🟧 DĂ©libĂ©ration du 3 fĂ©vrier 2022 portant avis sur un projet de dĂ©cret modifiant le dĂ©cret du 10 dĂ©cembre 2014 portant crĂ©ation d’un traitement automatisĂ© de donnĂ©es Ă  caractère personnel dĂ©nommĂ© logiciel de rĂ©daction des procĂ©dures de la douane judiciaire (LRPDJ)

Références

NOR : CNIX2233938V
Source : JORF n°0286 du 10 décembre 2022, texte n° 90

En-tĂŞte

La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministère des finances, de l’Ă©conomie et de la relance d’une demande d’avis concernant un projet de dĂ©cret modifiant le dĂ©cret n° 2014-1486 du 10 dĂ©cembre 2014 portant crĂ©ation d’un traitement automatisĂ© de donnĂ©es Ă  caractère personnel dĂ©nommĂ© logiciel de rĂ©daction des procĂ©dures de la douane judiciaire (LRPDJ) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă  l’informatique, aux fichiers et aux libertĂ©s ;

Article

Après avoir entendu le rapport de M. Philippe-Pierre CABOURDIN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :

La Commission a Ă©tĂ© saisie d’une demande d’avis portant sur un projet de dĂ©cret modifiant le dĂ©cret n° 2014-1486 du 10 dĂ©cembre 2014 portant crĂ©ation d’un traitement automatisĂ© de donnĂ©es Ă  caractère personnel dĂ©nommĂ© logiciel de rĂ©daction des procĂ©dures de la douane judiciaire (LRPDJ).

Le LRPDJ permet aux services de douane chargĂ©s de missions judiciaires, de rĂ©diger les procès-verbaux des actes qu’ils sont habilitĂ©s Ă  rĂ©aliser sur le fondement de l’article 28-1 du code de procĂ©dure pĂ©nale (CPP). Il contribue de manière plus globale Ă  la conduite de ces procĂ©dures, ainsi qu’Ă  leur homogĂ©nĂ©itĂ©.

A cet Ă©gard, la Commission relève que les modalitĂ©s d’application de ce traitement sont pour partie similaires Ă  d’autres logiciels de rĂ©daction de procĂ©dures, sur lesquels elle a dĂ©jĂ  Ă©tĂ© amenĂ©e Ă  se prononcer, et plus particulièrement les traitements de logiciels de rĂ©daction des procĂ©dures de la gendarmerie et de la police nationales (LRPGN et LRPPN). Ainsi, elle prend acte de ce que le projet de dĂ©cret vise Ă  doter le LRPDJ de fonctionnalitĂ©s similaires Ă  celles de ces logiciels. Le LRPDJ clarifie par ailleurs la mise en Ĺ“uvre pratique du traitement au regard de ses finalitĂ©s, Ă  savoir l’exploitation de donnĂ©es dans le cadre de procĂ©dures judiciaires.

Cette saisine, qui fait suite Ă  un premier avis de la Commission en date du 16 janvier 2014, vise notamment Ă  Ă©largir le traitement aux services fiscaux habilitĂ©s Ă  effectuer des enquĂŞtes judiciaires, les finalitĂ©s de ce logiciel et Ă  mettre Ă  jour les dispositions relatives Ă  l’exercice des droits.

Dans ce contexte, la Commission soulève les observations suivantes.

La Commission Ă©met des rĂ©serves sur la pertinence du traitement de certaines donnĂ©es. Elle regrette l’absence de prĂ©cision quant au processus utilisĂ© pour l’anonymisation des donnĂ©es Ă  des fins statistiques et recommande l’usage d’un procĂ©dĂ© qui garantit une anonymisation effective. Elle rappelle la nĂ©cessitĂ© de mettre en Ĺ“uvre un mĂ©canisme d’effacement pĂ©riodique des donnĂ©es. Enfin, elle Ă©met des rĂ©serves sur les modalitĂ©s d’accès Ă  l’archivage prĂ©vu.
Sur les finalités du traitement et ses utilisateurs :

Le projet de dĂ©cret prĂ©voit que le LRPDJ vise Ă  « assurer la clartĂ© et l’homogĂ©nĂ©itĂ© de la rĂ©daction des procĂ©dures judiciaires qu’ils [les officiers de douane judiciaire relevant de l’article 28-1 du CPP (ODJ) et les agents des services fiscaux relevant de l’article 28-2 du CPP (OFJ)] ont compĂ©tence pour mettre en Ĺ“uvre du code en vertu du code de procĂ©dure pĂ©nale » et « permettre l’exploitation des informations nĂ©cessaires Ă  la conduite des procĂ©dures judiciaires, en vue de leur transmission aux autoritĂ©s judiciaires chargĂ©es de les exploiter » par ces agents.

