JORF n°0215 du 15 septembre 2021

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Article 10-6 du Code de procédure pénale - Projet de décret - Traité SIVAC

Résumé La CNIL a donné son avis sur un projet de décret pour créer un système appelé "SIVAC", qui aidera à identifier et soutenir les victimes de terrorisme et autres catastrophes.

(DEMANDE D'AVIS NO 21001458)

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information interministériel des victimes d'attentats et de catastrophes » (SIVAC) et modifiant le code de procédure pénale ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code de procédure pénale, notamment son article 10-6 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Christine MAUGÜÉ, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
Le projet de décret soumis pour avis à la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») vise à créer un traitement de données à caractère personnel dénommé « système d'information interministériel des victimes d'attentats et de catastrophes » (SIVAC).
Ce traitement a pour objet de permettre à différents acteurs d'échanger les informations nécessaires à l'aide aux victimes d'attentats ou de catastrophes afin d'améliorer les conditions de leur prise en charge et de leur suivi.
Sur le périmètre et les conditions générales de mise en œuvre du dispositif
En premier lieu, la Commission relève que l'article 10-6 du code de procédure pénale (CPP) prévoit que les administrations, au sens de l'article L. 100-3 du code des relations entre le public et l'administration (CRPA), intervenant dans la gestion de la crise, la prise en charge des victimes de ces événements, leur accompagnement ou la mise en œuvre de leurs droits, les parquets et les juridictions en charge de la procédure ainsi que les associations d'aide aux victimes agréées au sens du dernier alinéa de l'article 41 du CPP peuvent échanger entre elles les données, informations ou documents strictement nécessaires à la conduite de ces missions ainsi qu'à l'information des personnes présentes sur les lieux des événements et de leurs proches. Le ministère a indiqué qu'il interprète largement l'expression « gestion de la crise » et estime que ces échanges doivent permettre et faciliter la prise en charge adaptée de toutes les personnes présentes et de leurs proches.
L'article 1er du projet de décret précise que le traitement « SIVAC » concernera à ce titre les événements survenant sur le territoire de la République française ou ceux qui, survenant hors du territoire impliquent des ressortissants français et des personnes étrangères résidant régulièrement en France.
La Commission observe que le système d'information interministériel « SIVAC » sera alimenté par des flux en provenance d'applications « partenaires » intervenant dans les missions de dénombrement, d'aide à l'identification, d'accompagnement et d'information des victimes et de leurs proches. Ces applications sont les suivantes :

- SINUS (système d'information numérique standardisé), SIVIC (système d'identification unique des victimes géré par le ministère de la santé), Crisenet et CriseCIAV (qui a vocation à être remplacée par une cellule interministérielle d'information du public et d'aide aux victimes (C2IPAV) gérée par le ministère de l'intérieur) pour tout type d'évènement ;
- le logiciel du fonds de garantie des victimes des actes de terrorisme et d'autres infractions (FGTI) ainsi que l'application « IPG » de France victimes dans le cadre d'un acte terroriste.

Elle prend acte de ce que le dispositif projeté ne comporte que des flux d'information des applications « partenaires » vers « SIVAC » et qu'aucune transmission d'informations depuis « SIVAC » vers les applications « partenaires » ne sera possible. De manière générale, elle rappelle que les différents traitements précités devront, le cas échéant, être modifiés afin de prévoir expressément la transmission de données à caractère personnel vers le traitement « SIVAC ».
La Commission souligne ainsi que le traitement « SIVAC » a vocation à centraliser de nombreuses données, dont certaines pouvant présenter une sensibilité particulière, tel que le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR). Elle rappelle, au regard du volume de données susceptibles d'être traitées et de leur nature, que des mesures juridiques et techniques adaptées doivent être prévues afin d'assurer un haut niveau de protection de celles-ci.
En second lieu, s'agissant du périmètre du traitement « SIVAC », la Commission prend acte de ce qu'il sera activé :

- dès lors que l'autorité compétente « estime que les moyens habituels pourraient ne pas suffire à assurer une gestion correcte de l'évènement et une bonne prise en charge des victimes », ce qui aura pour conséquence l'utilisation des applications « partenaires » (et non à partir d'un seuil qui serait déterminé en fonction du nombre de victimes) ;
- manuellement sous l'autorité du parquet national anti-terroriste (PNAT) ou du centre de crise et de soutien du ministère de l'Europe et des affaires étrangères lors d'évènements terroristes.

