Délibération de la CNIL n° 2009-356 du 11 juin 2009 concernant les enquêtes administratives liées à la sécurité publique

Visas

La Commission nationale de l’informatique et des libertés,

Saisie pour avis par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales le 27 mars 2009 d’un projet de décret en Conseil d’État portant création de l’application concernant les enquêtes administratives liées à la sécurité publique ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ;

Vu la Convention internationale des droits de l’enfant, notamment son article 16 ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu le code de procédure pénale, notamment son article 777-3 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment ses articles 66, 8, 26, 29, 30, 31, 32, 38, 41 et 44 ;

Vu la loi n° 95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, notamment son article 17-1 ;

Vu le décret n° 85-1057 du 2 octobre 1985 modifié relatif à l’organisation de l’administration centrale du ministère de l’intérieur et de la décentralisation, notamment son article 12 ;

Vu le décret n° 2005-1124 du 6 septembre 2005 pris pour l’application de l’article 17-1 de la loi n° 95-73 du 21 janvier 1995 et fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l’article 21 de la loi n° 2003-239 du 18 mars 2003 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Vu le décret n° 2008-631 du 27 juin 2008 portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi n° 78-17 du 6 janvier 1978 ;

Vu le décret n° 2008-632 du 27 juin 2008 portant création du traitement dénommé « EDVIGE » ;

Vu le décret n° 2008-1199 du 19 novembre 2008 portant retrait du décret n° 2008-632 du 27 juin 2008 portant création du traitement dénommé « EDVIGE » ;

Vu le projet de décret en Conseil d’État portant création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP) ;

Vu le projet de décret en Conseil d’État portant création de l’application relative à la prévention des atteintes à la sécurité publique ;

Vu la délibération n° 2008-174 du 16 juin 2008 portant avis sur le projet de décret en Conseil d’État portant création du traitement dénommé « EDVIGE » ;

Vu la délibération n° 2008-175 du 16 juin 2008 portant avis sur le projet de décret en Conseil d’État portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi n° 78-17 du 6 janvier 1978 ;

Vu la délibération n° 2008-459 du 20 novembre 2008 portant avis sur le projet de décret en Conseil d’État portant création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP) ;

Vu la délibération n° 2009-355 du 11 juin 2009 portant avis sur le projet de décret en Conseil d’État portant création de l’application relative à la prévention des atteintes à la sécurité publique ;

Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport et M^me Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

La commission a été saisie pour avis le 27 mars 2009 par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales de deux projets de décret en Conseil d’État, lesquels ont vocation à se substituer au projet de décret portant création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP), au sujet duquel elle avait émis un avis le 20 novembre 2008. Ces deux projets de décret créent deux traitements distincts : un traitement de données relatif à la prévention des atteintes à la sécurité publique, d’une part, et un traitement de données relatif aux enquêtes administratives liées à la sécurité publique, d’autre part.

À titre liminaire, la commission observe que, « dans un souci de clarté et de transparence », « le Gouvernement a souhaité dissocier les traitements en fonction de leur finalité ». En cela, il répond à l’une des recommandations qu’elle avait formulée lors de l’examen des finalités du fichier dit « EDVIRSP », qui avait vocation à remplacer le fichier dénommé « EDVIGE ».

Sur les finalités (article 1er du projet de décret) :

Comme indiqué aux termes du premier alinéa de l’article 1er du projet de décret, le traitement de données à caractère personnel intitulé « Enquêtes administratives liées à la sécurité publique » a pour finalité de recueillir, de conserver et d’analyser les informations qui concernent des personnes faisant l’objet d’enquêtes administratives en application des dispositions du premier alinéa de l’article 17-1 de la loi du 21 janvier 1995. Ainsi, ces nouvelles dispositions précisent la nature des enquêtes administratives pouvant se traduire par un enregistrement dans le fichier.

