Au sommaire :
Références
NOR : CNIX2233938V
Source : JORF n°0286 du 10 décembre 2022, texte n° 90
En-tĂȘte
La Commission nationale de l’informatique et des libertĂ©s,
Saisie par le ministĂšre des finances, de l’Ă©conomie et de la relance d’une demande d’avis concernant un projet de dĂ©cret modifiant le dĂ©cret n° 2014-1486 du 10 dĂ©cembre 2014 portant crĂ©ation d’un traitement automatisĂ© de donnĂ©es Ă caractĂšre personnel dĂ©nommĂ© logiciel de rĂ©daction des procĂ©dures de la douane judiciaire (LRPDJ) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiĂ©e relative Ă l’informatique, aux fichiers et aux libertĂ©s ;
Article
AprĂšs avoir entendu le rapport de M. Philippe-Pierre CABOURDIN, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l’avis suivant :
La Commission a Ă©tĂ© saisie d’une demande d’avis portant sur un projet de dĂ©cret modifiant le dĂ©cret n° 2014-1486 du 10 dĂ©cembre 2014 portant crĂ©ation d’un traitement automatisĂ© de donnĂ©es Ă caractĂšre personnel dĂ©nommĂ© logiciel de rĂ©daction des procĂ©dures de la douane judiciaire (LRPDJ).
Le LRPDJ permet aux services de douane chargĂ©s de missions judiciaires, de rĂ©diger les procĂšs-verbaux des actes qu’ils sont habilitĂ©s Ă rĂ©aliser sur le fondement de l’article 28-1 du code de procĂ©dure pĂ©nale (CPP). Il contribue de maniĂšre plus globale Ă la conduite de ces procĂ©dures, ainsi qu’Ă leur homogĂ©nĂ©itĂ©.
A cet Ă©gard, la Commission relĂšve que les modalitĂ©s d’application de ce traitement sont pour partie similaires Ă d’autres logiciels de rĂ©daction de procĂ©dures, sur lesquels elle a dĂ©jĂ Ă©tĂ© amenĂ©e Ă se prononcer, et plus particuliĂšrement les traitements de logiciels de rĂ©daction des procĂ©dures de la gendarmerie et de la police nationales (LRPGN et LRPPN). Ainsi, elle prend acte de ce que le projet de dĂ©cret vise Ă doter le LRPDJ de fonctionnalitĂ©s similaires Ă celles de ces logiciels. Le LRPDJ clarifie par ailleurs la mise en Ćuvre pratique du traitement au regard de ses finalitĂ©s, Ă savoir l’exploitation de donnĂ©es dans le cadre de procĂ©dures judiciaires.
Cette saisine, qui fait suite Ă un premier avis de la Commission en date du 16 janvier 2014, vise notamment Ă Ă©largir le traitement aux services fiscaux habilitĂ©s Ă effectuer des enquĂȘtes judiciaires, les finalitĂ©s de ce logiciel et Ă mettre Ă jour les dispositions relatives Ă l’exercice des droits.
Dans ce contexte, la Commission soulĂšve les observations suivantes.
La Commission Ă©met des rĂ©serves sur la pertinence du traitement de certaines donnĂ©es. Elle regrette l’absence de prĂ©cision quant au processus utilisĂ© pour l’anonymisation des donnĂ©es Ă des fins statistiques et recommande l’usage d’un procĂ©dĂ© qui garantit une anonymisation effective. Elle rappelle la nĂ©cessitĂ© de mettre en Ćuvre un mĂ©canisme d’effacement pĂ©riodique des donnĂ©es. Enfin, elle Ă©met des rĂ©serves sur les modalitĂ©s d’accĂšs Ă l’archivage prĂ©vu.
Sur les finalités du traitement et ses utilisateurs :
Le projet de dĂ©cret prĂ©voit que le LRPDJ vise à « assurer la clartĂ© et l’homogĂ©nĂ©itĂ© de la rĂ©daction des procĂ©dures judiciaires qu’ils [les officiers de douane judiciaire relevant de l’article 28-1 du CPP (ODJ) et les agents des services fiscaux relevant de l’article 28-2 du CPP (OFJ)] ont compĂ©tence pour mettre en Ćuvre du code en vertu du code de procĂ©dure pĂ©nale » et « permettre l’exploitation des informations nĂ©cessaires Ă la conduite des procĂ©dures judiciaires, en vue de leur transmission aux autoritĂ©s judiciaires chargĂ©es de les exploiter » par ces agents.