En premier lieu, le projet de dĂ©cret vise Ă  Ă©largir l’utilisation du traitement aux « agents des services fiscaux relevant de l’article 28-2 du [CPP] ».

La Commission relève que la modification introduite par le projet de dĂ©cret a pour consĂ©quence d’Ă©tendre le traitement LRPDJ en intĂ©grant les attributions prĂ©existantes des OFJ, et dès lors des procĂ©dures qui seront traitĂ©es au sein du LRPDJ. Elle souligne que cette Ă©volution a notamment pour objectif de tenir compte de la crĂ©ation du service d’enquĂŞtes judiciaires des finances, qui vise Ă  augmenter les capacitĂ©s d’enquĂŞte Ă  disposition de l’autoritĂ© judiciaire en matière fiscale et douanière.

A cet Ă©gard, le ministère a prĂ©cisĂ© que les deux catĂ©gories d’agents (de la douane et des services fiscaux) ne seront pas amenĂ©es Ă  accĂ©der aux mĂŞmes donnĂ©es dans la mesure oĂą ils ne sont pas habilitĂ©s Ă  poursuivre les mĂŞmes infractions (sauf dans l’hypothèse oĂą ils seraient dĂ©signĂ©s sur une mĂŞme affaire dans leur champ de compĂ©tence commun), et interviennent ainsi chacun dans leur domaine de compĂ©tence. La Commission souligne que le traitement ne devra ĂŞtre utilisĂ© que dans les strictes limites des articles 28-1 et 28-2 du CPP.

Ces prĂ©cisions apportĂ©es, la Commission estime que l’Ă©volution projetĂ©e est lĂ©gitime.

En deuxième lieu, l’article 1er du projet de dĂ©cret prĂ©cise les finalitĂ©s du traitement, et notamment celles qui visaient initialement la possibilitĂ© de mettre en relation ce fichier avec d’autres fichiers. Il est dĂ©sormais prĂ©vu que le LRPDJ a pour finalitĂ© de « permettre la collecte des informations nĂ©cessaires Ă  la conduite de ces procĂ©dures, en vue de leur transmission aux autoritĂ©s judiciaires chargĂ©es de les exploiter ».

La Commission relève tout d’abord que cette Ă©volution vise Ă  tenir compte des remarques qu’elle a notamment formulĂ©es dans sa dĂ©libĂ©ration n° 2021-061 du 27 mai 2021 relative au LRPGN et plus particulièrement celle visant Ă  considĂ©rer que la finalitĂ© initialement retenue correspondait davantage Ă  une fonctionnalitĂ© technique, au service d’autres finalitĂ©s. Dans son avis, la Commission avait en outre soulignĂ© que son caractère imprĂ©cis ne permettait d’apprĂ©hender ni les conditions de mise en Ĺ“uvre du traitement, ni son pĂ©rimètre.

En l’espèce, et au regard tant des prĂ©cisions apportĂ©es par le Conseil d’Etat dans sa dĂ©cision du 13 avril 2021 que des observations formulĂ©es dans de prĂ©cĂ©dentes dĂ©libĂ©rations quant aux conditions de mise en Ĺ“uvre des traitements mettant en Ĺ“uvre des opĂ©rations d’interconnexion, de mise en relation ou de rapprochement, la Commission estime que les modifications projetĂ©es des finalitĂ©s du traitement LRPDJ n’appellent pas d’observations dans son principe.

