publiques.
Néanmoins, elle relève qu'aux termes de l'AIPD transmise à la Commission, ces données seront conservées « pendant vingt-cinq ans à compter de leur versement ».
La Commission prend acte des explications apportées par le ministère pour justifier d'une telle durée de conservation, à savoir, d'une part, sa volonté de mener des études comparatives sur les effets de l'ordonnance du 2 février 1945 relative à l'enfance délinquante et du code de la justice pénale des mineurs sur les parcours des personnes suivies par la PJJ et, d'autre part, sa volonté d'assurer une certaine cohérence avec la durée de conservation des données en base active.
En troisième lieu, s'agissant des traces fonctionnelles et techniques, la Commission relève que le ministère souhaitait initialement conserver les traces fonctionnelles pendant une durée de six ans, et prend acte de ce qu'il a finalement décidé de réduire cette durée à un an.
A cet égard, la Commission relève que le ministère précise que la mise en œuvre d'outils d'analyse automatique des traces n'est pas prévue à ce stade de la mise en place du traitement. Elle considère néanmoins que la mise en œuvre de tels outils apparaît incontournable car seule à même de permettre de garantir une détection rapide et efficace des erreurs ou usages détournés du traitement projeté.
Sur les autres conditions de mise en œuvre du traitement projeté
Sur les données collectées
L'article 2 du projet d'arrêté liste les catégories de données qui pourront être enregistrées dans le traitement.
En premier lieu, le ministère précise que « l'intégralité des données GAME et IMAGES seront reprises dans PARCOURS afin que les utilisateurs du seul secteur public retrouvent dès la première connexion l'intégralité des données des dossiers des mineurs et/ou jeunes majeurs pris en charge quel que soit le secteur ».
A cet égard, si elle prend acte de ce que la dernière finalité du traitement « IMAGES », qui constitue un module financier pour le suivi de l'exécution du budget dans l'ordre des opérations et n'impliquera pas a priori de traitement de données à caractère personnel, ne sera pas repris dans « PARCOURS », elle rappelle néanmoins qu'elle a recommandé que ce module soit également intégré à terme dans « PARCOURS ».
Au titre de la reprise de la finalité, aujourd'hui dévolue à « IMAGES », du contrôle de l'exactitude des mémoires de frais transmis par les structures associatives par le traitement « PARCOURS », la Commission prend acte de ce que le ministère précise que « le code imputation comptable et le coût des prestations SAH (à l'acte ou à la journée) » sont apparus comme des données essentielles qui n'étaient pas initialement prévues dans « PARCOURS » et que, dès lors, il modifiera le projet d'arrêté sur ce point et complétera l'AIPD. La Commission relève que le ministère a également précisé que l'ensemble des autres données utiles à la vérification des frais facturés par le SAH est déjà enregistré dans « PARCOURS » puisque ces données sont nécessaires à la mise en œuvre des autres finalités.
En deuxième lieu, comme relevé précédemment, la Commission prend acte de ce que le ministère précise que le traitement « PARCOURS » ne permettra pas, dans sa première version, de collecter des données dites « sensibles » et ne contiendra pas de zones de champ libre, à l'exception de ce qui est prévu pour les données d'identité et les coordonnées des personnes concernées qui ne peuvent pas être pré-remplies.
Elle relève, en particulier, que les données de santé, susceptibles d'être communiquées aux acteurs en charge des mineurs et jeunes majeurs, ne seront par conséquent pas enregistrées dans « PARCOURS ».
En troisième lieu, la Commission observe, s'agissant des mineurs et des majeurs jusqu'à l'âge de vingt-trois ans faisant l'objet d'une prise en charge par la PJJ, que pourra être renseignée, au titre des données d'identification, l'indication que la personne est un « mineur non accompagné ». A cet égard, elle prend acte de ce que, en ce qui concerne la détermination de cette minorité dans l'éventualité où la personne concernée ne disposerait pas de documents d'identité, cette information sera communiquée par l'autorité judiciaire et qu'aucun autre traitement ne pourra être consulté par un quelconque utilisateur de « PARCOURS » aux fins de détermination de cette minorité ou de vérification de cette information.
S'agissant de la catégorie de données « décision judiciaire », elle prend acte de ce que, dans la première version du traitement, les décisions de justice ne pourront pas être enregistrées dans « PARCOURS » et que seules les données listées à l'article 2.-1°-f) du projet d'arrêté pourront être renseignées, à savoir : la « date de la décision », le « type » et les « modalités » de la décision, le « fondement légal », le « numéro de procédure du parquet », le « numéro de dossier du juge », les « date » et « qualification juridique » des faits à l'origine de la décision, les « co-auteurs (nombre et minorité/majorité) », la « prise en charge par le service éducatif (dates de début et de fin prévues, dates de suspension et de reprise, durée de la prolongation, durée du renouvellement, date de fin effective) », ainsi que les « informations relatives aux écrits professionnels (date, nature et destinataire) ».
Enfin, s'agissant des données relatives aux proches du mineur ou du majeur jusqu'à l'âge de vingt-trois ans, la Commission prend acte de ce que la mention concernant le « lien avec le mineur ou le majeur jusqu'à l'âge de vingt-trois ans » ne sera finalement pas enregistrée dans la première version de « PARCOURS » et que cette information sera donc supprimée du projet d'arrêté. L'AIPD sera également mise à jour sur ce point.
Sous réserve de ce qui précède, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires
De manière générale, la Commission appelle l'attention du ministère, eu égard à la vulnérabilité de la catégorie de personnes concernées par le traitement, sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels concernés, afin de limiter au strict nécessaire les personnes qui pourront avoir directement accès aux données.