Si le périmètre du dispositif projeté apparaît large, elle prend acte des précisions du ministère selon lesquelles l'alimentation de « SIVAC » se fera en deux temps. Dans un premier temps, ce traitement sera alimenté par des informations concernant l'existence d'évènements gérés par les applications « partenaires » mais ne contiendra pas de données à caractère personnel relatives aux personnes enregistrées dans ces applications. En dehors du cas particulier des évènements liés à des actes terroristes pour lesquels « SIVAC » pourra être déclenché directement sur saisie manuelle sous l'autorité du parquet national anti-terroriste (PNAT) ou du centre de crise et de soutien du ministère de l'Europe et des affaires étrangères, ce n'est que dans un second temps que la transmission des données nominatives des personnes concernées à « SIVAC » pourra être réalisée. La Commission relève que cette transmission sera alors conditionnée à la décision de l'autorité compétente (parquet ou, dans les cas où une catastrophe ne nécessite pas d'enquête du parquet, cellule d'information activée pour les crises) de recourir à ce traitement pour l'évènement en cause.
Sur le régime juridique applicable et les finalités du traitement projeté
Le traitement « SIVAC » a pour objet d'organiser les échanges d'information afin « de prendre en charge les victimes, dans toutes les composantes que recouvre l'aide aux victimes : information, accompagnement, mise en œuvre des droits » et relève ainsi du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).
A cet égard, la Commission prend également acte de ce que les données enregistrées dans « SIVAC » ne seront pas utilisées pour permettre des recoupements à des fins de poursuites pénales.
Dans ces conditions, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées
L'article 1er du projet de décret prévoit les catégories de données à caractère personnel et informations susceptibles d'être enregistrées dans le traitement en fonction des catégories de personnes concernées : les personnes recherchées et les personnes ayant pris attache avec les cellules d'information, les personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches ainsi que les personnes victimes et leurs proches, et les accédants au traitement.
A titre liminaire, la Commission observe que la notion de « proches » est utilisée à la fois au 2° (personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches) et au 3° (personnes victimes et leurs proches) du projet d'article R. 2-15-1. Elle prend acte que, dans le cadre du 3° de cette disposition, la notion de « proches » peut aussi viser les « victimes indirectes ». A cet égard, elle s'interroge dès lors sur le périmètre de cette notion et considère qu'elle devrait être précisée dans le projet de décret, notamment si les 2° et 3° de l'article R. 2-15-1 du projet de décret n'ont pas vocation à viser les mêmes catégories de personnes.
En premier lieu, la Commission relève que, s'agissant des personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches ainsi que des personnes victimes et leurs proches, pourront notamment être collectées à partir de l'application « SIVIC » « les données administratives relatives au type de prise en charge sanitaire, y compris médico-psychologique ».
En ce qui concerne la nature des données collectées dans le cadre du traitement « SIVAC », la Commission relève que selon le ministère, le traitement projeté ne comporte pas de données dites « sensibles » au sens du RGPD. Interrogé sur ce point, le ministère considère en particulier qu'aucune donnée concernant la santé des personnes prises en charge n'est collectée et que seules des « données administratives » sont collectées et traitées.
La Commission observe qu'il est précisé par le considérant 35 du RGPD que les données à caractère personnel concernant la santé « devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».
La Commission relève que plusieurs informations enregistrées dans « SIVAC » sont de nature à révéler, dans certains cas, des informations sur l'état de santé physique ou mentale des personnes (la date de prise en charge par l'établissement de santé, l'hôpital de destination, la prise en charge par une CUMP, la dénomination et l'adresse de l'hôpital actuel, l'état hospitalier, le fait que la personne est inconsciente ou encore le statut hospitalier). Elle observe aussi que, dans la catégorie des données relatives aux droits des victimes, pourra être collecté le « taux d'invalidité » attribué selon le barème de la sous-direction des pensions du ministère des armées.
Dans ces conditions, la Commission considère que des données relatives à la santé sont bien collectées et traitées dans le cadre de « SIVAC ». Elle invite le ministère à préciser le projet de décret et l'analyse d'impact relative à la protection des données (AIPD) en ce sens et prend acte de son engagement sur ce point. Elle estime également que le ministère devra tirer toutes les conséquences de la présence de telles données dans « SIVAC » en matière d'accès à ces données sensibles.
En deuxième lieu, la Commission attire en conséquence l'attention du ministère sur l'articulation de la transmission d'informations à « SIVAC » par les applications « partenaires » avec le secret médical, tel que protégé à l'article L. 1110-4 du code de la santé publique, en particulier pour les données qui seront transmises par « SIVIC » et « SINUS » et l'accès à ces données reconnu dans « SIVAC » à certains personnels, fussent-ils tenus au secret professionnel, autres que les professionnels habilités qui prennent en charge les personnes concernées. A cet égard, la Commission rappelle qu'en vertu de cette disposition, les informations recueillies par un établissement de santé, à l'occasion d'un acte de prévention, de diagnostic ou de soins sont protégées par le secret professionnel et que seule une dérogation légale à cette règle, autorise un professionnel à accéder aux données couvertes par le secret médical. Au regard de ces éléments, si elle relève que l'article L. 3131-9-1 du code de la santé publique prévoit la transmission de telles données aux agents désignés au sein des agences régionales de santé et des ministères compétents dans le but d'assurer la gestion de l'événement ainsi que le suivi des victimes, elle estime qu'il reviendra au ministère de s'assurer que les personnels non visés par l'article ci-dessus qui pourront avoir connaissance des données couvertes par le secret médical auront bien le droit d'en connaître.
En troisième lieu, la Commission observe que le projet de décret prévoit la collecte d'identifiants attribués dont le NIR pour les personnes victimes et leurs proches.
