La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret portant modification du décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l'intérieur (direction générale de la gendarmerie nationale) d'un traitement automatisé de données à caractère personnel d'aide à la rédaction des procédures ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie en urgence le 19 mai 2021 d'une demande d'avis portant sur un projet de décret portant modification du décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l'intérieur (direction générale de la gendarmerie nationale) d'un traitement automatisé de données à caractère personnel d'aide à la rédaction des procédures (LRPGN).
Cette saisine rectificative, qui fait suite à un premier avis de la Commission en date du 1er octobre 2020, vise notamment à tenir compte des observations qu'elle a formulées, ainsi que de la décision du 13 avril 2021 du Conseil d'Etat sur le traitement GendNotes (CE, 13 avril 2021, LDH e.a., n° 439360, inédit).
Dans cette décision, le Conseil d'Etat, après avoir rappelé que le décret régissant le traitement présentait comme l'une des finalités de l'application GendNotes le recueil et de la conservation de données « en vue de leur exploitation dans d'autres traitements », a observé que le décret ne comportait « aucune indication quant à la nature et à l'objet des traitements concernés ni quant aux conditions d'exploitation, dans ces autres traitements, des données collectées par le traitement ». En conséquence, le Conseil d'Etat a considéré que cette finalité n'était pas « déterminée, explicite et légitime », comme l'exige l'article 4 de la loi du 6 janvier 1978 modifiée, et a annulé la disposition du décret correspondante.
Ainsi, et pour tenir compte de cette décision, le projet de décret vise à expliciter les finalités du traitement LRPGN, qui prévoyaient initialement une finalité de « mise en relation avec des traitements de données relatives aux procédures judiciaires ».
Dans ce contexte, après avoir précisé les garanties devant selon elle s'attacher de manière générale à la mise en œuvre de mises en relation entre traitements, la Commission formule plusieurs séries d'observations concernant le projet de décret.
Enfin, la Commission accueille favorablement le fait que, dans le nouveau projet transmis, le ministère apporte des ajustements à certaines dispositions du décret, afin de tenir compte des observations formulées dans sa délibération précitée, plus particulièrement s'agissant du régime juridique retenu, des catégories de données collectées, ainsi que des durées de conservation.
Elle relève néanmoins que l'analyse d'impact sur la protection des données (AIPD) qui lui a été transmise n'a pas été mise à jour depuis la précédente saisine portant sur le traitement LRPGN, et datant de 2020, ce qu'elle regrette. La Commission invite le ministère à la mettre à jour dans les meilleurs délais afin de tenir compte des évolutions envisagées.
Sur les garanties attachées à la mise en œuvre de mises en relation entre plusieurs traitements
En premier lieu, la Commission rappelle qu'il y a lieu de distinguer entre la finalité et les moyens d'un traitement.
Une mise en relation est constituée par toute opération visant à utiliser les données d'un premier traitement pour une opération, quelle qu'elle soit, liée à un second traitement. De manière générale, le fait de mettre en relation deux traitements, que cela s'apparente à une interconnexion, à un rapprochement ou prenne une autre forme, ne constitue pas une finalité en soi mais simplement une fonctionnalité, un moyen par lequel une certaine finalité peut être poursuivie.
La Commission rappelle que, conformément aux dispositions de l'article 35 de la loi du 6 janvier 1978 modifiée et dans son champ d'application, les finalités du traitement doivent figurer expressément dans l'acte réglementaire encadrant le traitement mais pas l'ensemble des moyens permettant de poursuivre cette finalité.
La Commission estime en revanche que, dans le cas où une mise en relation avec un autre traitement poursuit une finalité propre, distincte des finalités énumérées par l'acte réglementaire, voire constitue l'unique finalité du traitement, alors cette dernière doit être suffisamment précise afin de répondre aux exigences de la loi « informatique et libertés », comme l'a rappelé le Conseil d'Etat dans sa décision du 13 avril 2021. Plus particulièrement, dans cette hypothèse, la seule mention de l'interconnexion, du rapprochement ou de la mise en relation au titre des finalités du traitement, ne saurait suffire, à elle seule, à satisfaire ces exigences. Une telle finalité doit, comme l'a jugé le Conseil d'Etat, préciser « la nature et l'objet des traitements concernés » et, le cas échéant, les « conditions d'exploitation » de ces opérations. Ce type de finalité peut également être déterminé en énumérant les traitements avec lesquels la mise en relation est possible. A titre d'illustration, la Commission relève que les traitements de données dont l'objectif premier est de réaliser un criblage d'autre fichiers (comme c'est par exemple le cas s'agissant du traitement « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD), mentionnent de manière expresse dans l'acte réglementaire les encadrant, les traitements pouvant être interrogés.
