Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

RU-015 - Délibération n° 2011-106 du 28 avril 2011 portant avis sur un projet d’arrêté du ministère de l’intérieur, de l’outre-mer, des collectivités locales et de l’immigration autorisant la mise en œuvre de traitements de données à caractère personnel dénommés "fichiers des résidents des zones de sécurité" instaurés à l’occasion d’événements majeurs.

28 Avril 2011 - Thème(s) : Police, Service public

(demande d’avis n°1 491 809)

 

La Commission nationale de l’informatique et des libertés, 

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée le 6 août 2004, notamment son article 26 ; 

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié le 25 mars 2007 ;

Vu la demande d’avis présentée par le ministère de l’intérieur, de l’outre-mer, des collectivités locales et de l’immigration relative à un projet d’arrêté portant autorisation de traitements de données à caractère personnel dénommés "fichier des résidents des zones de sécurité" instaurés à l’occasion d’événements majeurs ;

Vu la délibération de la Commission nationale de l’informatique et des libertés n° 03-016 du 24 avril 2003 portant avis sur un projet d’arrêté du préfet de Haute-Savoie relatif à un traitement automatisé ayant pour finalité la constitution d’un fichier des personnes titulaires d’un badge permanent d’entrée dans le périmètre de protection du sommet des chefs d’état (G8) ;

Sur le rapport de M. Jean-Marie COTTERET, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;

Formule les observations suivantes :

La Commission nationale de l’informatique et des libertés a été saisie le 11 mars 2011 par le ministère de l’intérieur, de l’outre-mer, des collectivités locales et de l’immigration pour avis d’un projet d’arrêté portant autorisation de traitements de données à caractère personnel, dénommés "fichiers des résidents des zones de sécurité", et visant à permettre la gestion par les forces de l’ordre des accès des résidents aux zones de sécurité établies à l’occasion d’événements majeurs.

Il y a lieu de faire application des dispositions de l’article 26 de la loi du 6 janvier 1978 modifiée qui soumet à une autorisation par arrêté ministériel pris après motivé et publié de la Commission nationale de l’informatique et des libertés les traitements de données à caractère personnel mis en œuvre pour le compte de l’Etat intéressant notamment la sûreté de l’Etat ou la sécurité publique.

Conformément aux dispositions de l’article 26 IV. de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, l’arrêté examiné constitue un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la Commission préalablement à chaque mise en œuvre d’un fichier de résidents d’une zone de sécurité.

Sur les caractéristiques du traitement :

En pratique, les zones de sécurité définies à l’occasion d’événements majeurs délimitent un périmètre dont l’accès est contrôlé par les forces de police et de gendarmerie, afin d’interdire notamment aux éventuels manifestants violents de se rapprocher du lieu du sommet et de perturber le déroulement de l’événement.

Ces zones et leur mode de fonctionnement sont définis par arrêté préfectoral. Seules y auront accès les personnes physiques : y ayant leur domicile, y exerçant une activité professionnelle, ou ayant un motif légitime pour s’y rendre (par exemple : médecin, soins à domicile).

En amont de l’événement, les fichiers des résidents des zones de sécurité doivent ainsi permettre la fabrication, par un prestataire conventionné, de titres d’accès (cartes individuelles personnelles pour les personnes physiques ou pastilles pour les véhicules).

Pendant le déroulement du sommet ou de l’événement, ces fichiers seront utilisés aux fins de contrôler les accès des personnes physiques aux zones sécurisées.

La Commission relève que l’article 2 du projet d’arrêté autorise la collecte des données à caractère personnel suivantes : nom, prénom, date et lieu de naissance ; adresse postale et électronique, coordonnées téléphoniques ; numéro de la carte nationale d’identité, du permis de conduire, du passeport ou du titre de séjour (au choix du déclarant) ; la date et l’heure d’entrée et de sortie de la zone sécurisée, ainsi que le motif de l’accès à la zone sécurisée.

Elle observe que les titres d’accès seront distribués dans les semaines précédant l’événement, sur présentation d’un document d’identité et d’un justificatif de domicile.