La Commission observe tout d'abord que les différents identifiants qui pourront être collectés dans « SIVAC », dont le NIR, ne pourront être accessibles que par les acteurs qui ont strictement le droit d'en connaître dans le cadre de leurs missions et ne pourront pas être accessibles par tous les utilisateurs de « SIVAC ».
En outre, elle rappelle que les spécificités du NIR, et notamment son caractère signifiant, justifient que le recours à cet identifiant reste strictement encadré par la loi du 6 janvier 1978 modifiée et limité aux finalités pour lesquelles son utilisation est permise aux termes du décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire.
La Commission prend acte de ce que les caisses d'assurance maladie, les caisses d'allocations familiales, la sous-direction des pensions du ministère des armées, les employeurs de personnels des forces d'intervention blessés ou décédés ainsi que le FGTI, qui peuvent déjà avoir connaissance du NIR au titre du décret n° 2019-341 précité, souhaitent pouvoir utiliser le NIR dans le cadre du traitement « SIVAC » afin de procéder à l'identification des individus impliqués dans les événements mentionnés à l'article 10-6 du CPP. Elle prend également acte que le NIR ne pourra être traité que par ces acteurs dans le cadre de « SIVAC ».
Au regard de ces éléments, la Commission s'interroge sur l'utilisation projetée du NIR pour les proches des victimes. Elle rappelle, en tout état de cause, que l'utilisation du NIR dans « SIVAC » ne pourra se faire qu'en conformité avec le décret n° 2019-341 précité et que, à défaut et en l'absence de modification de ce décret-cadre, le NIR ne pourra pas être traité et prend acte qu'une modification du décret est envisagée en ce sens.
La Commission relève également que d'autres identifiants pourront être collectés, à savoir l'identifiant attribué à la personne dans l'application d'origine, l'identifiant attribué à la personne concernée dans « SIVAC », voire son numéro fiscal.
Sur ce point, elle prend acte de ce que la collecte du numéro fiscal ne concernera que les personnes victimes d'actes de terrorisme et considère que cela pourrait être utilement précisé dans le projet de décret. Elle relève que le numéro fiscal permettra à la direction générale des finances publiques (DGFiP) de le communiquer aux directions départementales des finances publiques (DDFiP), en complément de l'identité et des coordonnées des personnes concernées, afin d'écarter tout risque d'homonymie et permettre de localiser les victimes dans l'ensemble des départements où elles sont imposées. Elle prend également acte que seules la DGFiP et les DDFiP pourront avoir connaissance de ce numéro fiscal. Au regard de ce qui précède, si la Commission observe qu'il pourra ainsi y avoir une collecte et une utilisation simultanée du numéro fiscal et du NIR des personnes concernées dans « SIVAC », elle relève toutefois que ces deux numéros seront sectorisés dans le traitement et ne seront pas accessibles par les mêmes acteurs, qui ont besoin soit du NIR soit de ce numéro fiscal afin notamment de permettre une identification certaine de la personne prise en charge.
Les autres catégories de données n'appellent pas d'observation de la part de la Commission.
Dans ces conditions, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires
L'article 1er du projet de décret énumère les accédants et les destinataires au traitement « SIVAC » en fonction de la nature des données enregistrées dans ce traitement et de leur besoin d'en connaître.
De manière générale, la Commission prend acte de ce que « SIVAC » ne sera pas utilisé par les opérateurs des cellules d'information amenés, dans le cadre de ce type d'événements, à renseigner les proches d'une victime.
Elle prend également acte des précisions apportées par le ministère, à savoir que le nombre total d'accédants au traitement sera d'environ sept mille et que l'ouverture des accès se fera de manière progressive, sur plusieurs années en fonction des priorités retenues et afin de « permettre une montée en charge correcte et la réalisation des ajustements éventuellement nécessaires ».
En ce qui concerne les destinataires des données à caractère personnel contenues dans « SIVAC », la Commission prend acte de ce qu'il s'agira des cent-une directions départementales de la direction générale des finances publiques pour les victimes des actes terroristes ainsi que des administrations étrangères assurant les mêmes missions pour leurs ressortissants.
Compte tenu de ce qui précède et du nombre particulièrement important d'accédants et de destinataires des données du traitement, la Commission appelle l'attention du ministère sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels pouvant accéder au traitement et être destinataires des données qu'il contient. Si elle prend acte de la mise en place de différents profils d'habilitation, elle considère, de manière générale, qu'une réflexion devrait être menée sur la nécessité de rendre l'ensemble de ces personnels accédants au traitement ou destinataires de tout ou partie des données qu'il contient et ce, afin d'encadrer plus strictement ces accès pour limiter les risques.
En second lieu, la Commission relève qu'il ressort des précisions apportées par le ministère de la justice que la direction des affaires criminelles et des grâces (DACG) disposera d'un compte utilisateur lui permettant uniquement un accès aux données statistiques produites. Elle prend acte de ce que cette direction ne pourra accéder qu'à des données agrégées qui ne contiennent plus de données à caractère personnel et que, pour cette raison, elle n'est pas mentionnée dans le projet de décret au titre des accédants au traitement.
Sur les durées de conservation des données
Le projet d'article R. 2-15-3 du CPP précise les durées de conservation des données enregistrées dans le traitement « SIVAC », lesquelles peuvent être comprises entre six mois et trente ans.
La Commission prend acte de que ces durées de conservation ont été déterminées en prenant en compte les délais de prescription et les durées légales liés au droit des victimes.
En tout état de cause, elle prend également acte de ce que, dans l'éventualité où une personne ne peut plus bénéficier du statut de victime car elle est qualifiée d'« auteur supposé », une décision de l'autorité concernée pourra conduire à une suppression anticipée des données relatives à cette personne dans le traitement.
En outre, la Commission relève qu'il ressort des éléments transmis par le ministère que des données pseudonymisées peuvent être conservées pour une durée de quinze ans après la date de l'évènement afin de permettre d'afficher sur cette période des statistiques homogènes. Cette durée de conservation n'apparaissant pas dans le projet de décret qui lui a été soumis pour avis, elle demande qu'il soit complété et prend acte de l'engagement du ministère sur ce point.
