headers
Bb! | 2 Jul 10:14

[actus_l] Délibération de la CNIL sur EDVIGE et CRISTINA

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000019104139&dateTexte=&oldAction=rechJO

JORF n°0152 du 1 juillet 2008 page
texte n° 85

Délibération n° 2008-174 du 16 juin 2008 portant avis sur un projet de décret
en Conseil d'Etat portant création au profit de la direction centrale de la
sécurité publique d'un traitement automatisé de données à caractÚre personnel
dénommé « EDVIGE »

NOR: CNIX0816023X

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministÚre de l'intérieur, de l'outre-mer et des
collectivités territoriales le 27 mars 2008 d'un projet de décret en Conseil
d'Etat (modifié le 13 juin 2008) portant création au profit de la direction
centrale de la sécurité publique d'un traitement automatisé de données à
caractÚre personnel dénommé « EDVIGE » et d'un projet de décret portant
modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers
gérés par les services des renseignements généraux et du décret n° 2007-914 du
15 mai 2007 pris pour l'application du I de l'article 30 de la loi n° 78-17 du
6 janvier 1978.

Vu la convention n° 108 du Conseil de l'Europe pour la protection des
personnes à l'égard du traitement automatisé de données à caractÚre personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre
1995 relative Ă  la protection des personnes physiques Ă  l'Ă©gard du traitement
de données à caractÚre personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers
et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la
protection des personnes physiques à l'égard des traitements de données à
caractĂšre personnel, et notamment ses articles 6, 8, 26, 29, 30 et 31 ;

Vu le décret n° 85-1057 du 2 octobre 1985 modifié relatif à l'organisation de
l'administration centrale du ministÚre de l'intérieur et de la
décentralisation, notamment son article 12 ;

Vu le décret n° 91-1051 du 14 octobre 1991 portant application aux fichiers
informatisés, manuels ou mécanographiques gérés par les services des
renseignements généraux des dispositions de l'article 31, alinéa 3, de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés ;

Vu le décret n° 91-1052 du 14 octobre 1991 relatif au fichier informatisé du
terrorisme mis en Ɠuvre par les services des renseignements gĂ©nĂ©raux du
ministÚre de l'intérieur ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi
n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux
libertés, modifié par le décret n° 2007-451 du 25 mars 2007, et notamment son
article 83 ;

Vu le décret n° 2007-914 du 15 mai 2007 pris pour l'application du I de
l'article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique,
aux fichiers et aux libertés ;

Vu le projet de décret portant modification du décret n° 85-1057 du 2 octobre
1985 relatif Ă  l'organisation de l'administration centrale du ministĂšre de
l'intérieur et de la décentralisation et le projet de décret relatif à
l'organisation déconcentrée de la direction centrale de la sécurité publique ;

AprĂšs avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et
Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

La commission a été saisie le 27 mars 2008 par le ministÚre de l'intérieur, de
l'outre-mer et des collectivités territoriales de deux dossiers de formalités
prĂ©alables relatifs Ă  la mise en Ɠuvre des traitements de donnĂ©es Ă  caractĂšre
personnel respectivement dénommés « EDVIGE » (exploitation documentaire et
valorisation de l'information générale) et « CRISTINA » (centralisation du
renseignement intĂ©rieur pour la sĂ©curitĂ© du territoire et les intĂ©rĂȘts
nationaux).

Ils comportent chacun un projet de décret en Conseil d'Etat portant
autorisation de la création du traitement considéré ainsi qu'un projet de
décret en Conseil d'Etat portant modification du décret n° 91-1051 du 14
octobre 1991 relatif aux fichiers gérés par les services des renseignements
généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l'application du 1
de l'article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n°
2004-801 du 6 août 2004.

La mise en Ɠuvre de ces nouveaux traitements rĂ©sulte de la rĂ©forme des
services de renseignement, laquelle devrait ĂȘtre effective au 1er juillet 2008
et devrait ainsi aboutir Ă  la mise en place d'une nouvelle organisation,
fondée sur une répartition différente des missions jusqu'alors dévolues à la
direction de la surveillance du territoire (DST) et Ă  la direction centrale
des renseignements généraux (DCRG).

