Délibération de la CNIL n° 2008-174 du 16 juin 2008

La Commission nationale de l’informatique et des libertés,

Saisie pour avis par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales le 27 mars 2008 d’un projet de décret en Conseil d’État (modifié le 13 juin 2008) portant création au profit de la direction centrale de la sécurité publique d’un traitement automatisé de données à caractère personnel dénommé « EDVIGE » et d’un projet de décret portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi n° 78-17 du 6 janvier 1978.

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment ses articles 6, 8, 26, 29, 30 et 31 ;

Vu le décret n° 85-1057 du 2 octobre 1985 modifié relatif à l’organisation de l’administration centrale du ministère de l’intérieur et de la décentralisation, notamment son article 12 ;

Vu le décret n° 91-1051 du 14 octobre 1991 portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3, de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 91-1052 du 14 octobre 1991 relatif au fichier informatisé du terrorisme mis en œuvre par les services des renseignements généraux du ministère de l’intérieur ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007, et notamment son article 83 ;

Vu le décret n° 2007-914 du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le projet de décret portant modification du décret n° 85-1057 du 2 octobre 1985 relatif à l’organisation de l’administration centrale du ministère de l’intérieur et de la décentralisation et le projet de décret relatif à l’organisation déconcentrée de la direction centrale de la sécurité publique ;

Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant
La commission a été saisie le 27 mars 2008 par le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales de deux dossiers de formalités préalables relatifs à la mise en œuvre des traitements de données à caractère personnel respectivement dénommés « EDVIGE » (exploitation documentaire et valorisation de l’information générale) et « CRISTINA » (centralisation du renseignement intérieur pour la sécurité du territoire et les intérêts nationaux).

Ils comportent chacun un projet de décret en Conseil d’État portant autorisation de la création du traitement considéré ainsi qu’un projet de décret en Conseil d’État portant modification du décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux et du décret n° 2007-914 du 15 mai 2007 pris pour l’application du 1 de l’article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée par la loi n° 2004-801 du 6 août 2004.

La mise en œuvre de ces nouveaux traitements résulte de la réforme des services de renseignement, laquelle devrait être effective au 1 juillet 2008 et devrait ainsi aboutir à la mise en place d’une nouvelle organisation, fondée sur une répartition différente des missions jusqu’alors dévolues à la direction de la surveillance du territoire (DST) et à la direction centrale des renseignements généraux (DCRG).

Ainsi, le renseignement intérieur, au sens strict, serait pris en charge par la direction centrale du renseignement intérieur (DCRI), chargée de lutter contre toutes les activités susceptibles de constituer une atteinte aux intérêts fondamentaux de la nation. La mission d’information générale, actuellement assurée par la DCRG, serait confiée à la direction centrale de la sécurité publique (DCSP). Enfin, la surveillance des établissements de jeux et des champs de courses serait confiée à la direction centrale de la police judiciaire (DCPJ).

Constitué d’une base nationale de données informatiques et d’archives papier, le traitement EDVIGE doit permettre à la DCSP de remplir la mission d’information générale qui lui sera dévolue, laquelle consiste dans la recherche, la centralisation et l’analyse des renseignements destinés à informer le représentant de l’État et le Gouvernement dans les domaines institutionnel, économique et social, ainsi qu’en matière de phénomènes urbains violents et dans tous les domaines susceptibles d’intéresser l’ordre public.

Sur les finalités
Le traitement EDVIGE a pour finalités :
 * 1) De centraliser et d’analyser les informations relatives aux personnes physiques et morales ayant sollicité, exercé ou exerçant un mandat électif, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif, afin de donner au Gouvernement ou à ses représentants tous les éléments utiles à leur action ;
 * 2) De centraliser et d’analyser les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public.
 * 3) De permettre aux services de police d’exécuter les enquêtes administratives qui leur sont confiées, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l’exercice des fonctions ou des missions envisagées.