En premier lieu, le projet de dĂ©cret vise Ă Ă©largir l’utilisation du traitement aux « agents des services fiscaux relevant de l’article 28-2 du [CPP] ».
La Commission relĂšve que la modification introduite par le projet de dĂ©cret a pour consĂ©quence d’Ă©tendre le traitement LRPDJ en intĂ©grant les attributions prĂ©existantes des OFJ, et dĂšs lors des procĂ©dures qui seront traitĂ©es au sein du LRPDJ. Elle souligne que cette Ă©volution a notamment pour objectif de tenir compte de la crĂ©ation du service d’enquĂȘtes judiciaires des finances, qui vise Ă augmenter les capacitĂ©s d’enquĂȘte Ă disposition de l’autoritĂ© judiciaire en matiĂšre fiscale et douaniĂšre.
A cet Ă©gard, le ministĂšre a prĂ©cisĂ© que les deux catĂ©gories d’agents (de la douane et des services fiscaux) ne seront pas amenĂ©es Ă accĂ©der aux mĂȘmes donnĂ©es dans la mesure oĂč ils ne sont pas habilitĂ©s Ă poursuivre les mĂȘmes infractions (sauf dans l’hypothĂšse oĂč ils seraient dĂ©signĂ©s sur une mĂȘme affaire dans leur champ de compĂ©tence commun), et interviennent ainsi chacun dans leur domaine de compĂ©tence. La Commission souligne que le traitement ne devra ĂȘtre utilisĂ© que dans les strictes limites des articles 28-1 et 28-2 du CPP.
Ces prĂ©cisions apportĂ©es, la Commission estime que l’Ă©volution projetĂ©e est lĂ©gitime.
En deuxiĂšme lieu, l’article 1er du projet de dĂ©cret prĂ©cise les finalitĂ©s du traitement, et notamment celles qui visaient initialement la possibilitĂ© de mettre en relation ce fichier avec d’autres fichiers. Il est dĂ©sormais prĂ©vu que le LRPDJ a pour finalitĂ© de « permettre la collecte des informations nĂ©cessaires Ă la conduite de ces procĂ©dures, en vue de leur transmission aux autoritĂ©s judiciaires chargĂ©es de les exploiter ».
La Commission relĂšve tout d’abord que cette Ă©volution vise Ă tenir compte des remarques qu’elle a notamment formulĂ©es dans sa dĂ©libĂ©ration n° 2021-061 du 27 mai 2021 relative au LRPGN et plus particuliĂšrement celle visant Ă considĂ©rer que la finalitĂ© initialement retenue correspondait davantage Ă une fonctionnalitĂ© technique, au service d’autres finalitĂ©s. Dans son avis, la Commission avait en outre soulignĂ© que son caractĂšre imprĂ©cis ne permettait d’apprĂ©hender ni les conditions de mise en Ćuvre du traitement, ni son pĂ©rimĂštre.
En l’espĂšce, et au regard tant des prĂ©cisions apportĂ©es par le Conseil d’Etat dans sa dĂ©cision du 13 avril 2021 que des observations formulĂ©es dans de prĂ©cĂ©dentes dĂ©libĂ©rations quant aux conditions de mise en Ćuvre des traitements mettant en Ćuvre des opĂ©rations d’interconnexion, de mise en relation ou de rapprochement, la Commission estime que les modifications projetĂ©es des finalitĂ©s du traitement LRPDJ n’appellent pas d’observations dans son principe.