Ainsi, le renseignement intérieur, au sens strict, serait pris en charge par
la direction centrale du renseignement intérieur (DCRI), chargée de lutter
contre toutes les activités susceptibles de constituer une atteinte aux
intĂ©rĂȘts fondamentaux de la nation. La mission d'information gĂ©nĂ©rale,
actuellement assurée par la DCRG, serait confiée à la direction centrale de la
sécurité publique (DCSP). Enfin, la surveillance des établissements de jeux et
des champs de courses serait confiée à la direction centrale de la police
judiciaire (DCPJ).

Constitué d'une base nationale de données informatiques et d'archives papier,
le traitement EDVIGE doit permettre Ă  la DCSP de remplir la mission
d'information générale qui lui sera dévolue, laquelle consiste dans la
recherche, la centralisation et l'analyse des renseignements destinés à
informer le représentant de l'Etat et le Gouvernement dans les domaines
institutionnel, économique et social, ainsi qu'en matiÚre de phénomÚnes
urbains violents et dans tous les domaines susceptibles d'intéresser l'ordre
public.

Sur les finalités :

Le traitement EDVIGE a pour finalités :
1. De centraliser et d'analyser les informations relatives aux personnes
physiques et morales ayant sollicité, exercé ou exerçant un mandat électif,
syndical ou Ă©conomique ou qui jouent un rĂŽle institutionnel, Ă©conomique,
social ou religieux significatif, afin de donner au Gouvernement ou Ă  ses
représentants tous les éléments utiles à leur action ; 2. De centraliser et
d'analyser les informations relatives aux individus, groupes, organisations et
personnes morales qui, en raison de leur activité individuelle ou collective,
sont susceptibles de porter atteinte Ă  l'ordre public. 3. De permettre aux
services de police d'exĂ©cuter les enquĂȘtes administratives qui leur sont
confiées, pour déterminer si le comportement des personnes physiques ou
morales intéressées est compatible avec l'exercice des fonctions ou des
missions envisagées. S'agissant de cette troisiÚme finalité, la commission
observe que l'exĂ©cution par les services de police des enquĂȘtes
administratives peut nécessiter la collecte, le traitement et l'analyse de
données sur les personnes postulant à l'exercice de certaines missions ou
fonctions, lorsque la nature de celles-ci l'exige, pour des emplois publics
participant à l'exercice des missions de souveraineté de l'Etat, pour des
emplois publics ou privés relevant du domaine de la sécurité ou encore,
lorsque les circonstances particuliĂšres dans lesquelles elles doivent se
dérouler comportent des risques d'atteinte à l'ordre public ou à la sécurité
des personnes et des biens. Elle estime toutefois souhaitable qu'une procédure
d'apurement des informations soit dĂ©terminĂ©e dĂšs lors que l'enquĂȘte
administrative a donné lieu à un avis favorable et que la personne concernée a
été recrutée ou retenue pour la mission considérée. De façon générale, elle
considÚre que, au regard des missions dévolues à la DCSP, telles qu'elles sont
énoncées aux termes du projet de décret portant modification du décret du 2
octobre 1985, il y aurait lieu de préciser les conditions et la nature des
enquĂȘtes administratives susceptibles d'ĂȘtre rĂ©alisĂ©es ainsi que les types
d'emplois ou de fonctions pour lesquels la DCSP peut se voir confier lesdites
enquĂȘtes. Sur les donnĂ©es conservĂ©es : Les catĂ©gories de donnĂ©es Ă  caractĂšre
personnel enregistrées dans le traitement, concernant des personnes physiques
ùgées de 13 ans et plus, seraient les suivantes : informations ayant trait à
l'état civil et à la profession ; adresses physiques, numéros de téléphone et
adresses électroniques ; signalement, photographies (données non biométriques)
et comportement ; titres d'identité ; immatriculation des véhicules ;
informations fiscales et patrimoniales ; déplacements et antécédents
judiciaires ; motif de l'enregistrement des données ; données relatives à
l'environnement de l'individu si elles sont nécessaire à la poursuite des
finalités définies ci-dessus. Sur les catégories de données : Sur le
signalement : La commission observe qu'il n'est pas précisé, aux termes du
projet de décret, ce que recouvrent les éléments de « signalement », lesquels