S’agissant de cette troisième finalité, la commission observe que l’exécution par les services de police des enquêtes administratives peut nécessiter la collecte, le traitement et l’analyse de données sur les personnes postulant à l’exercice de certaines missions ou fonctions, lorsque la nature de celles-ci l’exige, pour des emplois publics participant à l’exercice des missions de souveraineté de l’État, pour des emplois publics ou privés relevant du domaine de la sécurité ou encore, lorsque les circonstances particulières dans lesquelles elles doivent se dérouler comportent des risques d’atteinte à l’ordre public ou à la sécurité des personnes et des biens.

Elle estime toutefois souhaitable qu’une procédure d’apurement des informations soit déterminée dès lors que l’enquête administrative a donné lieu à un avis favorable et que la personne concernée a été recrutée ou retenue pour la mission considérée.

De façon générale, elle considère que, au regard des missions dévolues à la DCSP, telles qu’elles sont énoncées aux termes du projet de décret portant modification du décret du 2 octobre 1985, il y aurait lieu de préciser les conditions et la nature des enquêtes administratives susceptibles d’être réalisées ainsi que les types d’emplois ou de fonctions pour lesquels la DCSP peut se voir confier lesdites enquêtes.

Sur les données conservées
Les catégories de données à caractère personnel enregistrées dans le traitement, concernant des personnes physiques âgées de 13 ans et plus, seraient les suivantes : informations ayant trait à l’état civil et à la profession ; adresses physiques, numéros de téléphone et adresses électroniques ; signalement, photographies (données non biométriques) et comportement ; titres d’identité ; immatriculation des véhicules ; informations fiscales et patrimoniales ; déplacements et antécédents judiciaires ; motif de l’enregistrement des données ; données relatives à l’environnement de l’individu si elles sont nécessaire à la poursuite des finalités définies ci-dessus.

Sur le signalement
La commission observe qu’il n’est pas précisé, aux termes du projet de décret, ce que recouvrent les éléments de « signalement », lesquels étaient jusqu’alors définis comme des « signes physiques particuliers, objectifs et inaltérables », conformément à l’article 2 du décret n° 91-1051 du 14 octobre 1991 visé plus haut. Elle relève, en outre, que la collecte, la conservation et le traitement des données précitées n’étaient jusqu’alors autorisées que s’agissant de personnes qui pouvaient, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’État ou à la sécurité publique, par le recours ou le soutien apporté à la violence ainsi que pour les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec celles-ci, en application des dispositions de l’article 3 (1°) du décret précité.

Outre qu’elle juge nécessaire que la nature des données enregistrées sous couvert de la catégorie « signalement » soit déterminée aux termes du projet de décret, la commission estime que lesdites données ne devraient pouvoir être collectées qu’au titre de la deuxième finalité, c’est-à-dire lorsqu’elles concernent des individus qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public.

Sur la photographie
La commission prend acte de ce que le traitement ne comportera pas de dispositif de reconnaissance faciale à partir de la photographie et de la modification du projet de décret en ce sens.

Sur le comportement et les déplacements
La commission relève que, jusqu’à présent, ces données n’étaient enregistrées que dans le fichier informatisé du terrorisme, à l’exclusion des autres fichiers des renseignements généraux.

La commission estime que lesdites données ne devraient pas pouvoir être enregistrées dans le traitement « EDVIGE » au titre de la première finalité.

Sur les titres d’identité et les informations fiscales et patrimoniales :
La commission observe que le traitement EDVIGE ne pourra être alimenté par le biais d’autres traitements automatisés de données à caractère personnel, ni par interconnexion, ni par simple rapprochement.

S’agissant des données relatives aux titres d’identité, la commission prend acte de ce qu’elles ne pourront être enregistrées dans le traitement EDVIGE que dans la mesure où les titres précités auront été présentés par les personnes titulaires de ces titres. S’agissant des informations fiscales et patrimoniales, la commission prend acte de ce qu’elles ne porteront que sur des éléments fournis par les personnes concernées ou relevant du domaine public et qu’elles n’auront d’autre objet que de donner des informations sur le train de vie desdites personnes.

