La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de la transition écologique d'une demande d'avis concernant trois projets d'arrêtés mettant en œuvre un traitement de données à caractère personnel relatif à la traçabilité des déchets, des terres excavées et sédiments ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31 ;
Vu le code de l'environnement, notamment ses articles L. 541-7, R. 541-45, R. 541-43 R. 541-43-1 et R. 541-48 du code de l'environnement
Sur la proposition de Monsieur Alain DRU, commissaire, et après avoir entendu les observations de Monsieur Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
1. La Commission nationale de l'informatique et des libertés a été saisie, sur le fondement de l'article 31 de la loi du 6 janvier 1978 modifiée, par la ministre de la transition écologique, d'une demande d'avis sur trois projets d'arrêtés :
- un projet d'arrêté mettant en œuvre un traitement de données à caractère personnel relatif à la traçabilité des déchets dangereux et des déchets contaminés par des polluants organiques persistants (« déchets POP ») dénommé « système de gestion des bordereaux de suivi de déchets » ;
- un projet d'arrêté mettant en œuvre un traitement de données à caractère personnel relatif à la traçabilité des déchets dénommé « registre national des déchets » ;
- un projet d'arrêté mettant en œuvre un traitement de données à caractère personnel relatif à la traçabilité des terres excavées et sédiments dénommé « registre national des terres excavées et sédiments ».
2. Ces projets d'arrêtés sont pris en application de l'article L. 541-7 du code de l'environnement et du décret n° 2021-321 du 25 mars 2021 relatif à la traçabilité des déchets, des terres excavées et sédiments qui prévoient la mise en œuvre des exigences de traçabilité des déchets ainsi que des obligations de transmission par voie électronique par certains acteurs économiques des informations associées vers trois bases de données nationales dédiées : le registre national des déchets, le registre national des terres excavées et sédiments, le système de gestion des bordereaux et de suivi de déchets. Les trois projets d'arrêtés prévoient la mise la mise en œuvre et les modalités de traitements de données de ces trois systèmes d'information.
3. La Commission prend acte de ce que les traitements mis en œuvre par ces trois systèmes d'informations ont pour finalité la traçabilité des déchets et des terres excavées et sédiments et ont pour objet la constatation des infractions pénales relatives à la gestion des déchets, listées par les articles L. 541-46 et R. 541-78 du code de l'environnement, l'établissement de statistiques pour l'observation de la gestion des déchets et la prévention des atteintes à l'environnement. La direction générale de la prévention des risques est responsable des traitements mis en œuvre.
Sur les durées de conservation
4. L'article 3 des trois projets d'arrêtés prévoit que la durée de conservation des données à caractère personnel des personnes concernées est de six ans et de trente ans pour les informations liées à la localisation géographique.
5. S'agissant des données liées à la localisation géographique conservées dans les registres, la Commission prend acte des précisions du ministère selon lesquelles il s'agit de données de localisation expurgées de toute donnée à caractère personnel.
6. Le ministère a précisé que les données relatives à l'identité des personnes concernées qui seraient enregistrées sur les bordereaux ou les registres électroniques seraient conservées en base active pour une durée de six ans à l'issue de laquelle elles seront supprimées. La Commission s'interroge sur la nécessité de conserver ces données en base active pour une telle durée. A cet égard, elle invite le ministère à limiter la durée de conservation en base active au strict nécessaire au regard de l'objectif poursuivi par le traitement, et à fixer une durée de conservation en base d'archivage intermédiaire le cas échéant.
7. Les trois projets d'arrêtés prévoient que les données relatives à l'identité des utilisateurs déclarant des informations et permettant la connexion aux systèmes d'information seront conservées pour une durée de six ans. A cet égard la Commission précise que ces données peuvent être conservées en base active tant que la personne concernée dispose d'un accès à un compte utilisateur. Ces données pourront ensuite être conservées en base d'archivage intermédiaire pour une durée de six ans.
8. Ces durées de conservation n'appellent pas d'observation particulière eu égard aux justifications apportées. Cependant, la Commission invite le ministère à modifier les projets d'arrêtés afin d'y intégrer les durées de conservation effectivement retenues.
Sur l'information et les droits des personnes concernées
9. Le ministère a précisé que les personnes concernées seront informées sur le site de « Trackdéchets » et sur celui consacré au registre national et que cette information contiendra l'ensemble des informations exigées par l'article 13 du RGPD.
10. L'article 6 des trois projets d'arrêtés prévoit que les personnes concernées disposent des droits d'accès et de rectification de leurs données à caractère personnel.
11. Le ministère a précisé que le droit à la limitation du traitement s'applique au traitement mis en œuvre. A cet égard, la Commission invite le ministère à apporter cette précision dans les projets d'arrêtés.
12. La Commission prend acte de ce que le droit d'opposition et le droit à l'effacement des données sont exclus, dans la mesure où le traitement répond à une obligation légale.
13. La Commission rappelle que les personnes concernées devront être informées de manière complète et dans les conditions des articles 12, 13 et 14 du RGPD. Elles devront notamment être informées des mises en relation et des durées de conservation retenues.
Sur les destinataires et les mises en relation avec les systèmes d'information relatifs à la traçabilité des déchets et des terres excavées et sédiments
14. L'article 4 des trois projets d'arrêtés prévoit que les agents au sein du service des études statistiques du ministère chargé de l'environnement peuvent accéder à la totalité ou à une partie des données. Si cet accès paraît légitime, la Commission invite le ministère à mentionner l'existence d'une finalité relative à la réalisation d'opérations statistiques dans les trois projets d'arrêtés.
15. La Commission relève que plusieurs mises en relation entre les traitements ou avec d'autres traitements sont prévues, et plus particulièrement :
- il est prévu que le système de gestion des bordereaux de suivi de déchets alimentera automatiquement et en temps réel le registre national des déchets et le registre national des terres excavées et sédiments lorsque les données devant être transmises sont intégrées aux bordereaux ;
- il est également prévu que les trois traitements pourront être directement alimentés en données par échanges informatisés de données à partir des logiciels informatiques internes des entreprises.
16. Par ailleurs, de façon à mettre en œuvre le principe du « dites-le nous une fois », la Commission relève qu'une alimentation de l'application GISTRID relative aux transferts transfrontaliers de déchets par les informations issues de l'application « Trackdéchets » et du registre national pourrait également être mise en place, de façon à faciliter le remplissage par les entreprises de leurs demandes de transferts.
Sur la sécurité et la confidentialité des données
17. Le dossier fourni à la Commission ne comporte pas d'éléments suffisamment précis permettant d'évaluer la conformité des mesures de sécurité et de confidentialité des données envisagées.
18. La Commission rappelle que le traitement « Trackdéchets » étant un téléservice d'une autorité administrative au sens de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance susvisée. La Commission rappelle qu'il revient au responsable de traitement d'attester formellement de la sécurité de celui-ci au travers une homologation RGS et de publier l'attestation sur le site du téléservice « Trackdéchets ».
19. Afin d'assurer la sécurité du téléservice, la Commission invite le ministère à réaliser une analyse d'impact relative à la protection des données afin de limiter les risques pesant sur les personnes concernées, ainsi qu'à appliquer les recommandations techniques relatives à la sécurité des sites web publiées par l'Agence nationale de la sécurité des systèmes d'information dans sa note technique « recommandations pour la sécurisation des sites web ».