étaient jusqu'alors définis comme des « signes physiques particuliers,
objectifs et inaltérables », conformément à l'article 2 du décret n° 91-1051
du 14 octobre 1991 visé plus haut. Elle relÚve, en outre, que la collecte, la
conservation et le traitement des données précitées n'étaient jusqu'alors
autorisées que s'agissant de personnes qui pouvaient, en raison de leur
activité individuelle ou collective, porter atteinte à la sûreté de l'Etat ou
à la sécurité publique, par le recours ou le soutien apporté à la violence
ainsi que pour les personnes entretenant ou ayant entretenu des relations
directes et non fortuites avec celles-ci, en application des dispositions de
l'article 3 (1°) du décret précité. Outre qu'elle juge nécessaire que la
nature des données enregistrées sous couvert de la catégorie « signalement »
soit déterminée aux termes du projet de décret, la commission estime que
lesdites donnĂ©es ne devraient pouvoir ĂȘtre collectĂ©es qu'au titre de la
deuxiÚme finalité, c'est-à-dire lorsqu'elles concernent des individus qui, en
raison de leur activité individuelle ou collective, sont susceptibles de
porter atteinte Ă  l'ordre public. Sur la photographie : La commission prend
acte de ce que le traitement ne comportera pas de dispositif de reconnaissance
faciale à partir de la photographie et de la modification du projet de décret
en ce sens. Sur le comportement et les déplacements : La commission relÚve
que, jusqu'à présent, ces données n'étaient enregistrées que dans le fichier
informatisé du terrorisme, à l'exclusion des autres fichiers des
renseignements généraux. La commission estime que lesdites données ne
devraient pas pouvoir ĂȘtre enregistrĂ©es dans le traitement « EDVIGE » au titre
de la premiÚre finalité. Sur les titres d'identité et les informations
fiscales et patrimoniales : La commission observe que le traitement EDVIGE ne
pourra ĂȘtre alimentĂ© par le biais d'autres traitements automatisĂ©s de donnĂ©es
Ă  caractĂšre personnel, ni par interconnexion, ni par simple rapprochement.
S'agissant des données relatives aux titres d'identité, la commission prend
acte de ce qu'elles ne pourront ĂȘtre enregistrĂ©es dans le traitement EDVIGE
que dans la mesure oĂč les titres prĂ©citĂ©s auront Ă©tĂ© prĂ©sentĂ©s par les
personnes titulaires de ces titres. S'agissant des informations fiscales et
patrimoniales, la commission prend acte de ce qu'elles ne porteront que sur
des éléments fournis par les personnes concernées ou relevant du domaine
public et qu'elles n'auront d'autre objet que de donner des informations sur
le train de vie desdites personnes. Sur les antécédents judiciaires : La
commission prend acte de ce que, conformément aux dispositions de l'article
777-3 du code de procédure pénale s'agissant de la catégorie de données
relative aux « antĂ©cĂ©dents judiciaires », il ne pourra ĂȘtre fait mention dans
le traitement d'aucune condamnation et que cette catégorie de données ne
concernera que des faits susceptibles de recevoir une qualification pénale. A
cet égard, la commission relÚve que, selon le ministÚre de l'intérieur, le
traitement ne pourra ĂȘtre alimentĂ© par des donnĂ©es provenant d'autres fichiers
de police, ni par interconnexion ni par simple rapprochement. ― sur les
données relatives à l'environnement de l'individu : S'agissant des « données
relatives à l'environnement de l'individu », qui, selon le ministÚre de
l'intérieur, devraient concerner notamment son appartenance éventuelle à des
associations ou mouvements ainsi que des données relatives à des personnes
avec lesquelles il est en relation, la commission prend acte de ce que le
ministÚre a accepté de modifier l'article 2 du projet de décret qui précise
désormais : « données relatives à l'environnement de l'individu, notamment aux
personnes physiques entretenant ou ayant entretenu des relations directes et
non fortuites avec l'individu concerné, si elles sont nécessaires à la
poursuite des finalités définies à l'article 1er ». Elle observe néanmoins que
la collecte et le traitement de telles données n'étaient jusqu'alors
autorisées que pour les personnes qui pouvaient, en raison de leur activité
individuelle ou collective, porter atteinte à la sûreté de l'Etat ou à la
sécurité publique. A cet égard, la commission tient à souligner que ces