La Commission observe que seuls ont accès à tout ou partie des données, à raison de leurs attributions et dans la limite du besoin d’en connaître :

  1. les agents individuellement désignés et spécialement habilités chargés de l’enregistrement des données collectées et de l’établissement des titres d’accès ;
  2. les agents de la police nationale et les militaires de la gendarmerie nationale affectés au contrôle des accès aux zones de sécurité.

Les personnes concernées sont informées de leur droits d’accès et de rectification par le courrier distribué dans leurs boîtes aux lettres et à l’occasion du retrait de leur titre d’accès. En outre, un affichage est réalisé dans les locaux destinés au retrait des titres d’accès.

Sur la finalité des fichiers de résidents :

L’article 1er du projet d’arrêté autorise les directeurs généraux de la police nationale, de la gendarmerie nationale ainsi que le préfet de police à mettre en œuvre des traitements de données à caractère personnel dénommés "Fichier des résidents des zones de sécurité" ayant pour finalité "la gestion des titres permettant l’accès des personnes ou des véhicules aux zones à l’intérieur desquelles sont apportées des restrictions à la libre circulation et à l’exercice de certaines activités, afin de prévenir les troubles à l’ordre public et garantir la sécurité d’un événement majeur".

La Commission relève qu’à la différence des précédents fichiers de résidents dont elle a eu à connaître, lesquels mentionnaient explicitement la tenue de sommets internationaux, le projet d’arrêté présenté par le ministère autorise la mise en œuvre de fichiers de résidents à l’occasion d’un  "événement majeur", sans par ailleurs que le projet d’arrêté fournisse une définition de cette notion.

Elle note que le ministère a précisé que cette expression désigne "par exemple un rassemblement local, national ou international dont la nature, l’importance en termes de nombre de personnes déplacées ou les circonstances de son déroulement peuvent impacter la sécurité des personnes ou des biens", et a mentionné "la diversité des situations potentiellement concernées (sommets internationaux, manifestations sportives internationales, …)", tout en estimant inutile de préciser la rédaction de l’article 1er du projet d’arrêté.

La Commission observe que l’expression "événement majeur", ainsi que son absence de définition élargit indéniablement les hypothèses de mise en œuvre de fichiers de résidents, jusqu’alors réservées à la tenue de sommets internationaux réunissant des chefs d’Etat.

Elle considère que si la mise en œuvre de mesures de sécurité restreignant la liberté de circulation aux abords d’événements majeurs tels que des manifestations sportives internationales apparaît tout à fait justifiée, il n’en va pas de même s’agissant de la constitution de fichiers de résidents.

En effet, la Commission souligne que les fichiers de résidents dont la création sera ainsi autorisée, certes de façon temporaire, constituent des fichiers de population, au sujet desquels la Commission s’est toujours montrée particulièrement vigilante.

Elle demande par conséquent que l’article 1er du projet d’arrêté soit modifié de manière à définir l’expression "événement majeur", et à ce que les hypothèses de constitution de fichiers de résidents soient ainsi réservées aux situations exceptionnelles nécessitant la délimitation d’un périmètre de sécurité susceptible d’entraîner une limitation de la liberté de circulation des personnes.

Par ailleurs, la Commission prend acte des précisions du ministère selon lesquelles les fichiers des résidents des zones de sécurité ne permettent aucune consultation, ni rapprochement avec d’autres traitements automatisés de données à caractère personnel tel que le fichier des personnes recherchées (FPR) ou le fichier des véhicules volés (FVV).

Sur les modalités de constitution des fichiers des résidents :

Les résidents sont informés par des courriers déposés dans les boîtes aux lettres des résidences situées dans le périmètre des zones sécurisées, ainsi que par la publication d'encarts d'information les invitant à se présenter aux permanences tenues dans les lieux destinés à accueillir le public concerné en vue de son inscription dans le fichier des résidents.

La Commission prend acte des précisions du ministère selon lesquelles les fichiers des résidents sont constitués uniquement de données collectées auprès des personnes résidentes préalablement invitées à renseigner un formulaire déposé dans leur boîte à lettres et qu’aucun autre fichier ne sera consulté pour l’alimentation du traitement.

Elle prend également acte de ce que le ministère a indiqué que toutes les données seront collectées directement auprès des personnes concernées sur la base du volontariat, à l’exception des mineurs et des incapables majeurs, qui ne disposent pas de la capacité juridique pour renseigner eux-mêmes le formulaire.