En troisième lieu, le projet de dĂ©cret ajoute comme finalitĂ© l’Ă©laboration de statistiques, en vue de suivre l’activitĂ© des services. MalgrĂ© les prĂ©cisions du ministère selon lesquelles ces donnĂ©es seront anonymes, la Commission rappelle que l’anonymisation rĂ©pond Ă  des critères spĂ©cifiques. A cet Ă©gard, l’absence de donnĂ©es nominatives et la seule prĂ©sence de donnĂ©es chiffrĂ©es ne suffisent pas Ă  Ă©tablir le caractère anonyme d’une donnĂ©e. Par ailleurs, le responsable de traitement doit rĂ©aliser une analyse permettant de dĂ©montrer que les processus d’anonymisation respectent les trois critères dĂ©finis par l’avis n° 5/2014 du groupe de l’article 29 (qui correspond aujourd’hui au ComitĂ© europĂ©en de la protection des donnĂ©es). A cet Ă©gard, un ensemble de donnĂ©es pour lequel il n’est possible ni d’individualiser, ni de corrĂ©ler ni d’infĂ©rer des informations est a priori anonyme. Dans l’hypothèse oĂą ces critères ne seraient pas rĂ©unis, une Ă©tude doit ĂŞtre menĂ©e afin d’identifier les risques de rĂ©identification des personnes concernĂ©es. La Commission recommande au ministère de retenir un procĂ©dĂ© qui permette une anonymisation effective.

Sur la nature des données traitées :

Les donnĂ©es Ă  caractère personnel enregistrĂ©es dans le traitement Ă©taient mentionnĂ©es dans l’annexe au dĂ©cret du 10 dĂ©cembre 2014 susvisĂ© modifiĂ© par l’actuel projet de dĂ©cret, et ne font pas l’objet de modifications. Elles concernent les personnes physiques mises en cause, les victimes, les tĂ©moins et plaignants, les personnes morales mises en cause ou victimes, ainsi que les faits visĂ©s par l’enquĂŞte, les lieux, la date de l’infraction et les informations relatives aux objets, y compris celles qui sont indirectement nominatives. La Commission relève que la liste des donnĂ©es intègre la mention de tous les « faits objets de l’enquĂŞte » : si cette expression est particulièrement large, elle est admissible au regard de la nature particulière du traitement en cause, qui est un logiciel permettant la rĂ©daction d’actes relatifs Ă  toutes les procĂ©dures en cause.

La Commission relève nĂ©anmoins que de nombreuses donnĂ©es concernant les personnes mises en cause sont collectĂ©es. Elle considère que la collecte de certaines de ces donnĂ©es ne semble a priori pas systĂ©matiquement pertinente au regard des finalitĂ©s du traitement. Ce sont notamment les informations relatives aux titres et moyens de transport, Ă  la situation militaire et aux diplĂ´mes. Dès lors, ces donnĂ©es peuvent ĂŞtre ponctuellement traitĂ©es lorsqu’elles sont pertinentes au regard des finalitĂ©s du traitement.

Comme elle l’avait dĂ©jĂ  fait dans sa dĂ©libĂ©ration prĂ©cĂ©dente, elle rappelle que l’article 4-3° de la loi du 6 janvier 1978 modifiĂ©e impose que seules les donnĂ©es pertinentes, adĂ©quates et non excessives soient enregistrĂ©es dans le traitement LRPDJ pour chaque procĂ©dure judiciaire et que toutes les informations mentionnĂ©es Ă  l’annexe au projet de dĂ©cret ne sauraient ĂŞtre systĂ©matiquement collectĂ©es.

Sur la durée de conservation des données :

A titre liminaire, la Commission rappelle que lorsqu’elle s’est prononcĂ©e sur la crĂ©ation du traitement en 2014, le ministère avait indiquĂ© qu’un mĂ©canisme d’effacement automatique des informations devait ĂŞtre prĂ©vu afin de s’assurer que les donnĂ©es Ă  caractère personnel ne seraient pas conservĂ©es Ă  l’issue de la transmission des documents Ă  l’autoritĂ© judiciaire. Toutefois, le ministère a prĂ©cisĂ© que le mĂ©canisme n’est toujours pas effectif, et ne le sera qu’en 2023. A cet Ă©gard, la Commission insiste sur le caractère impĂ©ratif de cette mise en Ĺ“uvre dans les plus brefs dĂ©lais. Elle rappelle qu’elle se rĂ©serve la possibilitĂ© d’exercer son pouvoir de contrĂ´le afin de s’assurer de la mise en Ĺ“uvre d’un mĂ©canisme effectif de suppression des donnĂ©es.