Dans ces conditions, la Commission considère que les durées de conservation des données prévues par le projet de décret ne sont pas excessives.
Sur les droits des personnes
A titre liminaire, de manière générale, la Commission s'interroge sur l'articulation des droits des personnes concernées tels que prévus dans « SIVAC » avec les modalités d'exercice des droits de ces mêmes personnes déterminées dans le cadre des applications « partenaires ». Elle considère qu'une réflexion devrait être menée sur ce point à des fins de cohérence.
En premier lieu, s'agissant de l'information des personnes concernées, la Commission prend acte de ce que le ministère a souhaité adapter les modalités d'information à la situation vécue par les personnes concernées en privilégiant « une information par étapes ». Ainsi, les notices d'information qui seront remises aux personnes concernées par les applications « partenaires » ainsi que les courriers adressés par le service de l'accès au droit et à la justice et de l'aide aux victimes (SADJAV) du ministère de la justice mentionneront l'existence de « SIVAC » ainsi que les modalités d'exercice des droits et l'adresse web où trouver toutes les autres mentions d'informations prévues par l'article 14 du RGPD.
La Commission prend acte de ce que les possibles transferts de données pour les ressortissants étrangers seront indiqués dans les mentions d'information publiées sur le site web du ministère de la justice. A cet égard, à des fins de transparence pour les personnes concernées, elle considère que ces mentions d'information devraient être complétées afin de préciser le motif d'intérêt public que le ministère entend mobiliser au titre de l'article 49-1.d du RGPD pour justifier ces transferts. Elle prend acte de l'engagement du ministère sur ce point.
Compte tenu du fait que le traitement « SIVAC » est susceptible de concerner des ressortissants étrangers, elle estime qu'il pourrait être utile de fournir ces mentions d'information en plusieurs langues.
En deuxième lieu, la Commission observe que le droit d'opposition prévu à l'article 21 du RGPD est écarté par le projet de décret sur le fondement de l'article 23-1.i du RGPD pour ce qui est du traitement des données à caractère personnel de certaines personnes (personnes recherchées et ayant pris attache avec les cellules d'information, personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches, personnes victimes et leurs proches) par les personnels habilités du ministère de la justice et du service d'enquête ou de l'unité d'identification des victimes de catastrophe saisis, lorsque cette transmission ou cette consultation a pour objectif de garantir la protection des personnes. Elle prend toutefois acte de ce que les personnes concernées pourront s'opposer à la communication de leurs données à caractère personnel aux autres partenaires.
En troisième lieu, la Commission relève que les droits d'accès, de rectification, d'opposition et de limitation du traitement prévus par les articles 15 à 18 et 21 du RGPD s'exercent auprès du service en charge de l'aide aux victimes au sein du secrétariat du ministère de la justice, ce qui n'appelle pas d'observation.
Sur les transferts de données
Le projet de décret indique que des transferts de données à caractère personnel pourront être réalisés vers « les administrations étrangères assurant les mêmes missions pour leurs ressortissantes, y compris celles des pays absents de la liste prévue à l'article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 lorsqu'un motif important d'intérêt public le nécessite, conformément à l'article 49.1 du même règlement ».
La Commission prend acte de ce que les « administrations étrangères » qui pourront bénéficier de tels transferts de données sont les « services consulaires de pays étrangers compétents pour le territoire français, qui sont parfois assurés par l'ambassade ».
Elle relève que, en l'absence de décision d'adéquation en vertu de l'article 45, paragraphe 3 ou de garanties appropriées en vertu de l'article 46, un transfert de données vers les administrations étrangères concernées pourra être réalisé sur le fondement de l'article 49-1.d du RGPD. A cet égard, la Commission relève que la Convention de Vienne sur les relations consulaires du 24 avril 1963, dont la France est signataire, impose notamment en son article 37 que les postes consulaires soient tenus informés de certaines situations concernant leurs ressortissants par les autorités compétentes de l'Etat de résidence (décès, tutelle ou curatelle, naufrage et accident aérien).
S'agissant des pays non signataires de cette convention avec lesquels la France entretient des relations bilatérales, la Commission relève qu'ils ont généralement une « représentation consulaire » en France et qu'un transfert de données concernant leurs ressortissants est susceptible d'être réalisé sur le même fondement.
Au regard de ces éléments, la Commission recommande l'adoption de mesures supplémentaires de nature à garantir la sécurité et la confidentialité des données à caractère personnel des personnes concernées lors de ces transferts.
Sur les mesures de sécurité
La Commission prend acte des précisions apportées par le ministère concernant les solutions techniques utilisées afin d'assurer la sécurité et la traçabilité des données.
Elle relève que l'accès aux données à caractère personnel, qui n'est permis qu'aux seules personnes ayant le besoin d'en connaître par le biais d'un système de gestion des habilitations et des processus de gestion associés, est conforme au niveau de sécurité attendu.
La Commission observe que les comptes d'accès sont ouverts après une formation de l'utilisateur et sa signature de la charte d'utilisation et qu'une revue des droits d'accès au moins annuelle est réalisée. Elle note que la formation à l'utilisation de l'outil prévoit également une sensibilisation à la protection des données à caractère personnel.
Elle prend acte de ce que le ministère confirme le fait que le traitement en bases de données est assuré dans les centres de données du ministère de la justice et n'est pas sous-traité.
La Commission prend également acte de l'engagement du ministère de ne pas déployer les accès via Internet avant que ne soient mises en œuvre les cartes agents ou bien une authentification multi-factorielle.
Elle relève que le ministère confirme la mise en œuvre de solutions de chiffrements en conformité avec les exigences du RGS.
S'agissant de la traçabilité, la Commission constate la mise en œuvre d'une remontée d'alertes établies à partir des événements redoutés permettant de réagir rapidement à toute anomalie.
Les autres mesures de sécurité n'appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues à l'article 57 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.