En deuxième lieu, la Commission rappelle de manière plus globale, s'agissant de l'équilibre général du traitement et, notamment, l'appréciation de ses conditions de mise en œuvre, que chaque mise en relation, qu'elle constitue une opération orientée à la finalité du traitement principal ou un traitement en elle-même tendant à une autre fin, doit respecter les règles prévues par la loi du 6 janvier 1978 et, le cas échéant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). La réglementation applicable en matière de protection des données à caractère personnel impose notamment que les données collectées pour des finalités déterminées, explicites et légitimes ne puissent pas être traitées ultérieurement d'une manière incompatible avec ces finalités.
En troisième lieu, lorsque les traitements en cause sont régis par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les deux traitements. Cela impose de s'assurer que l'opération est conforme aux finalités, aux données et aux accédants et destinataires fixés par les deux actes réglementaires.
Ainsi, s'agissant par exemple du transfert de données d'une base de données vers une autre, celui-ci n'est possible que s'il s'inscrit ou concourt aux finalités poursuivies par la base d'origine (ou à celles associées aux transmissions à des destinataires), si les données transférées sont autorisées à figurer dans la base de destination et si au moins une personne habilitée à alimenter la base de destination constitue un accédant ou un destinataire de la base d'origine.
En quatrième lieu, la réglementation en matière de protection des données à caractère personnel impose dans certaines hypothèses, la réalisation d'une AIPD.
A ce titre, la Commission rappelle que l'AIPD, qui doit notamment contenir une description détaillée du traitement mis en œuvre (comprenant tant les aspects techniques qu'opérationnels) doit nécessairement, lorsqu'elle est réalisée, porter sur les mises en relation, et notamment les interconnexions. Elle devra ainsi les lister de manière aussi exhaustive que possible, telles qu'elles sont connues et envisagées à la date de rédaction de l'analyse, en précisant leurs conditions de mise en œuvre (finalités, nature des données transmises, nécessité, conditions de transmission, sécurité des opérations, etc.).
La Commission rappelle par ailleurs que, lorsqu'elle est saisie d'une demande d'avis, celle-ci comporte conformément au 3° de l'article 33 de la loi du 6 janvier 1978 modifiée, les « interconnexions, les rapprochements ou toute forme de mise en relation avec d'autres traitements ». Elle doit également être informée de toute modification substantielle d'un traitement (finalités, destinataires, etc.) et, le cas échant, se prononcer sur les modifications projetées.
En cinquième lieu, la Commission invite les responsables de traitement à apporter des garanties opérationnelles spécifiques pour permettre que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard des finalités des traitements visés soient consultées et enregistrées. De même, des précautions doivent être prises pour éviter d'importer ou d'exporter, d'une base de données vers une autre, des données erronées ou obsolètes, en particulier lorsqu'il s'agit de données sensibles.
En dernier lieu, la Commission souligne l'évolution croissante de la mise en œuvre d'interconnexions ou de mise en relation de fichiers, plus particulièrement dans la sphère régalienne. Si elle n'est pas opposée au principe même de permettre de telles opérations au regard des enjeux tant opérationnels que juridiques induits par les évolutions dans ce domaine, elle estime que la transparence vis-à-vis du public quant aux conditions de mise en œuvre de ces différentes opérations participe également de l'équilibre entre l'objectif poursuivi par ces fichiers et le respect de la vie privée des personnes concernées.
Il résulte de ce qui a été dit ci-dessus que la liste de toutes les interconnexions, mises en relation et rapprochements n'a pas obligatoirement à figurer dans l'acte réglementaire. La Commission considère néanmoins que, dans certains cas particuliers, leur mention peut constituer une bonne pratique, notamment lorsque les finalités principales du traitement sont étroitement liées à quelques mises en relation particulières. A défaut, elle recommande vivement aux responsables de traitement publics, pour les traitements correspondant par exemple à des bases de données importantes, de décrire sur leur site web l'ensemble des mises en relation réalisées avec d'autres bases de données.