Sur les antécédents judiciaires
La commission prend acte de ce que, conformément aux dispositions de l’article 777-3 du code de procédure pénale s’agissant de la catégorie de données relative aux « antécédents judiciaires », il ne pourra être fait mention dans le traitement d’aucune condamnation et que cette catégorie de données ne concernera que des faits susceptibles de recevoir une qualification pénale.A cet égard, la commission relève que, selon le ministère de l’intérieur, le traitement ne pourra être alimenté par des données provenant d’autres fichiers de police, ni par interconnexion ni par simple rapprochement.

sur les données relatives à l’environnement de l’individu
S’agissant des « données relatives à l’environnement de l’individu », qui, selon le ministère de l’intérieur, devraient concerner notamment son appartenance éventuelle à des associations ou mouvements ainsi que des données relatives à des personnes avec lesquelles il est en relation, la commission prend acte de ce que le ministère a accepté de modifier l’article 2 du projet de décret qui précise désormais : « données relatives à l’environnement de l’individu, notamment aux personnes physiques entretenant ou ayant entretenu des relations directes et non fortuites avec l’individu concerné, si elles sont nécessaires à la poursuite des finalités définies à l’article 1 ».

Elle observe néanmoins que la collecte et le traitement de telles données n’étaient jusqu’alors autorisées que pour les personnes qui pouvaient, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’État ou à la sécurité publique.

A cet égard, la commission tient à souligner que ces données ne devraient pas pouvoir être enregistrées dans le traitement « EDVIGE » au titre de la première finalité.

sur les motifs d’enregistrement
La commission prend acte de l’engagement pris par le ministère de l’intérieur de ce que les motifs d’enregistrement seront déterminés en fonction des finalités du traitement définies aux termes de l’article 1 du projet de décret. Sur les données sensibles relevant de l’article 8 de la loi du 6 janvier 1978 modifiée :

Aux termes de l’article 2 du projet de décret, il est indiqué que le traitement pourra « enregistrer des données à caractère personnel de la nature de celles mentionnées à l’article 8 de la loi du 6 janvier 1978 », c’est-à-dire « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale, ou qui sont relatives à la santé ou à la vie sexuelle ».

A cet égard, la commission tient à souligner que les conditions d’enregistrement de ce type de données étaient plus strictement définies aux termes du décret n° 91-1051 du 14 octobre 1991, dans un souci de préservation des libertés individuelles et de protection de la vie privée, se limitant en particulier aux « activités politiques, philosophiques, religieuses ou syndicales » des personnes majeures.

Aussi, tout en prenant acte de ce que le projet de décret interdit de sélectionner une catégorie particulière de personnes à partir de ces seules informations, la commission souhaite que le projet de décret définisse explicitement la nature des données relevant de l’article 8 qui seraient susceptibles d’être enregistrées au titre de chacune des finalités énoncées à l’article 1 du projet de décret et précise, en outre, que lesdites données ne pourront être enregistrées que dans la stricte mesure où les finalités du traitement l’exigent.

La commission estime que les cas exceptionnels dans lesquels les données sensibles, au sens de l’article 8 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, et notamment celles touchant à l’origine raciale ou ethnique, à la santé ou à la vie sexuelle des personnes, seraient susceptibles d’être recueillies devraient être étroitement définis.

La commission tient à rappeler, à cet égard, que, conformément à l’article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, les données collectées et conservées doivent être adéquates, pertinentes et non excessives au regard des finalités.

Sur les mineurs
La commission observe que si les fichiers des renseignements généraux ne concernaient que les personnes majeures, l’article 2 du projet de décret prévoit la possibilité d’enregistrer des données à caractère personnel dès l’âge de treize ans.

Le ministère de l’intérieur a justifié cette mesure par les mutations affectant la délinquance juvénile, au regard des missions dévolues à la DCSP dans la lutte contre les phénomènes dits de « violences urbaines », faisant par ailleurs valoir que l’âge de treize ans correspondait à l’âge à partir duquel les mineurs sont reconnus pénalement responsables.

La commission considère que la majorité pénale, d’ailleurs relative, des mineurs âgés de treize ans ne saurait servir de référence en la matière, dès lors que le traitement EDVIGE ne revêt aucune finalité de police judiciaire et vise, pour l’essentiel, comme son nom l’indique, à l’information générale du Gouvernement et de ses représentants dans les départements et collectivités.