Historique des versions

Version 1

(DEMANDE D'AVIS NO 21001458)

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « système d'information interministériel des victimes d'attentats et de catastrophes » (SIVAC) et modifiant le code de procédure pénale ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

Vu le code de procédure pénale, notamment son article 10-6 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de Mme Christine MAUGÜÉ, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l'avis suivant :

Le projet de décret soumis pour avis à la Commission nationale de l'informatique et des libertés (ci-après « la Commission ») vise à créer un traitement de données à caractère personnel dénommé « système d'information interministériel des victimes d'attentats et de catastrophes » (SIVAC).

Ce traitement a pour objet de permettre à différents acteurs d'échanger les informations nécessaires à l'aide aux victimes d'attentats ou de catastrophes afin d'améliorer les conditions de leur prise en charge et de leur suivi.

Sur le périmètre et les conditions générales de mise en œuvre du dispositif

En premier lieu, la Commission relève que l'article 10-6 du code de procédure pénale (CPP) prévoit que les administrations, au sens de l'article L. 100-3 du code des relations entre le public et l'administration (CRPA), intervenant dans la gestion de la crise, la prise en charge des victimes de ces événements, leur accompagnement ou la mise en œuvre de leurs droits, les parquets et les juridictions en charge de la procédure ainsi que les associations d'aide aux victimes agréées au sens du dernier alinéa de l'article 41 du CPP peuvent échanger entre elles les données, informations ou documents strictement nécessaires à la conduite de ces missions ainsi qu'à l'information des personnes présentes sur les lieux des événements et de leurs proches. Le ministère a indiqué qu'il interprète largement l'expression « gestion de la crise » et estime que ces échanges doivent permettre et faciliter la prise en charge adaptée de toutes les personnes présentes et de leurs proches.

L'article 1er du projet de décret précise que le traitement « SIVAC » concernera à ce titre les événements survenant sur le territoire de la République française ou ceux qui, survenant hors du territoire impliquent des ressortissants français et des personnes étrangères résidant régulièrement en France.

La Commission observe que le système d'information interministériel « SIVAC » sera alimenté par des flux en provenance d'applications « partenaires » intervenant dans les missions de dénombrement, d'aide à l'identification, d'accompagnement et d'information des victimes et de leurs proches. Ces applications sont les suivantes :

- SINUS (système d'information numérique standardisé), SIVIC (système d'identification unique des victimes géré par le ministère de la santé), Crisenet et CriseCIAV (qui a vocation à être remplacée par une cellule interministérielle d'information du public et d'aide aux victimes (C2IPAV) gérée par le ministère de l'intérieur) pour tout type d'évènement ;

- le logiciel du fonds de garantie des victimes des actes de terrorisme et d'autres infractions (FGTI) ainsi que l'application « IPG » de France victimes dans le cadre d'un acte terroriste.

Elle prend acte de ce que le dispositif projeté ne comporte que des flux d'information des applications « partenaires » vers « SIVAC » et qu'aucune transmission d'informations depuis « SIVAC » vers les applications « partenaires » ne sera possible. De manière générale, elle rappelle que les différents traitements précités devront, le cas échéant, être modifiés afin de prévoir expressément la transmission de données à caractère personnel vers le traitement « SIVAC ».

La Commission souligne ainsi que le traitement « SIVAC » a vocation à centraliser de nombreuses données, dont certaines pouvant présenter une sensibilité particulière, tel que le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR). Elle rappelle, au regard du volume de données susceptibles d'être traitées et de leur nature, que des mesures juridiques et techniques adaptées doivent être prévues afin d'assurer un haut niveau de protection de celles-ci.

En second lieu, s'agissant du périmètre du traitement « SIVAC », la Commission prend acte de ce qu'il sera activé :

- dès lors que l'autorité compétente « estime que les moyens habituels pourraient ne pas suffire à assurer une gestion correcte de l'évènement et une bonne prise en charge des victimes », ce qui aura pour conséquence l'utilisation des applications « partenaires » (et non à partir d'un seuil qui serait déterminé en fonction du nombre de victimes) ;

- manuellement sous l'autorité du parquet national anti-terroriste (PNAT) ou du centre de crise et de soutien du ministère de l'Europe et des affaires étrangères lors d'évènements terroristes.

Si le périmètre du dispositif projeté apparaît large, elle prend acte des précisions du ministère selon lesquelles l'alimentation de « SIVAC » se fera en deux temps. Dans un premier temps, ce traitement sera alimenté par des informations concernant l'existence d'évènements gérés par les applications « partenaires » mais ne contiendra pas de données à caractère personnel relatives aux personnes enregistrées dans ces applications. En dehors du cas particulier des évènements liés à des actes terroristes pour lesquels « SIVAC » pourra être déclenché directement sur saisie manuelle sous l'autorité du parquet national anti-terroriste (PNAT) ou du centre de crise et de soutien du ministère de l'Europe et des affaires étrangères, ce n'est que dans un second temps que la transmission des données nominatives des personnes concernées à « SIVAC » pourra être réalisée. La Commission relève que cette transmission sera alors conditionnée à la décision de l'autorité compétente (parquet ou, dans les cas où une catastrophe ne nécessite pas d'enquête du parquet, cellule d'information activée pour les crises) de recourir à ce traitement pour l'évènement en cause.

Sur le régime juridique applicable et les finalités du traitement projeté

Le traitement « SIVAC » a pour objet d'organiser les échanges d'information afin « de prendre en charge les victimes, dans toutes les composantes que recouvre l'aide aux victimes : information, accompagnement, mise en œuvre des droits » et relève ainsi du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (RGPD).