S'agissant de la mise en œuvre de ces garanties concernant le traitement LRPGN
De manière générale et conformément aux principes rappelés ci-dessus, la Commission appelle tout particulièrement l'attention du ministère sur la nécessité de vérifier que l'ensemble des mises en relation qu'il envisage est conforme aux dispositions réglementaires régissant les autres traitements, et plus largement celles en matière de protection des données à caractère personnel. Elle estime qu'à défaut, il ne pourra être procédé à certaines des mises en relation indiquées dans l'AIPD, sauf à modifier préalablement les actes réglementaires en cause.
Sur les finalités du traitement
L'article 1er du projet de décret modifie les finalités du traitement, et notamment celle qui visait initialement la possibilité de mettre en relation ce fichier avec d'autres traitements. Il est désormais prévu que le LRGPN a pour finalité de « permettre la collecte des informations nécessaires à la conduite de ces procédures, en vue de leur transmission aux autorités administrative et judiciaires chargées de les exploiter ».
La Commission relève tout d'abord que cette évolution vise à tenir compte des remarques qu'elle a formulées dans sa délibération précitée et plus particulièrement celle visant à considérer que la finalité initialement retenue correspondait davantage à une fonctionnalité technique, au service d'autres finalités. Dans son avis, la Commission avait en outre souligné que son caractère imprécis ne permettait d'appréhender ni les conditions de mise en œuvre du traitement, ni son périmètre.
En l'espèce, et au regard tant des précisions apportées par le Conseil d'Etat dans sa décision du 13 avril 2021 que des observations formulées dans la présente délibération quant aux conditions de mis en œuvre générale des traitements mettant en œuvre des opérations d'interconnexion, de mise en relation ou de rapprochement, la Commission estime que les modifications projetées des finalités du traitement LRPGN n'appellent pas d'observations particulières.
Sur les catégories de données traitées
L'article 7 du projet de décret complète celui-ci d'une annexe qui liste les données qui pourront être traitées dans le logiciel de rédaction. L'annexe distingue les catégories de données relatives aux personnes mises en cause, ainsi qu'aux personnes victimes, pour les procédures judiciaires et les procédures administratives. A titre liminaire, la Commission relève que ces évolutions visent notamment à tenir compte des observations formulées dans sa délibération du 1er octobre précitée.
En premier lieu, la Commission relève que, outre une série de données précisément désignées (nom, adresse, situation familiale, permis de conduire etc.), l'annexe prévoit une catégorie susceptible de recouvrir une grande variété de données à caractère personnel : les « éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire ». Si une telle catégorie de données est en principe trop imprécise pour fournir un encadrement satisfaisant à un traitement régi par un acte réglementaire, la Commission est consciente de la difficulté particulière qui s'attache à l'énumération de tous les types de données à caractère personnel pouvant être traitées dans le cadre d'un logiciel devant permettre la rédaction d'actes relatifs aux faits les plus divers, en lien avec toutes les procédures auxquelles participe la gendarmerie. Pour cette raison et dans ce cas très particulier, elle admet la formulation proposée sur ce point dans l'annexe.
En revanche, en deuxième lieu, l'annexe prévoit également qu'au titre des élément enregistrés dans le cadre d'une procédure judiciaire ou d'une procédure administrative, pourront figurer les « données et informations nécessaire à la conduite des investigations, issues de la consultation des traitements de données intéressant les procédures judiciaires et administratives mises en œuvre par les unités de gendarmerie ou par les services de police ».
La Commission comprend de ces dispositions que cette catégorie de données pourra permettre en pratique d'enregistrer au sein du traitement LRPGN toute donnée issue de la consultation d'autres fichiers détenus par la police et la gendarmerie, sans que la nature et l'objet de ceux-ci soient précisément indiqués, et sans qu'il soit exigé que cette donnée corresponde à l'une des autres catégories de données listées dans l'annexe. Si la Commission ne remet pas en cause l'absence d'obligation de mentionner les interconnexions, rapprochements et autres mises en relation au sein du projet de décret, conformément à l'article 35 de la loi du 6 janvier 1978 modifiée, elle estime que la formule utilisée dans le projet d'annexe n'apparaît pas conforme aux principes rappelés ci-dessous. L'importation de données issues d'autres fichiers consultés par la gendarmerie ou la police n'est possible que si les données en cause relèvent d'une des autres catégories de l'annexe, et dans le respect des actes réglementaires régissant ces traitements. Sauf à ce que le ministère entende lister ces traitements dans le projet de décret ou en décrire précisément les objets, la Commission invite donc le ministère à modifier cette formule.