Sur l’enregistrement de données relatives aux mineurs :

La Commission observe que le dossier de formalités relatif au fichier de résidents concernant le sommet du G8 d’Evian, soumis à son examen en 2003, précisait que l’obligation d’inscription au fichier des résidents ne concernait que les personnes âgées de plus de 13 ans.

Elle relève que le ministère estime désormais nécessaire que soient collectées les données personnelles de l’ensemble des mineurs résidents des zones de sécurité, sans distinction d’âge, dans la mesure où cette attribution individuelle est rendue nécessaire afin de permettre aux mineurs, même relativement jeunes, se déplaçant sans leurs parents d’accéder aux zones où ils résident.

La Commission estime toutefois que la délivrance d’un badge d’accès à l’ensemble des mineurs, et à tout le moins à de très jeunes enfants, ne paraît pas en première analyse nécessaire à l’accomplissement des finalités poursuivies par les fichiers de résidents dès lors qu’un adulte porteur d’un badge accompagne le mineur.

La Commission considère ainsi que l’attribution de badges individuels à l’ensemble des mineurs concernés sans aucune distinction d’âge, apparaît, en première analyse, disproportionné au regard des finalités poursuivies par la mise en œuvre de fichiers de résidents.

Sur les responsables de traitement et la procédure d’engagement de conformité :

La Commission relève que l’article 8 du projet d’arrêté prévoit l’obligation pour le directeur général de la police nationale (DGPN), le directeur général de la gendarmerie nationale (DGGN) ou le préfet de police, d’adresser à la Commission un engagement de conformité au moment de la mise en œuvre d’un fichier de résidents.

En effet, cet article précise que la mise en œuvre d’un fichier de résidents "s’accompagne de l’envoi à la Commission nationale de l’informatique et des libertés, d’un engagement de conformité faisant référence au présent arrêté".

La Commission estime toutefois nécessaire que l’article 8 du projet d’arrêté relatif aux fichiers de résidents soit modifié de façon à préciser que la mise en œuvre des fichiers de résidents est subordonnée à l’envoi préalable à la Commission d’un engagement de conformité.

Sur les données à caractère personnel collectées et traitées :

La Commission relève le projet d’arrêté autorise la collecte des données à caractère personnel suivantes : nom, prénom, date et lieu de naissance ; adresse postale et électronique, coordonnées téléphoniques ; numéro de la carte nationale d’identité, du permis de conduire, du passeport ou du titre de séjour (au choix du déclarant) ; la date et l’heure d’entrée et de sortie de la zone sécurisée, ainsi que le motif de l’accès à la zone sécurisée.

Elle relève, par ailleurs, que les informations qui seront mentionnées et visibles sur les titres d’accès sont les suivantes : nom, prénom et numéro de pièce d’identité ; numéro d’ordre du titre d’accès ; numéro de la zone ; sigle (par exemple : "G8").

La Commission prend acte de ce que la catégorie de données dénommée "motif d’accès à la zone sécurisée", est renseignée lors de l’inscription aux fins de renseignement quant aux raisons pour lesquelles le résident peut accéder aux zones sécurisées. Elle prend acte de ce que ce champ sera renseigné sous la forme suivante : "résident", "professionnel", "livraison", "soins médicaux"

La Commission rappelle par ailleurs qu’en application de l’article 32 de la loi informatique et libertés du 6 janvier 1978 modifiée en 2004, il incombe notamment au responsable de traitement d’informer les personnes concernées du caractère obligatoire ou facultatif des réponses.

Sur les destinataires et services utilisateurs :

La Commission observe que le projet d’arrêté prévoit que seuls ont accès à tout ou partie des données, à raison de leurs attributions et dans la limite du besoin d’en connaître : les agents individuellement désignés et spécialement habilités chargés de l’enregistrement des données collectées et de l’établissement des titres d’accès ; ainsi que les agents de la police nationale et les militaires de la gendarmerie nationale affectés au contrôle des accès aux zones de sécurité.

La Commission relève que le II de l’article 4 du projet d’arrêté prévoit que peuvent, en outre, être rendus destinataires de tout ou partie des données, "les personnes chargées de l’établissement des titres d’accès".

