🟧 DĂ©libĂ©ration CNIL du 19 janvier 2021 portant avis sur un projet d’arrĂȘtĂ© relatif Ă  la dĂ©claration dĂ©matĂ©rialisĂ©e sur un site internet public par les professionnels de rappels de produits, de denrĂ©es alimentaires ou d’aliments pour animaux

Saisie par la ministre de la transition Ă©cologique, le ministre de l’Ă©conomie, des finances et de la relance et le ministre de l’agriculture et de l’alimentation d’une demande d’avis sur un projet d’arrĂȘtĂ© relatif Ă  la dĂ©claration dĂ©matĂ©rialisĂ©e sur un site internet public par les professionnels de rappels de produits, de denrĂ©es alimentaires ou d’aliments pour animaux ;


Vu le rĂšglement (UE) 2016/679 du Parlement europĂ©en et du Conseil du 27 avril 2016 relatif Ă  la protection des personnes physiques Ă  l’Ă©gard du traitement des donnĂ©es Ă  caractĂšre personnel et Ă  la libre circulation de ces donnĂ©es, et abrogeant la directive 95/46/CE (rĂšglement gĂ©nĂ©ral sur la protection des donnĂ©es ou RGPD) ;
Vu le code de la consommation, notamment son article L. 423-3 ;
Vu le code rural et de la pĂȘche maritime, notamment son article L. 205-7-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et aprĂšs avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,


Emet l’avis suivant :

La Commission nationale de l’informatique et des libertĂ©s (ci-aprĂšs la « Commission ») a Ă©tĂ© saisie par la ministre de la transition Ă©cologique, le ministre de l’Ă©conomie, des finances et de la relance et le ministre de l’agriculture et de l’alimentation d’une demande d’avis sur le fondement des articles L. 423-3 du code de la consommation et L. 205-7-1 du code rural et de la pĂȘche maritime, sur un projet d’arrĂȘtĂ© relatif Ă  la dĂ©claration dĂ©matĂ©rialisĂ©e sur un site internet public par les professionnels de rappels de produits, de denrĂ©es alimentaires ou d’aliments pour animaux (ci-aprĂšs « dĂ©clarations de rappel »).

L’article L. 421-3 du code de la consommation impose aux professionnels une obligation gĂ©nĂ©rale de sĂ©curitĂ© pour les produits et les services qu’ils commercialisent. Lorsqu’un producteur ou un distributeur sait que des produits destinĂ©s aux consommateurs qu’il a mis sur le marchĂ© ne rĂ©pondent pas aux exigences Ă©noncĂ©es Ă  cet article, il doit engager les actions nĂ©cessaires pour prĂ©venir les risques pour les consommateurs et en informer immĂ©diatement les autoritĂ©s administratives compĂ©tentes.

En complĂ©ment de cette mesure, l’article L. 423-3 du code de la consommation et l’article L. 205-7-1 du code rural et de la pĂȘche maritime prĂ©voient que ces dĂ©clarations de rappel sont effectuĂ©es par les professionnels de façon dĂ©matĂ©rialisĂ©e sur un site internet dĂ©diĂ©, mis Ă  la disposition du public par l’administration.

Un arrĂȘtĂ© des ministres intĂ©ressĂ©s, pris aprĂšs avis de la Commission, doit en dĂ©terminer les conditions de fonctionnement, son adresse, les informations Ă  dĂ©clarer, la nature de celles qui sont rendues publiques, ainsi que les modalitĂ©s de dĂ©claration, de publication et d’actualisation de ces informations. C’est l’objet du projet d’arrĂȘtĂ© soumis Ă  l’avis de la Commission.