En premier lieu, l'article 4 du projet d'arrêté énumère les différentes catégories de personnes pouvant accéder, à raison de leurs attributions et dans la limite du besoin d'en connaître, à tout ou partie des données mentionnées à l'article 2.
La Commission relève que des profils d'accès ont été configurés afin que les différents accédants n'aient des droits d'accès ouverts que selon leur besoin fonctionnel et territorial d'en connaître.
S'agissant des responsables des politiques institutionnelles (RPI) et des responsables de l'appui au pilotage territorial » (RAPT) des services déconcentrés de la DPJJ, la Commission prend acte de ce que l'accès reconnu à ces personnes est justifié par le fait qu'elles peuvent être amenées à suivre des situations de certains jeunes multi-récidivistes et qu'elles font également partie de la chaîne de permanence nécessitant un accès en consultation lors d'incidents signalés.
S'agissant des référents laïcité citoyenneté en direction territoriale et en direction interrégionale, la Commission prend acte des explications du ministère selon lesquelles ces personnes doivent alimenter les suivis des situations de radicalisation enregistrées dans le traitement dénommé « ASTREE » en y saisissant un certain nombre de données issues du traitement « PARCOURS ». La Commission prend acte de ce que la mise en relation envisagée est conforme aux actes réglementaires régissant ces traitements. Dans ces conditions et à défaut de faire figurer cette mise en relation dans les actes réglementaires, elle invite toutefois le ministère, par souci de transparence, à le mentionner dans l'information qu'il fournit sur ces traitements sur son site internet.
S'agissant des conseillers techniques en direction territoriale et en direction interrégionale ainsi que des personnels du service évaluation, recherche et contrôle (SERC) en administration centrale, la Commission prend acte de ce que ces personnes doivent bénéficier d'un accès au traitement afin de pouvoir disposer des données utiles à leurs missions d'évaluation des dispositifs de prise en charge et d'expérimentation, ou encore de contrôle de fonctionnement des établissements et services de leur ressort.
S'agissant de l'accès au traitement reconnu au chef de la mission nationale de veille et d'information (MNVI) de la DPJJ, et à son adjoint, la Commission prend acte des explications du ministère selon lesquelles cet accès est rendu nécessaire en cas de gestion de situation de crise et d'incidents, « souvent à forte couverture médiatique », dans la mesure où « la MNVI doit être en capacité d'apporter l'ensemble des éléments de parcours et de profil des mineurs impliqués au cabinet du garde des sceaux et au directeur de la PJJ ». La Commission s'interroge toutefois, compte tenu de ces précisions, sur la nécessité de reconnaître à cette fin, par principe, un accès à l'ensemble des données du traitement à ces personnes. Sur ce point, elle prend acte de ce que ces dernières ne pourraient pas seulement en être les destinataires compte tenu de la nécessité de garantir une particulière réactivé induite par la situation d'urgence, qui les contraint à faire remonter au plus vite les informations utiles au plus haut niveau.
En second lieu, l'article 5 du projet d'arrêté précise les catégories de personnes destinataires de tout ou partie des données mentionnées à l'article 2.
S'agissant de l'Observatoire national de la protection de l'enfance (ONPE), la Commission relève qu'en vertu des articles D. 226-3-3 et D. 226-3-5 du code de l'action sociale et des familles, les données transmises à l'ONPE doivent être anonymes. A cet égard, elle rappelle qu'elle avait considéré, dans sa délibération n° 2020-062 du 11 juin 2020 portant avis sur un projet de décret modifiant les articles D. 226-3-3 à D. 226-3-8 du code de l'action sociale et des familles et organisant la transmission des informations sous forme anonyme par le ministère de la justice à l'ONPE que, « eu égard à la date d'adoption des dispositions législatives en cause, antérieures au RGPD, et au fait que l'article L. 226-3-3 du code de l'action sociale et des familles dispose que les informations sont transmises aux « fins d'exploitation conditionnée à la succession ou la simultanéité de[s] mesures », la volonté du législateur est de permettre la transmission à l'ONPE de données pseudonymisées au sens du RGPD. »
Les autres dispositions n'appellent pas d'observations supplémentaires de sa part.
Sur les mesures de sécurité
Concernant l'authentification des utilisateurs, la Commission relève que l'AIPD précise le fait qu'elle sera déléguée au SSO (« Single Sign On ») du ministère de la justice dans l'attente du déploiement d'une authentification forte par carte agent.
S'agissant des solutions mises en œuvre pour limiter les risques de perte de confidentialité des données d'identité et de suivi du parcours des jeunes, la possibilité d'exporter ces données étant proposée, la Commission retient la mise en œuvre d'une limitation des données extraites au strict nécessaire en respect du droit d'en connaître des agents de la DPJJ, de la mise en œuvre de traces nominatives et de l'apparition d'un message de sensibilisation lors de chaque extraction. Elle relève que le ministère indique également qu'une action volontaire est nécessaire pour rendre l'export nominatif. La Commission rappelle le besoin de suivi et de remontée d'alertes liées à cette fonctionnalité présentant un risque résiduel important, tel qu'identifié par le ministère.
La Commission prend acte de ce que tout poste nomade sera systématiquement chiffré dès son installation, comme suite à la note du 1er octobre 2020 du ministère de la justice « Directive nationale relative au chiffrement du parc bureautique nomade ». Elle rappelle également l'importance de s'assurer de l'effectivité du chiffrement du parc existant.
Concernant la solution de pseudonymisation mise en œuvre et le hachage réalisé, la Commission recommande d'appliquer la fonction de hachage HMAC à clé secrète ou d'ajouter un « sel » avant de hacher le concaténé des données concernées.
Les autres mesures de sécurité n'appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues aux articles 57 et 99 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour régulière de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

La présidente,


M.-L. Denis