En troisiĂšme lieu, le projet de dĂ©cret ajoute comme finalitĂ© l’Ă©laboration de statistiques, en vue de suivre l’activitĂ© des services. MalgrĂ© les prĂ©cisions du ministĂšre selon lesquelles ces donnĂ©es seront anonymes, la Commission rappelle que l’anonymisation rĂ©pond Ă des critĂšres spĂ©cifiques. A cet Ă©gard, l’absence de donnĂ©es nominatives et la seule prĂ©sence de donnĂ©es chiffrĂ©es ne suffisent pas Ă Ă©tablir le caractĂšre anonyme d’une donnĂ©e. Par ailleurs, le responsable de traitement doit rĂ©aliser une analyse permettant de dĂ©montrer que les processus d’anonymisation respectent les trois critĂšres dĂ©finis par l’avis n° 5/2014 du groupe de l’article 29 (qui correspond aujourd’hui au ComitĂ© europĂ©en de la protection des donnĂ©es). A cet Ă©gard, un ensemble de donnĂ©es pour lequel il n’est possible ni d’individualiser, ni de corrĂ©ler ni d’infĂ©rer des informations est a priori anonyme. Dans l’hypothĂšse oĂč ces critĂšres ne seraient pas rĂ©unis, une Ă©tude doit ĂȘtre menĂ©e afin d’identifier les risques de rĂ©identification des personnes concernĂ©es. La Commission recommande au ministĂšre de retenir un procĂ©dĂ© qui permette une anonymisation effective.
Sur la nature des données traitées :
Les donnĂ©es Ă caractĂšre personnel enregistrĂ©es dans le traitement Ă©taient mentionnĂ©es dans l’annexe au dĂ©cret du 10 dĂ©cembre 2014 susvisĂ© modifiĂ© par l’actuel projet de dĂ©cret, et ne font pas l’objet de modifications. Elles concernent les personnes physiques mises en cause, les victimes, les tĂ©moins et plaignants, les personnes morales mises en cause ou victimes, ainsi que les faits visĂ©s par l’enquĂȘte, les lieux, la date de l’infraction et les informations relatives aux objets, y compris celles qui sont indirectement nominatives. La Commission relĂšve que la liste des donnĂ©es intĂšgre la mention de tous les « faits objets de l’enquĂȘte » : si cette expression est particuliĂšrement large, elle est admissible au regard de la nature particuliĂšre du traitement en cause, qui est un logiciel permettant la rĂ©daction d’actes relatifs Ă toutes les procĂ©dures en cause.
La Commission relĂšve nĂ©anmoins que de nombreuses donnĂ©es concernant les personnes mises en cause sont collectĂ©es. Elle considĂšre que la collecte de certaines de ces donnĂ©es ne semble a priori pas systĂ©matiquement pertinente au regard des finalitĂ©s du traitement. Ce sont notamment les informations relatives aux titres et moyens de transport, Ă la situation militaire et aux diplĂŽmes. DĂšs lors, ces donnĂ©es peuvent ĂȘtre ponctuellement traitĂ©es lorsqu’elles sont pertinentes au regard des finalitĂ©s du traitement.
Comme elle l’avait dĂ©jĂ fait dans sa dĂ©libĂ©ration prĂ©cĂ©dente, elle rappelle que l’article 4-3° de la loi du 6 janvier 1978 modifiĂ©e impose que seules les donnĂ©es pertinentes, adĂ©quates et non excessives soient enregistrĂ©es dans le traitement LRPDJ pour chaque procĂ©dure judiciaire et que toutes les informations mentionnĂ©es Ă l’annexe au projet de dĂ©cret ne sauraient ĂȘtre systĂ©matiquement collectĂ©es.
Sur la durée de conservation des données :
A titre liminaire, la Commission rappelle que lorsqu’elle s’est prononcĂ©e sur la crĂ©ation du traitement en 2014, le ministĂšre avait indiquĂ© qu’un mĂ©canisme d’effacement automatique des informations devait ĂȘtre prĂ©vu afin de s’assurer que les donnĂ©es Ă caractĂšre personnel ne seraient pas conservĂ©es Ă l’issue de la transmission des documents Ă l’autoritĂ© judiciaire. Toutefois, le ministĂšre a prĂ©cisĂ© que le mĂ©canisme n’est toujours pas effectif, et ne le sera qu’en 2023. A cet Ă©gard, la Commission insiste sur le caractĂšre impĂ©ratif de cette mise en Ćuvre dans les plus brefs dĂ©lais. Elle rappelle qu’elle se rĂ©serve la possibilitĂ© d’exercer son pouvoir de contrĂŽle afin de s’assurer de la mise en Ćuvre d’un mĂ©canisme effectif de suppression des donnĂ©es.