Sur le fonctionnement du dispositif

Afin que les professionnels puissent effectuer cette dĂ©claration dĂ©matĂ©rialisĂ©e, l’article 1er du projet d’arrĂȘtĂ© prĂ©voit que la direction gĂ©nĂ©rale de la concurrence, de la consommation et de la rĂ©pression des fraudes (DGCCRF) crĂ©e un traitement de donnĂ©es dĂ©nommĂ© « RappelConso » qui se compose de trois modules distincts :

– un site internet destinĂ© aux professionnels, ainsi qu’aux tiers agissant pour leur compte, tenus d’effectuer la dĂ©claration de rappel dĂ©matĂ©rialisĂ©e ;
– un site internet destinĂ© Ă  l’information du public sur ces rappels ;
– un module accessible par le rĂ©seau interne de l’Etat permettant aux agents destinataires d’approuver la publication d’un rappel crĂ©Ă© par un professionnel, de crĂ©er et publier des rappels Ă  leur initiative, de publier des informations Ă  destination du public sur les rappels et de gĂ©rer l’ensemble des interfaces prĂ©citĂ©es.

Sur les finalités

La finalitĂ© de ce traitement est de permettre la mise en Ɠuvre des dĂ©clarations dĂ©matĂ©rialisĂ©es de rappel de produits, de denrĂ©es alimentaires et d’aliments pour animaux, prĂ©vues par l’article L. 423-3 du code de la consommation et l’article L. 205-7-1 du code rural et de la pĂȘche maritime.
La Commission considĂšre que les finalitĂ©s poursuivies sont dĂ©terminĂ©es, explicites et lĂ©gitimes conformĂ©ment aux dispositions de l’article 5.1 b du RGPD.

Sur les données traitées

Lorsqu’un professionnel souhaite effectuer une dĂ©claration dĂ©matĂ©rialisĂ©e de rappel, il doit adhĂ©rer au site professionnel « RappelConso » et fournir des informations d’identification qui lui permettent de crĂ©er des comptes administrateurs et utilisateurs.

Le ministĂšre a indiquĂ© que lors de la crĂ©ation d’une fiche de rappel, les Ă©lĂ©ments d’identification du professionnel, renseignĂ©s lors de la crĂ©ation d’un compte adhĂ©rent, Ă©taient rĂ©utilisĂ©s lors de l’enregistrement d’une dĂ©claration de rappel.

L’annexe du projet d’arrĂȘtĂ© Ă©numĂšre la liste des donnĂ©es Ă  caractĂšre personnel collectĂ©es pour la crĂ©ation d’un compte adhĂ©rent et la crĂ©ation des fiches de rappels. Cette liste contient essentiellement des donnĂ©es de contact du professionnel et de l’agent instructeur des demandes ainsi que des donnĂ©es relatives aux produits rappelĂ©s.

La Commission considĂšre que les donnĂ©es traitĂ©es sont adĂ©quates, pertinentes et limitĂ©es Ă  ce qui est nĂ©cessaire au regard des finalitĂ©s pour lesquelles elles sont traitĂ©es, conformĂ©ment aux dispositions de l’article 5.1 c du RGPD.

Sur l’information et les droits des personnes

L’article 9 du projet d’arrĂȘtĂ© prĂ©voit que les dispositions relatives Ă  l’information des personnes concernĂ©es sont disponibles dans la rubrique « RGPD » de chacun des modules du site « RappelConso ».

Interrogé sur ce point, le ministÚre a indiqué que les utilisateurs du site « RappelConso » seront informés des traitements les concernant :

– lors de la crĂ©ation d’un compte adhĂ©rent au moyen d’une case Ă  cocher et d’un simple renvoi vers une rubrique RGPD de son module ;
– lors de l’enregistrement d’une dĂ©claration de rappel, au moyen d’une mention d’information figurant sur toutes notifications et comportant un renvoi vers une rubrique RGPD du portail correspondant. La Commission prend acte de l’engagement du ministĂšre de ce que cette rubrique contiendra l’ensemble des informations exigĂ©es par l’article 13 du RGPD.

La Commission rappelle que l’information des personnes concernĂ©es, qui comprennent les agents instructeurs des demandes, doit ĂȘtre rĂ©alisĂ©e au moment de la collecte des donnĂ©es par le responsable de traitement selon les modalitĂ©s dĂ©finies Ă  l’article 12 du RGPD, et doit comporter l’ensemble des mentions prĂ©vues par l’article 13 de ce texte.