La commission souligne que les précisions ainsi apportées répondent à sa demande, formulée lors de sa délibération du 16 juin 2008, selon laquelle « il y aurait lieu de préciser les conditions et la nature des enquêtes administratives susceptibles d’être réalisées ainsi que les types d’emplois ou de fonctions pour lesquels la DCSP peut se voir confier lesdites enquêtes ». Elle constate néanmoins que le premier alinéa de l’article 17-1 de la loi du 21 janvier 1995 vise un grand nombre d’enquêtes administratives, comme en attestent les termes du décret n° 2005-1124 du 6 septembre 2005 pris pour son application.

En outre, la commission demande qu’aucune décision de recrutement, d’affectation, d’autorisation, d’agrément pour certains emplois publics et emplois privés de sécurité ne soit prise avant que les informations contenues dans les fichiers d’antécédents judiciaires aient fait l’objet d’une vérification auprès du procureur de la République en charge de leur mise à jour.

Sur les données traitées (articles 22, 3 et 5 du projet de décret) :

Sur les données dites « sensibles » (article 3 du projet de décret) :

L’article 33 du projet de décret réaffirme le principe selon lequel il est interdit de collecter ou de traiter des données « sensibles ». Aussi, ce n’est que par dérogation que la collecte, la conservation et le traitement desdites données sont autorisés, pour la réalisation d’enquêtes administratives et dans le strict respect des conditions définies au présent décret. En outre, seules des données susceptibles de faire apparaître les activités politiques, philosophiques, religieuses ou syndicales sont susceptibles d’être enregistrées.

La commission prend acte de la modification rédactionnelle intervenue par rapport au décret du 27 juin 2008 portant création du fichier « EDVIGE », qui autorisait, sans restriction, la collecte des données dites « sensibles ». Elle considère que cette nouvelle rédaction est plus conforme à la lettre comme à l’esprit de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.

Elle observe que le nouveau projet de décret permettra d’encadrer plus strictement les conditions de traitement des données dites « sensibles ». La commission note avec satisfaction que la collecte, la conservation et le traitement des données relatives à la santé et à la vie sexuelle seront prohibés, de même que celles qui sont susceptibles de faire apparaître l’origine raciale ou ethnique des personnes concernées. Elle relève avec intérêt que la notion d’« activités », notion objective car fondée sur des actes, a été substituée à celle, plus subjective, d’« opinions » politiques, philosophiques, religieuses ou syndicales. Enfin, elle prend acte de ce que, conformément à sa demande, ces données ne pourront être collectées, conservées et traitées « que dans la stricte mesure où elles sont nécessaires pour déterminer si le comportement des personnes intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées ».

En conséquence, la commission considère que ces modifications apportent des garanties suffisantes eu égard à la finalité du traitement.

Sur les différentes catégories de données (article 2 du projet de décret) :

La commission note que, conformément à sa demande, les données relatives aux signes physiques des personnes, à leurs déplacements et à l’immatriculation des véhicules ne pourront être collectées.

Elle prend acte des précisions apportées par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales selon lesquelles les données relatives au « comportement » des personnes ne pourront pas faire apparaître de données « sensibles » et que celles portant sur les « antécédents judiciaires » ne pourront faire référence qu’à des faits et non à des condamnations pénales, en vertu de l’article 777-3 du code de procédure pénale.

En outre, la commission prend acte de ce que, conformément à sa demande, les motifs d’enregistrement feront état de la nature de l’enquête administrative à l’origine de l’enregistrement des personnes.

Elle observe cependant qu’il est fait mention d’une nouvelle catégorie de données, dénommée « activités publiques » par rapport à la rédaction du décret du 27 juin 2008. Selon le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales, elle vise à collecter des données utiles qui ne pourraient pas être traitées au titre de l’activité professionnelle, stricto sensu, des personnes concernées. Elle considère néanmoins que, pour lui permettre d’assurer pleinement la mission de contrôle des conditions d’application a posteriori de ces dispositions, la nature exacte des données susceptibles d’être enregistrées sous cette catégorie devrait être mieux définie.

Sur les mineurs (article 5 du projet de décret) :

La commission prend acte de ce que la collecte des données ne pourra concerner que les mineurs âgés de seize ans et plus et relève que, comme indiqué aux termes de l’article 9 du projet de décret, l’application de l’effacement des données relatives aux mineurs devra faire l’objet de développements particuliers dans le rapport annuel que le directeur général de la police nationale adressera chaque année à la CNIL.