A cet égard, la Commission prend également acte de ce que les données enregistrées dans « SIVAC » ne seront pas utilisées pour permettre des recoupements à des fins de poursuites pénales.

Dans ces conditions, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.

Sur les données collectées

L'article 1er du projet de décret prévoit les catégories de données à caractère personnel et informations susceptibles d'être enregistrées dans le traitement en fonction des catégories de personnes concernées : les personnes recherchées et les personnes ayant pris attache avec les cellules d'information, les personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches ainsi que les personnes victimes et leurs proches, et les accédants au traitement.

A titre liminaire, la Commission observe que la notion de « proches » est utilisée à la fois au 2° (personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches) et au 3° (personnes victimes et leurs proches) du projet d'article R. 2-15-1. Elle prend acte que, dans le cadre du 3° de cette disposition, la notion de « proches » peut aussi viser les « victimes indirectes ». A cet égard, elle s'interroge dès lors sur le périmètre de cette notion et considère qu'elle devrait être précisée dans le projet de décret, notamment si les 2° et 3° de l'article R. 2-15-1 du projet de décret n'ont pas vocation à viser les mêmes catégories de personnes.

En premier lieu, la Commission relève que, s'agissant des personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches ainsi que des personnes victimes et leurs proches, pourront notamment être collectées à partir de l'application « SIVIC » « les données administratives relatives au type de prise en charge sanitaire, y compris médico-psychologique ».

En ce qui concerne la nature des données collectées dans le cadre du traitement « SIVAC », la Commission relève que selon le ministère, le traitement projeté ne comporte pas de données dites « sensibles » au sens du RGPD. Interrogé sur ce point, le ministère considère en particulier qu'aucune donnée concernant la santé des personnes prises en charge n'est collectée et que seules des « données administratives » sont collectées et traitées.

La Commission observe qu'il est précisé par le considérant 35 du RGPD que les données à caractère personnel concernant la santé « devraient comprendre l'ensemble des données se rapportant à l'état de santé d'une personne concernée qui révèlent des informations sur l'état de santé physique ou mentale passé, présent ou futur de la personne concernée ».

La Commission relève que plusieurs informations enregistrées dans « SIVAC » sont de nature à révéler, dans certains cas, des informations sur l'état de santé physique ou mentale des personnes (la date de prise en charge par l'établissement de santé, l'hôpital de destination, la prise en charge par une CUMP, la dénomination et l'adresse de l'hôpital actuel, l'état hospitalier, le fait que la personne est inconsciente ou encore le statut hospitalier). Elle observe aussi que, dans la catégorie des données relatives aux droits des victimes, pourra être collecté le « taux d'invalidité » attribué selon le barème de la sous-direction des pensions du ministère des armées.

Dans ces conditions, la Commission considère que des données relatives à la santé sont bien collectées et traitées dans le cadre de « SIVAC ». Elle invite le ministère à préciser le projet de décret et l'analyse d'impact relative à la protection des données (AIPD) en ce sens et prend acte de son engagement sur ce point. Elle estime également que le ministère devra tirer toutes les conséquences de la présence de telles données dans « SIVAC » en matière d'accès à ces données sensibles.

En deuxième lieu, la Commission attire en conséquence l'attention du ministère sur l'articulation de la transmission d'informations à « SIVAC » par les applications « partenaires » avec le secret médical, tel que protégé à l'article L. 1110-4 du code de la santé publique, en particulier pour les données qui seront transmises par « SIVIC » et « SINUS » et l'accès à ces données reconnu dans « SIVAC » à certains personnels, fussent-ils tenus au secret professionnel, autres que les professionnels habilités qui prennent en charge les personnes concernées. A cet égard, la Commission rappelle qu'en vertu de cette disposition, les informations recueillies par un établissement de santé, à l'occasion d'un acte de prévention, de diagnostic ou de soins sont protégées par le secret professionnel et que seule une dérogation légale à cette règle, autorise un professionnel à accéder aux données couvertes par le secret médical. Au regard de ces éléments, si elle relève que l'article L. 3131-9-1 du code de la santé publique prévoit la transmission de telles données aux agents désignés au sein des agences régionales de santé et des ministères compétents dans le but d'assurer la gestion de l'événement ainsi que le suivi des victimes, elle estime qu'il reviendra au ministère de s'assurer que les personnels non visés par l'article ci-dessus qui pourront avoir connaissance des données couvertes par le secret médical auront bien le droit d'en connaître.

En troisième lieu, la Commission observe que le projet de décret prévoit la collecte d'identifiants attribués dont le NIR pour les personnes victimes et leurs proches.

La Commission observe tout d'abord que les différents identifiants qui pourront être collectés dans « SIVAC », dont le NIR, ne pourront être accessibles que par les acteurs qui ont strictement le droit d'en connaître dans le cadre de leurs missions et ne pourront pas être accessibles par tous les utilisateurs de « SIVAC ».

En outre, elle rappelle que les spécificités du NIR, et notamment son caractère signifiant, justifient que le recours à cet identifiant reste strictement encadré par la loi du 6 janvier 1978 modifiée et limité aux finalités pour lesquelles son utilisation est permise aux termes du décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire.

La Commission prend acte de ce que les caisses d'assurance maladie, les caisses d'allocations familiales, la sous-direction des pensions du ministère des armées, les employeurs de personnels des forces d'intervention blessés ou décédés ainsi que le FGTI, qui peuvent déjà avoir connaissance du NIR au titre du décret n° 2019-341 précité, souhaitent pouvoir utiliser le NIR dans le cadre du traitement « SIVAC » afin de procéder à l'identification des individus impliqués dans les événements mentionnés à l'article 10-6 du CPP. Elle prend également acte que le NIR ne pourra être traité que par ces acteurs dans le cadre de « SIVAC ».