Le projet de dĂ©cret prĂ©voit dorĂ©navant que les donnĂ©es pourront ĂȘtre conservĂ©es en base d’archives pour une durĂ©e de cinq ans, Ă l’issue de la transmission de la procĂ©dure Ă l’autoritĂ© judiciaire. Le ministĂšre prĂ©cise que cette Ă©volution vise Ă faciliter la rĂ©ouverture d’une enquĂȘte.
En premier lieu, la Commission souligne qu’une fois transmises Ă l’autoritĂ© judiciaire, les donnĂ©es font l’objet d’un enregistrement au sein d’autres traitements, pour des finalitĂ©s spĂ©cifiques. Au regard de ces Ă©lĂ©ments, et en l’absence de prĂ©cisions complĂ©mentaires, la Commission estime que la conservation de ces donnĂ©es au-delĂ de leur transmission Ă l’autoritĂ© compĂ©tente n’est pas nĂ©cessaire.
En second lieu, le ministĂšre a prĂ©cisĂ© que lorsque la procĂ©dure est archivĂ©e, les donnĂ©es de cette derniĂšre peuvent ĂȘtre consultĂ©s en effectuant une recherche Ă l’aide du moteur de recherche de LRPDJ par l’agent habilitĂ© Ă traiter l’affaire. La Commission estime que les donnĂ©es faisant l’objet d’un archivage intermĂ©diaire doivent rester inaccessibles pour les utilisateurs et ne devraient ĂȘtre consultables via un moteur de recherche que par des profils spĂ©cialement habilitĂ©s et restreints, tels qu’un administrateur par exemple.
Compte tenu de ces Ă©lĂ©ments, la Commission considĂšre que les modalitĂ©s de mise en Ćuvre de l’archivage prĂ©vu par le projet de dĂ©cret reviendraient Ă conserver ces informations en base active mĂȘme aprĂšs transmission Ă l’autoritĂ© judiciaire. En conclusion, elle considĂšre que ces modalitĂ©s, fixent une durĂ©e de conservation des donnĂ©es excessive au regard des finalitĂ©s pour lesquelles elles sont traitĂ©es.
Sur les interconnexions, mises en relation et rapprochements :
De maniĂšre gĂ©nĂ©rale, le ministĂšre a prĂ©cisĂ© que l’alimentation par le LRPDJ des traitements d’antĂ©cĂ©dents judiciaires (TAJ) et de CassiopĂ©e (qui permet l’enregistrement de donnĂ©es relatives aux procĂ©dures judiciaires au sein des tribunaux judiciaires) doit permettre d’assurer la transmission des procĂ©dures Ă l’autoritĂ© judiciaire afin d’en assurer le suivi. Cette mise en relation doit ainsi permettre de satisfaire les modalitĂ©s de mise en Ćuvre des finalitĂ©s du traitement LRPDJ. Une mise en relation est Ă©galement projetĂ©e avec le dossier pĂ©nal numĂ©rique mis en Ćuvre par le ministĂšre de la justice.
De maniĂšre gĂ©nĂ©rale, la Commission rappelle que les mises en relation doivent respecter les dispositions rĂ©gissant les autres traitements. Cela impose de s’assurer que l’opĂ©ration est conforme aux finalitĂ©s, aux donnĂ©es et aux accĂ©dants et destinataires fixĂ©s par les actes rĂ©glementaires concernant ces traitements. La
Commission estime que c’est le cas en l’espĂšce.
Ainsi, s’agissant par exemple du transfert de donnĂ©es d’une base de donnĂ©es vers une autre, celui-ci n’est possible que s’il s’inscrit ou concourt aux finalitĂ©s poursuivies par la base d’origine (ou Ă celles associĂ©es aux transmissions Ă des destinataires), si les donnĂ©es transfĂ©rĂ©es sont autorisĂ©es Ă figurer dans la base de destination et si au moins une personne habilitĂ©e Ă alimenter la base de destination constitue un accĂ©dant ou un destinataire de la base d’origine. La Commission rappelle Ă©galement que l’analyse d’impact relative Ă la protection des donnĂ©es devra ĂȘtre mise Ă jour sur ce point.
Sur les modalitĂ©s d’exercice des droits des personnes concernĂ©es :
Le projet de dĂ©cret prĂ©voit que le droit d’opposition, d’une part, les droits d’accĂšs, de rectification et d’effacement, d’autre part, ne s’appliquent pas au traitement prĂ©vu par le prĂ©sent dĂ©cret au regard des articles 110 et 111 de la loi du 6 janvier 1978.