donnĂ©es ne devraient pas pouvoir ĂȘtre enregistrĂ©es dans le traitement « EDVIGE
» au titre de la premiĂšre finalitĂ©. ― sur les motifs d'enregistrement : La
commission prend acte de l'engagement pris par le ministÚre de l'intérieur de
ce que les motifs d'enregistrement seront déterminés en fonction des finalités
du traitement définies aux termes de l'article 1er du projet de décret. Sur
les données sensibles relevant de l'article 8 de la loi du 6 janvier 1978
modifiée : Aux termes de l'article 2 du projet de décret, il est indiqué que
le traitement pourra « enregistrer des données à caractÚre personnel de la
nature de celles mentionnées à l'article 8 de la loi du 6 janvier 1978 »,
c'est-à-dire « celles qui font apparaßtre, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou
religieuses ou l'appartenance syndicale, ou qui sont relatives à la santé ou à
la vie sexuelle ». A cet égard, la commission tient à souligner que les
conditions d'enregistrement de ce type de données étaient plus strictement
définies aux termes du décret n° 91-1051 du 14 octobre 1991, dans un souci de
préservation des libertés individuelles et de protection de la vie privée, se
limitant en particulier aux « activités politiques, philosophiques,
religieuses ou syndicales » des personnes majeures. Aussi, tout en prenant
acte de ce que le projet de décret interdit de sélectionner une catégorie
particuliĂšre de personnes Ă  partir de ces seules informations, la commission
souhaite que le projet de décret définisse explicitement la nature des données
relevant de l'article 8 qui seraient susceptibles d'ĂȘtre enregistrĂ©es au titre
de chacune des finalités énoncées à l'article 1er du projet de décret et
prĂ©cise, en outre, que lesdites donnĂ©es ne pourront ĂȘtre enregistrĂ©es que dans
la stricte mesure oĂč les finalitĂ©s du traitement l'exigent. La commission
estime que les cas exceptionnels dans lesquels les données sensibles, au sens
de l'article 8 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004,
et notamment celles touchant à l'origine raciale ou ethnique, à la santé ou à
la vie sexuelle des personnes, seraient susceptibles d'ĂȘtre recueillies
devraient ĂȘtre Ă©troitement dĂ©finis. La commission tient Ă  rappeler, Ă  cet
égard, que, conformément à l'article 6 de la loi du 6 janvier 1978 modifiée
par la loi du 6 aoĂ»t 2004, les donnĂ©es collectĂ©es et conservĂ©es doivent ĂȘtre
adéquates, pertinentes et non excessives au regard des finalités. Sur les
mineurs : La commission observe que si les fichiers des renseignements
généraux ne concernaient que les personnes majeures, l'article 2 du projet de
décret prévoit la possibilité d'enregistrer des données à caractÚre personnel
dÚs l'ùge de treize ans. Le ministÚre de l'intérieur a justifié cette mesure
par les mutations affectant la délinquance juvénile, au regard des missions
dévolues à la DCSP dans la lutte contre les phénomÚnes dits de « violences
urbaines », faisant par ailleurs valoir que l'ùge de treize ans correspondait
à l'ùge à partir duquel les mineurs sont reconnus pénalement responsables. La
commission considÚre que la majorité pénale, d'ailleurs relative, des mineurs
ùgés de treize ans ne saurait servir de référence en la matiÚre, dÚs lors que
le traitement EDVIGE ne revĂȘt aucune finalitĂ© de police judiciaire et vise,
pour l'essentiel, comme son nom l'indique, à l'information générale du
Gouvernement et de ses représentants dans les départements et collectivités.
Tout en prenant acte de ce que l'enregistrement de données à caractÚre
personnel concernant des mineurs ne pourrait ĂȘtre effectuĂ© dĂšs treize ans que
dans la stricte mesure oĂč les personnes concernĂ©es, en raison de leur activitĂ©
individuelle ou collective, seraient susceptibles de porter atteinte Ă  l'ordre
public et, Ă  compter de seize ans, Ă©galement dans les cas oĂč les personnes
postuleraient Ă  des fonctions ou des missions pour l'exercice desquelles la
rĂ©alisation d'une enquĂȘte administrative serait nĂ©cessaire, la commission
tient à rappeler que le traitement de telles données appelle l'adoption de
garanties renforcĂ©es. Il doit, en consĂ©quence, ĂȘtre encadrĂ©, dans le projet de
décret, par des dispositions particuliÚres et précises, de façon à lui