Tout en prenant acte de ce que l’enregistrement de données à caractère personnel concernant des mineurs ne pourrait être effectué dès treize ans que dans la stricte mesure où les personnes concernées, en raison de leur activité individuelle ou collective, seraient susceptibles de porter atteinte à l’ordre public et, à compter de seize ans, également dans les cas où les personnes postuleraient à des fonctions ou des missions pour l’exercice desquelles la réalisation d’une enquête administrative serait nécessaire, la commission tient à rappeler que le traitement de telles données appelle l’adoption de garanties renforcées. Il doit, en conséquence, être encadré, dans le projet de décret, par des dispositions particulières et précises, de façon à lui conserver un caractère exceptionnel et une durée de conservation spécifique.

Sur la durée de conservation
Le projet de décret et le dossier de demande d’avis qui l’accompagne ne comportent aucune indication sur la durée de conservation des données et ne déterminent pas non plus de procédure de mise à jour et d’apurement.

La commission rappelle à cet égard que le principe d’exactitude et de mise à jour des données constitue une des conditions de licéité des traitements de données personnelles et une garantie essentielle pour les citoyens.

Elle estime, en conséquence, que compte tenu de la sensibilité des données traitées et des finalités poursuivies, le projet de décret doit prévoir la mise en œuvre, sous le contrôle de la commission, d’une procédure de mise à jour et d’apurement des fichiers. Elle rappelle, à cet égard, que s’agissant des données sensibles, une telle procédure était prévue à l’article 6 du décret n° 91-1051 du 14 octobre 1991 portant application aux fichiers gérés par les services des renseignements généraux des dispositions de l’article 31 de la loi du 6 janvier 1978.

Sur les destinataires
La commission prend acte de ce que seraient autorisés à accéder aux données enregistrées dans le traitement, dans la limite du besoin d’en connaître :
 * les fonctionnaires relevant de la sous-direction de l’information générale, individuellement désignés et spécialement habilités par le directeur central de la sécurité publique ;
 * les fonctionnaires affectés dans les services d’information générale des directions départementales de la sécurité publique, individuellement désignés et spécialement habilités par le directeur départemental.

Enfin, pourrait également être destinataire, dans la limite du besoin d’en connaître, tout autre agent d’un service de la police nationale, sur demande expresse, sous le timbre de l’autorité hiérarchique, qui précise l’identité du consultant, l’objet et les motifs de la consultation.

Sur les mesures de sécurité
La commission observe qu’aux termes du dossier de demande d’avis et des précisions apportées par le ministère de l’intérieur, le traitement EDVIGE ne sera mis en relation ni ne fera l’objet d’aucune interconnexion avec un autre traitement automatisé à l’exception de ceux mis en œuvre par le préfet de police pour sa mission d’information générale.

La commission prend acte de l’engagement pris par le ministère de l’intérieur de modifier le projet de décret en ce sens.

Dans la mesure où le dossier de demande d’avis ne comporte aucune précision sur les caractéristiques techniques et les mesures de sécurité, la commission relève qu’elle ne peut exercer sur ce point la mission de contrôle préalable que lui a confiée le législateur.

A cet égard, elle tient notamment à souligner l’importance que revêt la mise en œuvre d’une politique de traçabilité des actions, qu’il s’agisse des enregistrements ou des consultations.

Sur les droits des personnes et le contrôle exercé par la CNIL
La commission relève que le droit d’information prévu au I de l’article 32 et le droit d’opposition prévu à l’article 38 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, ne s’appliquent pas au présent traitement.

Conformément aux dispositions de l’article 41 de la même loi, le droit d’accès aux données s’exerce de manière indirecte auprès de la Commission nationale informatique et libertés.

S’agissant du contrôle exercé sur le traitement, la commission relève que le traitement EDVIGE sera soumis au contrôle prévu aux termes de l’article 44 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.

Elle prend acte de l’engagement pris par le ministère de l’intérieur de remettre tous les ans à la commission un rapport rendant compte de ses activités de vérification et d’apurement du fichier informatisé et des dossiers mécanographiques.

Sur les traitements mis en œuvre par la préfecture de police de Paris
La commission observe que le projet de décret ne fixe pas de cadre juridique pour les traitements jusqu’alors mis en œuvre par la préfecture de police de Paris.

Le président,

A. Türk

Le vice-président délégué,

G. Rosier