En premier lieu, la Commission souligne que si l’article 111 permet d’Ă©carter l’application des droits des personnes concernĂ©es il prĂ©cise que, « dans ces cas, l’accĂšs Ă ces donnĂ©es et les conditions de rectification ou d’effacement de ces donnĂ©es ne peuvent ĂȘtre rĂ©gis que par les dispositions du code de procĂ©dure pĂ©nale », Ă savoir le procureur de la RĂ©publique ou le procureur gĂ©nĂ©ral selon les cas en application de l’article R. 155 du CPP.
En second lieu, le projet de dĂ©cret reste silencieux quant Ă l’application du droit d’information des personnes concernĂ©es. Le ministĂšre a nĂ©anmoins prĂ©cisĂ© que toutes les personnes concernĂ©es seront informĂ©es du traitement de leurs donnĂ©es par la publication de l’acte rĂšglementaire ainsi que par une page d’information relative Ă ce traitement sur le site de la douane. A cet Ă©gard, la Commission estime que le ministĂšre devrait Ă©galement informer les personnes concernĂ©es du traitement de leurs donnĂ©es via les sites de la direction gĂ©nĂ©rale des finances publiques.
A des fins de lisibilitĂ© pour les personnes concernĂ©es, la Commission invite le ministĂšre Ă prĂ©ciser le projet de dĂ©cret sur ces points, en indiquant notamment les personnes auprĂšs desquelles les droits d’information et de communication ont vocation Ă s’appliquer.
Sur la sécurité des données et la traçabilité des actions :
La Commission prend acte de ce que ni les modalitĂ©s techniques ni le calendrier des interconnexions avec les traitements TAJ et CassiopĂ©e ne sont Ă ce jour dĂ©finis. Il lui est par consĂ©quent impossible de se prononcer sur l’adĂ©quation des mesures de sĂ©curisation des donnĂ©es sur ce point. Elle invite le ministĂšre Ă prĂ©voir des mesures de sĂ©curitĂ© permettant de garantir l’intĂ©gritĂ© et la confidentialitĂ© des donnĂ©es qui transiteront par ces interconnexions.
La Commission accueille favorablement la proposition du ministĂšre de fixer la durĂ©e de conservation des donnĂ©es de journalisation Ă trois ans. Cependant, elle rappelle que l’exploitation de ces donnĂ©es est indispensable afin d’atteindre l’objectif de sĂ©curisation du traitement. A dĂ©faut d’une solution technique de traitement et d’analyse des donnĂ©es de journalisation collectĂ©es, des mesures organisationnelles de revue pĂ©riodique par la hiĂ©rarchie peuvent permettre cette sĂ©curisation.
En l’absence d’informations suffisantes sur le sujet, elle ne peut donc se prononcer sur l’adĂ©quation des mesures de sĂ©curitĂ© de la LRPDJ BOX, module qui permet aux enquĂȘteurs des services fiscaux d’utiliser LRPDJ sans ĂȘtre connectĂ©s Ă un rĂ©seau. En tout Ă©tat de cause, la Commission rappelle que le hachage (qui peut participer au contrĂŽle d’intĂ©gritĂ© des donnĂ©es) et le chiffrement (qui peut participer Ă la confidentialitĂ© des donnĂ©es) sont deux notions diffĂ©rentes.
De maniĂšre gĂ©nĂ©rale, et en l’absence de rĂ©ponse sur ce point, la Commission rappelle qu’elle considĂšre que la nature des donnĂ©es exige que celles-ci fassent l’objet de mesures de chiffrement ainsi que de contrĂŽle d’intĂ©gritĂ© conformes Ă l’annexe B1 du rĂ©fĂ©rentiel gĂ©nĂ©ral de sĂ©curitĂ© tant au niveau des bases de donnĂ©es que des sauvegardes.
La Commission prend acte de ce que le LRPDJ est accessible alternativement via le RĂ©seau interministĂ©riel de l’Etat ou bien via un VPN, et que cet accĂšs est dans tous les cas soumis Ă l’utilisation d’une carte agent combinĂ©e avec un code PIN individuel.
Date et signature(s)
La présidente,
M.-L. Denis