Le projet de dĂ©cret prĂ©voit dorĂ©navant que les donnĂ©es pourront ĂŞtre conservĂ©es en base d’archives pour une durĂ©e de cinq ans, Ă  l’issue de la transmission de la procĂ©dure Ă  l’autoritĂ© judiciaire. Le ministère prĂ©cise que cette Ă©volution vise Ă  faciliter la rĂ©ouverture d’une enquĂŞte.

En premier lieu, la Commission souligne qu’une fois transmises Ă  l’autoritĂ© judiciaire, les donnĂ©es font l’objet d’un enregistrement au sein d’autres traitements, pour des finalitĂ©s spĂ©cifiques. Au regard de ces Ă©lĂ©ments, et en l’absence de prĂ©cisions complĂ©mentaires, la Commission estime que la conservation de ces donnĂ©es au-delĂ  de leur transmission Ă  l’autoritĂ© compĂ©tente n’est pas nĂ©cessaire.

En second lieu, le ministère a prĂ©cisĂ© que lorsque la procĂ©dure est archivĂ©e, les donnĂ©es de cette dernière peuvent ĂŞtre consultĂ©s en effectuant une recherche Ă  l’aide du moteur de recherche de LRPDJ par l’agent habilitĂ© Ă  traiter l’affaire. La Commission estime que les donnĂ©es faisant l’objet d’un archivage intermĂ©diaire doivent rester inaccessibles pour les utilisateurs et ne devraient ĂŞtre consultables via un moteur de recherche que par des profils spĂ©cialement habilitĂ©s et restreints, tels qu’un administrateur par exemple.

Compte tenu de ces Ă©lĂ©ments, la Commission considère que les modalitĂ©s de mise en Ĺ“uvre de l’archivage prĂ©vu par le projet de dĂ©cret reviendraient Ă  conserver ces informations en base active mĂŞme après transmission Ă  l’autoritĂ© judiciaire. En conclusion, elle considère que ces modalitĂ©s, fixent une durĂ©e de conservation des donnĂ©es excessive au regard des finalitĂ©s pour lesquelles elles sont traitĂ©es.

Sur les interconnexions, mises en relation et rapprochements :

De manière gĂ©nĂ©rale, le ministère a prĂ©cisĂ© que l’alimentation par le LRPDJ des traitements d’antĂ©cĂ©dents judiciaires (TAJ) et de CassiopĂ©e (qui permet l’enregistrement de donnĂ©es relatives aux procĂ©dures judiciaires au sein des tribunaux judiciaires) doit permettre d’assurer la transmission des procĂ©dures Ă  l’autoritĂ© judiciaire afin d’en assurer le suivi. Cette mise en relation doit ainsi permettre de satisfaire les modalitĂ©s de mise en Ĺ“uvre des finalitĂ©s du traitement LRPDJ. Une mise en relation est Ă©galement projetĂ©e avec le dossier pĂ©nal numĂ©rique mis en Ĺ“uvre par le ministère de la justice.

De manière gĂ©nĂ©rale, la Commission rappelle que les mises en relation doivent respecter les dispositions rĂ©gissant les autres traitements. Cela impose de s’assurer que l’opĂ©ration est conforme aux finalitĂ©s, aux donnĂ©es et aux accĂ©dants et destinataires fixĂ©s par les actes rĂ©glementaires concernant ces traitements. La

Commission estime que c’est le cas en l’espèce.

Ainsi, s’agissant par exemple du transfert de donnĂ©es d’une base de donnĂ©es vers une autre, celui-ci n’est possible que s’il s’inscrit ou concourt aux finalitĂ©s poursuivies par la base d’origine (ou Ă  celles associĂ©es aux transmissions Ă  des destinataires), si les donnĂ©es transfĂ©rĂ©es sont autorisĂ©es Ă  figurer dans la base de destination et si au moins une personne habilitĂ©e Ă  alimenter la base de destination constitue un accĂ©dant ou un destinataire de la base d’origine. La Commission rappelle Ă©galement que l’analyse d’impact relative Ă  la protection des donnĂ©es devra ĂŞtre mise Ă  jour sur ce point.