Comme souligné dans sa délibération du 1er octobre 2020, la Commission considère en effet que ces dispositions ne permettent pas d'appréhender la nature ou le périmètre des informations visées par cette catégorie de données. De manière générale, elle considère que les données issues d'autres traitements peuvent permettre l'alimentation de catégories de données listées par l'acte réglementaire (telles que les informations relatives aux permis de conduire, ou aux armes), dès lors que ces dernières sont suffisamment précises et permettent de circonscrire la collecte d'informations à ce qui est strictement nécessaire au regard des finalités du traitement. Lorsque l'inscription ou non d'une personne dans un traitement constitue une information en soi, peut alors figurer dans le traitement la mention de son inscription (par exemple, « personne connue au traitement d'antécédents judiciaires (TAJ) »). Dans ces deux hypothèses, la Commission estime que le décret doit être suffisamment précis, pour permettre d'identifier de manière claire les informations susceptibles d'être enregistrées. Enfin, dans le cas d'un logiciel de rédaction, certaines catégories de données peuvent, eu égard à la nature particulière du traitement, être définies de façon moins précise.
En conclusion, la Commission estime que cette formule de l'annexe doit être modifiée. Elle invite le ministère soit à la supprimer, si les autres catégories déjà listées (et notamment la catégorie des « éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure ») apparaissent suffisantes pour les finalités du traitement, soit à compléter l'annexe de catégories supplémentaires de données, si possible précisément définies. A cet égard, elle prend acte de l'engagement du ministère de supprimer cette catégorie de données au sein du projet de décret.
En troisième lieu, l'annexe du projet de décret, qui encadre les données susceptibles d'être collectées, prévoit l'enregistrement de photographies de victimes.
A cet égard, la Commission relève que, s'agissant des photographies des victimes, la collecte de cette donnée est uniquement prévue dans le cadre de procédures judiciaires et dans la mesure où elles peuvent, selon le ministère, être nécessaires à l'enquête, que ce soit dans le cadre d'atteintes aux personnes (par exemple des traces de coups), ou pour permettre l'identification d'une personne décédée ou disparue.
Si la Commission ne remet pas en cause la pertinence de la collecte de cette donnée, elle estime néanmoins que les hypothèses de sa collecte étant limitées aux seules atteintes aux personnes, le projet de décret pourrait être précisé afin de circonscrire leur enregistrement à ces seuls cas d'usage et ainsi être limité à ce qui est strictement nécessaire à la conduite de la procédure judiciaire.
En dernier lieu, l'annexe du projet de décret prévoit, s'agissant des victimes, la collecte d'informations relatives aux armes. A cet égard, la Commission prend acte de ce que la collecte de ces informations est nécessaire en cas d'enquête judiciaire révélant l'utilisation d'une arme (victime utilisant une arme pour se défendre, ou inventaire d'objets dérobés par exemple).
S'agissant de la sécurité et la traçabilité des actions
De manière générale, la Commission relève que la durée de conservation des traces indiquées dans l'AIPD ne semble pas conforme à celle indiquée dans le projet de décret. Elle invite donc le ministère à procéder à une mise à jour de l'APID avant la mise en œuvre effective du traitement, afin de remplir pleinement ses obligations légales.
L'article 6 du projet de décret prévoit que « les opérations de collecte, de consultation, de modification, de communication et d'effacement des données et informations du traitement font l'objet d'un enregistrement comprenant l'identification de l'auteur, la date, l'heure et la nature de l'opération ».
La Commission relève que conformément à ce que permet l'article 37 de la loi n° 2018-493 du 20 juin 2018, le ministère entend reporter la mise en œuvre d'une partie de ces mesures, en l'espèce l'enregistrement du motif de la consultation ou de la communication, au plus tard au 31 décembre 2022, ce que prévoit le projet de décret.
Si elle ne remet pas en cause la mobilisation de cette possibilité, la Commission rappelle néanmoins l'importance de la mise en œuvre de telles mesures permettant d'assurer la sécurité du traitement. Elle souligne que la traçabilité de ces différentes opérations est d'autant plus importante qu'elle permettra également de prévenir tout mésusage de la mise en œuvre d'interconnexions, de mises en relation ou de rapprochements au sein du traitement LRPGN.
La Commission rappelle par ailleurs la nécessité de prévoir des mesures d'analyse automatique des données de traçabilité afin de garantir que les éventuels détournements du traitement soient détectés le plus précocement possible.