Au regard de ces éléments, la Commission s'interroge sur l'utilisation projetée du NIR pour les proches des victimes. Elle rappelle, en tout état de cause, que l'utilisation du NIR dans « SIVAC » ne pourra se faire qu'en conformité avec le décret n° 2019-341 précité et que, à défaut et en l'absence de modification de ce décret-cadre, le NIR ne pourra pas être traité et prend acte qu'une modification du décret est envisagée en ce sens.

La Commission relève également que d'autres identifiants pourront être collectés, à savoir l'identifiant attribué à la personne dans l'application d'origine, l'identifiant attribué à la personne concernée dans « SIVAC », voire son numéro fiscal.

Sur ce point, elle prend acte de ce que la collecte du numéro fiscal ne concernera que les personnes victimes d'actes de terrorisme et considère que cela pourrait être utilement précisé dans le projet de décret. Elle relève que le numéro fiscal permettra à la direction générale des finances publiques (DGFiP) de le communiquer aux directions départementales des finances publiques (DDFiP), en complément de l'identité et des coordonnées des personnes concernées, afin d'écarter tout risque d'homonymie et permettre de localiser les victimes dans l'ensemble des départements où elles sont imposées. Elle prend également acte que seules la DGFiP et les DDFiP pourront avoir connaissance de ce numéro fiscal. Au regard de ce qui précède, si la Commission observe qu'il pourra ainsi y avoir une collecte et une utilisation simultanée du numéro fiscal et du NIR des personnes concernées dans « SIVAC », elle relève toutefois que ces deux numéros seront sectorisés dans le traitement et ne seront pas accessibles par les mêmes acteurs, qui ont besoin soit du NIR soit de ce numéro fiscal afin notamment de permettre une identification certaine de la personne prise en charge.

Les autres catégories de données n'appellent pas d'observation de la part de la Commission.

Dans ces conditions, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.

Sur les accédants et les destinataires

L'article 1er du projet de décret énumère les accédants et les destinataires au traitement « SIVAC » en fonction de la nature des données enregistrées dans ce traitement et de leur besoin d'en connaître.

De manière générale, la Commission prend acte de ce que « SIVAC » ne sera pas utilisé par les opérateurs des cellules d'information amenés, dans le cadre de ce type d'événements, à renseigner les proches d'une victime.

Elle prend également acte des précisions apportées par le ministère, à savoir que le nombre total d'accédants au traitement sera d'environ sept mille et que l'ouverture des accès se fera de manière progressive, sur plusieurs années en fonction des priorités retenues et afin de « permettre une montée en charge correcte et la réalisation des ajustements éventuellement nécessaires ».

En ce qui concerne les destinataires des données à caractère personnel contenues dans « SIVAC », la Commission prend acte de ce qu'il s'agira des cent-une directions départementales de la direction générale des finances publiques pour les victimes des actes terroristes ainsi que des administrations étrangères assurant les mêmes missions pour leurs ressortissants.

Compte tenu de ce qui précède et du nombre particulièrement important d'accédants et de destinataires des données du traitement, la Commission appelle l'attention du ministère sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels pouvant accéder au traitement et être destinataires des données qu'il contient. Si elle prend acte de la mise en place de différents profils d'habilitation, elle considère, de manière générale, qu'une réflexion devrait être menée sur la nécessité de rendre l'ensemble de ces personnels accédants au traitement ou destinataires de tout ou partie des données qu'il contient et ce, afin d'encadrer plus strictement ces accès pour limiter les risques.

En second lieu, la Commission relève qu'il ressort des précisions apportées par le ministère de la justice que la direction des affaires criminelles et des grâces (DACG) disposera d'un compte utilisateur lui permettant uniquement un accès aux données statistiques produites. Elle prend acte de ce que cette direction ne pourra accéder qu'à des données agrégées qui ne contiennent plus de données à caractère personnel et que, pour cette raison, elle n'est pas mentionnée dans le projet de décret au titre des accédants au traitement.

Sur les durées de conservation des données

Le projet d'article R. 2-15-3 du CPP précise les durées de conservation des données enregistrées dans le traitement « SIVAC », lesquelles peuvent être comprises entre six mois et trente ans.

La Commission prend acte de que ces durées de conservation ont été déterminées en prenant en compte les délais de prescription et les durées légales liés au droit des victimes.

En tout état de cause, elle prend également acte de ce que, dans l'éventualité où une personne ne peut plus bénéficier du statut de victime car elle est qualifiée d'« auteur supposé », une décision de l'autorité concernée pourra conduire à une suppression anticipée des données relatives à cette personne dans le traitement.

En outre, la Commission relève qu'il ressort des éléments transmis par le ministère que des données pseudonymisées peuvent être conservées pour une durée de quinze ans après la date de l'évènement afin de permettre d'afficher sur cette période des statistiques homogènes. Cette durée de conservation n'apparaissant pas dans le projet de décret qui lui a été soumis pour avis, elle demande qu'il soit complété et prend acte de l'engagement du ministère sur ce point.

Dans ces conditions, la Commission considère que les durées de conservation des données prévues par le projet de décret ne sont pas excessives.

Sur les droits des personnes

A titre liminaire, de manière générale, la Commission s'interroge sur l'articulation des droits des personnes concernées tels que prévus dans « SIVAC » avec les modalités d'exercice des droits de ces mêmes personnes déterminées dans le cadre des applications « partenaires ». Elle considère qu'une réflexion devrait être menée sur ce point à des fins de cohérence.