conserver un caractÚre exceptionnel et une durée de conservation spécifique.
Sur la durée de conservation : Le projet de décret et le dossier de demande
d'avis qui l'accompagne ne comportent aucune indication sur la durée de
conservation des données et ne déterminent pas non plus de procédure de mise à
jour et d'apurement. La commission rappelle Ă  cet Ă©gard que le principe
d'exactitude et de mise à jour des données constitue une des conditions de
licéité des traitements de données personnelles et une garantie essentielle
pour les citoyens. Elle estime, en conséquence, que compte tenu de la
sensibilité des données traitées et des finalités poursuivies, le projet de
dĂ©cret doit prĂ©voir la mise en Ɠuvre, sous le contrĂŽle de la commission, d'une
procédure de mise à jour et d'apurement des fichiers. Elle rappelle, à cet
égard, que s'agissant des données sensibles, une telle procédure était prévue
à l'article 6 du décret n° 91-1051 du 14 octobre 1991 portant application aux
fichiers gérés par les services des renseignements généraux des dispositions
de l'article 31 de la loi du 6 janvier 1978. Sur les destinataires : La
commission prend acte de ce que seraient autorisés à accéder aux données
enregistrĂ©es dans le traitement, dans la limite du besoin d'en connaĂźtre : ―
les fonctionnaires relevant de la sous-direction de l'information générale,
individuellement désignés et spécialement habilités par le directeur central
de la sĂ©curitĂ© publique ; ― les fonctionnaires affectĂ©s dans les services
d'information générale des directions départementales de la sécurité publique,
individuellement désignés et spécialement habilités par le directeur
dĂ©partemental. Enfin, pourrait Ă©galement ĂȘtre destinataire, dans la limite du
besoin d'en connaĂźtre, tout autre agent d'un service de la police nationale,
sur demande expresse, sous le timbre de l'autorité hiérarchique, qui précise
l'identité du consultant, l'objet et les motifs de la consultation. Sur les
mesures de sécurité : La commission observe qu'aux termes du dossier de
demande d'avis et des précisions apportées par le ministÚre de l'intérieur, le
traitement EDVIGE ne sera mis en relation ni ne fera l'objet d'aucune
interconnexion avec un autre traitement automatisé à l'exception de ceux mis
en Ɠuvre par le prĂ©fet de police pour sa mission d'information gĂ©nĂ©rale. La
commission prend acte de l'engagement pris par le ministÚre de l'intérieur de
modifier le projet de dĂ©cret en ce sens. Dans la mesure oĂč le dossier de
demande d'avis ne comporte aucune précision sur les caractéristiques
techniques et les mesures de sécurité, la commission relÚve qu'elle ne peut
exercer sur ce point la mission de contrÎle préalable que lui a confiée le
législateur. A cet égard, elle tient notamment à souligner l'importance que
revĂȘt la mise en Ɠuvre d'une politique de traçabilitĂ© des actions, qu'il
s'agisse des enregistrements ou des consultations. Sur les droits des
personnes et le contrÎle exercé par la CNIL : La commission relÚve que le
droit d'information prévu au I de l'article 32 et le droit d'opposition prévu
à l'article 38 de la loi du 6 janvier 1978, modifiée par la loi du 6 août
2004, ne s'appliquent pas au présent traitement. Conformément aux dispositions
de l'article 41 de la mĂȘme loi, le droit d'accĂšs aux donnĂ©es s'exerce de
maniÚre indirecte auprÚs de la Commission nationale informatique et libertés.
S'agissant du contrÎle exercé sur le traitement, la commission relÚve que le
traitement EDVIGE sera soumis au contrÎle prévu aux termes de l'article 44 de
la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004. Elle prend acte
de l'engagement pris par le ministÚre de l'intérieur de remettre tous les ans
à la commission un rapport rendant compte de ses activités de vérification et
d'apurement du fichier informatisé et des dossiers mécanographiques. Sur les
traitements mis en Ɠuvre par la prĂ©fecture de police de Paris : La commission
observe que le projet de décret ne fixe pas de cadre juridique pour les
traitements jusqu'alors mis en Ɠuvre par la prĂ©fecture de police de Paris.

Le président,

A. TĂŒrk

Le vice-président délégué,

G. Rosier


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l
Permalink | Reply |

Gmane