Sur les modalitĂ©s d’exercice des droits des personnes concernĂ©es :

Le projet de dĂ©cret prĂ©voit que le droit d’opposition, d’une part, les droits d’accès, de rectification et d’effacement, d’autre part, ne s’appliquent pas au traitement prĂ©vu par le prĂ©sent dĂ©cret au regard des articles 110 et 111 de la loi du 6 janvier 1978.

En premier lieu, la Commission souligne que si l’article 111 permet d’Ă©carter l’application des droits des personnes concernĂ©es il prĂ©cise que, « dans ces cas, l’accès Ă  ces donnĂ©es et les conditions de rectification ou d’effacement de ces donnĂ©es ne peuvent ĂŞtre rĂ©gis que par les dispositions du code de procĂ©dure pĂ©nale », Ă  savoir le procureur de la RĂ©publique ou le procureur gĂ©nĂ©ral selon les cas en application de l’article R. 155 du CPP.

En second lieu, le projet de dĂ©cret reste silencieux quant Ă  l’application du droit d’information des personnes concernĂ©es. Le ministère a nĂ©anmoins prĂ©cisĂ© que toutes les personnes concernĂ©es seront informĂ©es du traitement de leurs donnĂ©es par la publication de l’acte règlementaire ainsi que par une page d’information relative Ă  ce traitement sur le site de la douane. A cet Ă©gard, la Commission estime que le ministère devrait Ă©galement informer les personnes concernĂ©es du traitement de leurs donnĂ©es via les sites de la direction gĂ©nĂ©rale des finances publiques.

A des fins de lisibilitĂ© pour les personnes concernĂ©es, la Commission invite le ministère Ă  prĂ©ciser le projet de dĂ©cret sur ces points, en indiquant notamment les personnes auprès desquelles les droits d’information et de communication ont vocation Ă  s’appliquer.

Sur la sécurité des données et la traçabilité des actions :

La Commission prend acte de ce que ni les modalitĂ©s techniques ni le calendrier des interconnexions avec les traitements TAJ et CassiopĂ©e ne sont Ă  ce jour dĂ©finis. Il lui est par consĂ©quent impossible de se prononcer sur l’adĂ©quation des mesures de sĂ©curisation des donnĂ©es sur ce point. Elle invite le ministère Ă  prĂ©voir des mesures de sĂ©curitĂ© permettant de garantir l’intĂ©gritĂ© et la confidentialitĂ© des donnĂ©es qui transiteront par ces interconnexions.

La Commission accueille favorablement la proposition du ministère de fixer la durĂ©e de conservation des donnĂ©es de journalisation Ă  trois ans. Cependant, elle rappelle que l’exploitation de ces donnĂ©es est indispensable afin d’atteindre l’objectif de sĂ©curisation du traitement. A dĂ©faut d’une solution technique de traitement et d’analyse des donnĂ©es de journalisation collectĂ©es, des mesures organisationnelles de revue pĂ©riodique par la hiĂ©rarchie peuvent permettre cette sĂ©curisation.

En l’absence d’informations suffisantes sur le sujet, elle ne peut donc se prononcer sur l’adĂ©quation des mesures de sĂ©curitĂ© de la LRPDJ BOX, module qui permet aux enquĂŞteurs des services fiscaux d’utiliser LRPDJ sans ĂŞtre connectĂ©s Ă  un rĂ©seau. En tout Ă©tat de cause, la Commission rappelle que le hachage (qui peut participer au contrĂ´le d’intĂ©gritĂ© des donnĂ©es) et le chiffrement (qui peut participer Ă  la confidentialitĂ© des donnĂ©es) sont deux notions diffĂ©rentes.

De manière gĂ©nĂ©rale, et en l’absence de rĂ©ponse sur ce point, la Commission rappelle qu’elle considère que la nature des donnĂ©es exige que celles-ci fassent l’objet de mesures de chiffrement ainsi que de contrĂ´le d’intĂ©gritĂ© conformes Ă  l’annexe B1 du rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© tant au niveau des bases de donnĂ©es que des sauvegardes.

La Commission prend acte de ce que le LRPDJ est accessible alternativement via le RĂ©seau interministĂ©riel de l’Etat ou bien via un VPN, et que cet accès est dans tous les cas soumis Ă  l’utilisation d’une carte agent combinĂ©e avec un code PIN individuel.

Date et signature(s)

La présidente,
M.-L. Denis