La commission prend acte de cette nouvelle rédaction, qui est de nature à garantir, de façon plus effective, les droits des mineurs concernés. Elle souligne néanmoins que l’enregistrement de telles données devrait conserver un caractère exceptionnel.

Sur les durées de conservation (article 4 du projet de décret) :

Les données collectées pourront être conservées pour une durée maximale de cinq ans à compter de leur enregistrement ou de la cessation des fonctions ou des missions au titre desquelles l’enquête a été menée.

La commission souligne à nouveau, comme elle l’avait fait lors de son avis du 16 juin 2008, la nécessité de prévoir une procédure d’apurement des données dans les cas où l’enquête administrative a donné lieu à un avis favorable. A cet égard, la commission comprend la préoccupation du ministère de l’intérieur selon laquelle il n’y aurait pas lieu de réitérer, dans un souci d’efficacité, certaines enquêtes administratives, par exemple celles récentes concernant des agents contractuels relevant du domaine de la sécurité. Toutefois, elle juge excessive la conservation, pendant l’ensemble de la carrière professionnelle, des données recueillies lors du recrutement de tel ou tel agent titulaire de l’État, à l’instar des magistrats de l’ordre judiciaire ou administratif, des ambassadeurs ou des consuls, ou encore des préfets.

Par conséquent, elle considère que la durée de conservation devrait avoir pour point de départ l’exécution de l’enquête administrative elle-même et non la cessation des fonctions de la personne concernée. Elle estime également nécessaire de prévoir une durée de conservation plus courte garantissant la pertinence des données collectées dans le cadre de l’exécution des enquêtes précitées.

Sur les destinataires (article 6 du projet de décret) :

Dans la limite du besoin d’en connaître, seront autorisés à accéder aux données enregistrées dans le traitement :

• les fonctionnaires relevant de la sous-direction de l’information générale, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique ;
• les fonctionnaires des directions départementales de la sécurité publique affectés dans les services d’information générale individuellement désignés et spécialement habilités par le directeur départemental ;
• les fonctionnaires affectés dans les services de la préfecture de police en charge du renseignement individuellement désignés et spécialement habilités par le préfet de police.

En outre, pourront également être destinataires des données du traitement, dans la limite du besoin d’en connaître, les autorités publiques compétentes pour demander des enquêtes administratives ou tout autre agent d’un service de la police nationale ou de la gendarmerie nationale, sur demande expresse visée de son chef de service, et précisant l’identité du consultant, l’objet et les motifs de la consultation.

Sur les sécurités (articles 7 et 8 du projet de décret) :

S’agissant de la traçabilité des accès, la commission prend acte de ce que, conformément à sa demande, les consultations du traitement automatisé feront l’objet d’un enregistrement comprenant l’identifiant du consultant, la date et l’heure de la consultation et de ce que ces informations seront conservées pendant un délai de deux ans.

La commission prend acte de ce que le traitement ne fera l’objet d’aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d’autres traitements ou fichiers ne relevant pas du projet de décret.

Sur le contrôle a posteriori (article 10 du projet de décret) :

La commission prend acte de ce que, aux termes de l’article 10 du projet de décret, le directeur général de la police nationale rendra compte chaque année à la commission de ses activités de vérification, de mise à jour et d’effacement des données enregistrées dans le traitement.

Elle observe également que, en application des dispositions de l’article 44 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, visées par l’article 10 du projet de décret, le traitement sera soumis au pouvoir de contrôle sur place et sur pièces de ses membres et agents habilités à cette fin.

Sur les droits des personnes (article 9 du projet de décret) :

La commission prend acte de ce que, conformément à sa demande, les personnes faisant l’objet d’une enquête administrative seront informées que celle-ci peut donner lieu à une insertion dans le traitement considéré. Conformément aux dispositions de l’article 41 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, le droit d’accès aux données s’exercera auprès de la commission.

Le droit d’opposition prévu à l’article 38 de la loi précitée ne s’applique pas au présent traitement.