En premier lieu, s'agissant de l'information des personnes concernées, la Commission prend acte de ce que le ministère a souhaité adapter les modalités d'information à la situation vécue par les personnes concernées en privilégiant « une information par étapes ». Ainsi, les notices d'information qui seront remises aux personnes concernées par les applications « partenaires » ainsi que les courriers adressés par le service de l'accès au droit et à la justice et de l'aide aux victimes (SADJAV) du ministère de la justice mentionneront l'existence de « SIVAC » ainsi que les modalités d'exercice des droits et l'adresse web où trouver toutes les autres mentions d'informations prévues par l'article 14 du RGPD.

La Commission prend acte de ce que les possibles transferts de données pour les ressortissants étrangers seront indiqués dans les mentions d'information publiées sur le site web du ministère de la justice. A cet égard, à des fins de transparence pour les personnes concernées, elle considère que ces mentions d'information devraient être complétées afin de préciser le motif d'intérêt public que le ministère entend mobiliser au titre de l'article 49-1.d du RGPD pour justifier ces transferts. Elle prend acte de l'engagement du ministère sur ce point.

Compte tenu du fait que le traitement « SIVAC » est susceptible de concerner des ressortissants étrangers, elle estime qu'il pourrait être utile de fournir ces mentions d'information en plusieurs langues.

En deuxième lieu, la Commission observe que le droit d'opposition prévu à l'article 21 du RGPD est écarté par le projet de décret sur le fondement de l'article 23-1.i du RGPD pour ce qui est du traitement des données à caractère personnel de certaines personnes (personnes recherchées et ayant pris attache avec les cellules d'information, personnes présentes ou déclarées sur les lieux de l'évènement et leurs proches, personnes victimes et leurs proches) par les personnels habilités du ministère de la justice et du service d'enquête ou de l'unité d'identification des victimes de catastrophe saisis, lorsque cette transmission ou cette consultation a pour objectif de garantir la protection des personnes. Elle prend toutefois acte de ce que les personnes concernées pourront s'opposer à la communication de leurs données à caractère personnel aux autres partenaires.

En troisième lieu, la Commission relève que les droits d'accès, de rectification, d'opposition et de limitation du traitement prévus par les articles 15 à 18 et 21 du RGPD s'exercent auprès du service en charge de l'aide aux victimes au sein du secrétariat du ministère de la justice, ce qui n'appelle pas d'observation.

Sur les transferts de données

Le projet de décret indique que des transferts de données à caractère personnel pourront être réalisés vers « les administrations étrangères assurant les mêmes missions pour leurs ressortissantes, y compris celles des pays absents de la liste prévue à l'article 45 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 lorsqu'un motif important d'intérêt public le nécessite, conformément à l'article 49.1 du même règlement ».

La Commission prend acte de ce que les « administrations étrangères » qui pourront bénéficier de tels transferts de données sont les « services consulaires de pays étrangers compétents pour le territoire français, qui sont parfois assurés par l'ambassade ».

Elle relève que, en l'absence de décision d'adéquation en vertu de l'article 45, paragraphe 3 ou de garanties appropriées en vertu de l'article 46, un transfert de données vers les administrations étrangères concernées pourra être réalisé sur le fondement de l'article 49-1.d du RGPD. A cet égard, la Commission relève que la Convention de Vienne sur les relations consulaires du 24 avril 1963, dont la France est signataire, impose notamment en son article 37 que les postes consulaires soient tenus informés de certaines situations concernant leurs ressortissants par les autorités compétentes de l'Etat de résidence (décès, tutelle ou curatelle, naufrage et accident aérien).

S'agissant des pays non signataires de cette convention avec lesquels la France entretient des relations bilatérales, la Commission relève qu'ils ont généralement une « représentation consulaire » en France et qu'un transfert de données concernant leurs ressortissants est susceptible d'être réalisé sur le même fondement.

Au regard de ces éléments, la Commission recommande l'adoption de mesures supplémentaires de nature à garantir la sécurité et la confidentialité des données à caractère personnel des personnes concernées lors de ces transferts.

Sur les mesures de sécurité

La Commission prend acte des précisions apportées par le ministère concernant les solutions techniques utilisées afin d'assurer la sécurité et la traçabilité des données.

Elle relève que l'accès aux données à caractère personnel, qui n'est permis qu'aux seules personnes ayant le besoin d'en connaître par le biais d'un système de gestion des habilitations et des processus de gestion associés, est conforme au niveau de sécurité attendu.

La Commission observe que les comptes d'accès sont ouverts après une formation de l'utilisateur et sa signature de la charte d'utilisation et qu'une revue des droits d'accès au moins annuelle est réalisée. Elle note que la formation à l'utilisation de l'outil prévoit également une sensibilisation à la protection des données à caractère personnel.

Elle prend acte de ce que le ministère confirme le fait que le traitement en bases de données est assuré dans les centres de données du ministère de la justice et n'est pas sous-traité.

La Commission prend également acte de l'engagement du ministère de ne pas déployer les accès via Internet avant que ne soient mises en œuvre les cartes agents ou bien une authentification multi-factorielle.

Elle relève que le ministère confirme la mise en œuvre de solutions de chiffrements en conformité avec les exigences du RGS.

S'agissant de la traçabilité, la Commission constate la mise en œuvre d'une remontée d'alertes établies à partir des événements redoutés permettant de réagir rapidement à toute anomalie.

Les autres mesures de sécurité n'appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues à l'article 57 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.