A cet Ă©gard, si la Commission partage la position du G29 prĂ©sentĂ©e dans les lignes directrices sur la transparence au sens du rĂšglement, adoptĂ©es dans leur version rĂ©visĂ©e le 11 avril 2018 qui reconnaĂźt, dans un univers numĂ©rique, la possibilitĂ© d’informer au travers de plusieurs niveaux, elle rappelle que certains Ă©lĂ©ments essentiels (tels que l’identitĂ© du responsable de traitement, les finalitĂ©s du traitement et les modalitĂ©s d’exercice des droits des personnes) doivent immĂ©diatement ĂȘtre portĂ©s Ă  la connaissance des personnes concernĂ©es. La Commission prend Ă  cet Ă©gard acte de l’engagement du ministĂšre de ce que les mentions d’informations portĂ©es Ă  la connaissance des personnes concernĂ©es contiendront ces Ă©lĂ©ments essentiels.

Sur les durées de conservation

L’article 7 du projet d’arrĂȘtĂ© prĂ©voit les durĂ©es de conservation des informations et des donnĂ©es Ă  caractĂšre personnel suivantes :

– les donnĂ©es Ă  caractĂšre personnel relatives Ă  une fiche de rappel sont conservĂ©es pendant une durĂ©e maximale de six ans ;
– les donnĂ©es Ă  caractĂšre personnel du compte d’un professionnel sont supprimĂ©es six mois aprĂšs la suppression du mĂȘme compte ;
– les informations sur la personne physique, ainsi que la personne morale effectuant la dĂ©claration lorsque cette derniĂšre est un professionnel, sont conservĂ©es tant que l’utilisateur dispose d’un accĂšs au compte du professionnel pour lequel il a effectuĂ© la dĂ©claration ;
– les informations sur un agent d’une autoritĂ© administrative traitant les dĂ©clarations ou les informations sur les rappels sont conservĂ©es tant que l’agent demeure dans la mĂȘme affectation et exerce les mĂȘmes attributions ;
– les informations relatives aux connexions et accĂšs aux diffĂ©rents modules mentionnĂ©s Ă  l’article 1er sont conservĂ©es pendant une durĂ©e qui ne peut excĂ©der six mois Ă  compter du jour de leur enregistrement.

Interrogé sur ce point, le ministÚre a indiqué que les historiques des états des fiches de déclaration de rappel étaient conservés en base active pour une durée maximale de six ans.

A cet Ă©gard, la Commission rappelle que les donnĂ©es personnelles collectĂ©es doivent ĂȘtre conservĂ©es en base active uniquement pour la durĂ©e nĂ©cessaire Ă  la rĂ©alisation de l’objectif poursuivi par le traitement (soit la gestion des rappels). Une fois cet objectif atteint, les donnĂ©es personnelles qui prĂ©sentent encore un intĂ©rĂȘt administratif pour l’organisme ou pour rĂ©pondre Ă  une obligation lĂ©gale, doivent ĂȘtre conservĂ©es en base intermĂ©diaire. La Commission recommande donc de conserver les historiques des Ă©tats des fiches de dĂ©claration de rappel en base intermĂ©diaire dĂšs lors que l’objectif poursuivi a Ă©tĂ© atteint.

Sur les mesures de sécurité

La Commission relĂšve que des mesures de protection physiques et logiques seront mises en Ɠuvre pour prĂ©server la sĂ©curitĂ© du traitement et des informations, empĂȘcher toute utilisation dĂ©tournĂ©e et frauduleuse, notamment par des tiers non autorisĂ©s, prĂ©server l’intĂ©gritĂ© des donnĂ©es traitĂ©es et en assurer la disponibilitĂ©.

Les mesures de sĂ©curitĂ© dĂ©crites par le responsable de traitement sont conformes Ă  l’exigence de sĂ©curitĂ© prĂ©vue par les dispositions de l’article 32 du RGPD.


JORF n°0020 du 23 janvier 2021, texte n° 81