Elle prend acte qu’un engagement écrit est demandé aux  prestataires chargés de la fabrication des titres d’accès, afin de garantir la confidentialité des données communiquées, la confidentialité du procédé utilisé pour la sécurisation des titres d’accès, ainsi que la destruction des données après utilisation.

La Commission considère toutefois que la rédaction du II de l’article 4 du projet d’arrêté est susceptible de porter à confusion dans la mesure où elle pourrait désigner à la fois les prestataires chargés de la fabrication des titres d’accès, aussi bien que les agents de police ou de gendarmerie chargés de la saisie des informations dans la base de données.

Par conséquent, la Commission estime nécessaire, ainsi que l’a admis le ministère et afin d’éviter toute ambigüité quant aux destinataires des données, que la rédaction du II de l’article 4 du projet d’arrêté soit modifiée de façon à remplacer les mots "chargées de l’établissement des titres d’accès" par les mots "chargées de la fabrication des titres d’accès".

La Commission considère en outre que seules les données strictement nécessaires à l'établissement des titres d’accès devraient être communiquées aux prestataires chargés de la fabrication des titres. Elle estime, dès lors, que le projet d’arrêté devrait être modifié en conséquence.

Sur la durée de conservation des données et la destruction à bref délai des fichiers de résidents :

La Commission relève que l’article 3 du projet d’arrêté prévoit que les données à caractère personnel enregistrées dans les fichiers de résidents seront conservées pendant un délai de trois mois à compter de la fin de l’événement, le ministère considérant ce délai opportun dans la mesure où le fichier peut le cas échéant être utilisé dans le cadre d’enquêtes judiciaires ouvertes à l’occasion de l’événement (constatation d’une infraction).

Toutefois, la Commission rappelle qu’elle s’est montrée particulièrement attentive à ce que les fichiers de résidents dont elle a eu précédemment à connaître, qui constituent des "fichiers de population", soit détruits à bref  délai.

Elle rappelle ainsi que sa délibération n°03-016 du 24 avril 2003 avait pris acte de la destruction du fichier des résidents créé à l’occasion du sommet du G8 à Evian dans un délai de trois jours après la fin de l’événement, en demandant en outre qu’un procès-verbal de destruction du fichier lui soit adressé.

Elle souligne que le fichier des résidents créé à l’occasion du sommet de l’OTAN en 2009 avait également été détruit par les services préfectoraux trois jours après la fin du sommet.

La Commission estime, compte tenu de ces éléments, que la durée de conservation des données prévue par l’article 3 du projet d’arrêté devrait être ramenée à trois jours, sans préjudice de la conservation des seules données nécessaires aux besoins d’enquêtes judiciaires qui seraient le cas échéant ouvertes à l’occasion de l’événement.

Elle estime, en outre, que le projet d’arrêté devrait être modifié de façon à prévoir une obligation à la charge du responsable de traitement d’adresser à la Commission, pour chaque fichier de résidents dont la durée de conservation est expirée, un procès-verbal de destruction.

Sur l’information des personnes concernées :

La Commission prend acte de ce que les personnes concernées sont informées de leurs droits d’accès par le courrier distribué dans leurs boîtes aux lettres et à l’occasion du retrait de leur titre d’accès.

Elle prend acte, en outre, qu’un affichage informatif sera réalisé dans les locaux destinés au retrait des titres d’accès.

Sur les mesures de sécurité :

La Commission relève que des mesures de traçabilité des accès et des consultations du traitement sont mises en œuvre, l’article 5 du projet d’arrêté prévoyant que "Les consultations font l’objet d’un enregistrement comportant l’identifiant de l’utilisateur, la date et l’heure de la consultation. Ces données sont conservées jusqu’à la destruction du traitement".

La Commission observe toutefois que les mots de passe permettant aux utilisateurs de s’authentifier dans l’application informatique ne sont soumis à aucune contrainte de structure. La Commission rappelle sa recommandation en la matière selon laquelle il est préférable d’avoir recours à des mots d’une taille de 8 caractères minimum et utilisant des caractères de types différents (majuscules, minuscules, chiffres, caractères spéciaux).

Les mesures de sécurité mises en place par ailleurs sont de nature à sécuriser de manière satisfaisante le recours à ce dispositif.

 

Le Président,

Alex TÜRK

Chargement en cours...