JORF n°0272 du 24 novembre 2011

La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitement de données à caractère personnel, et notamment son article 26-1 (2°) ;
Vu le code rural et de la pêche maritime, notamment son livre IX ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;
Après avoir entendu M. Claude Domeizel, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'agriculture, de l'alimentation, de la pêche, de la ruralité et de l'aménagement du territoire (MAAPRAT) d'une demande d'avis portant sur la création d'un registre national des infractions à la politique commune de la pêche (RNIP).
La création du RNIP est prévue par l'article 93 du règlement (CE) 1221/2009 du Conseil du 20 novembre 2009 instituant un régime communautaire de contrôle afin d'assurer le respect des règles de la politique commune de la pêche.
L'objet de ce registre est de recenser l'ensemble des infractions aux règles de la politique commune de la pêche commises par des navires battant pavillon français ou par des ressortissants français ainsi que les sanctions qui leur sont infligées. Il doit permettre l'instruction des demandes de licence de pêche et le suivi du système de points de pénalité pour les infractions graves prévu à l'article 92 du règlement précité.
Ce registre doit également permettre l'exploitation des données à des fins de recherches statistiques.
Sur les données collectées :
Les données enregistrées sont les suivantes :
― identité (nom, nom marital, nom d'emprunt officiel, prénoms, sexe) ;
― date et lieu de naissance ;
― nationalité ; adresse(s) ;
― profession(s) ;
― nom, numéro d'immatriculation et pavillon du navire ;
― titre de navigation permettant l'exercice du commandement du navire ;
― nature, date de l'infraction et suite donnée ;
― points de pénalité attribués.
Sur les destinataires des données :
Sont destinataires des données du traitement les personnels habilités :
― de la direction des pêches maritimes et de l'aquaculture (DPMA) ;
― des directions interrégionales de la mer (DIRM) et du Centre national de surveillance des pêches (CNSP) ;
― des directions de la mer (DM) ;
― des directions départementales interministérielles (DDI) ;
― des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) ;
― les présidents des juridictions de jugement ;
― les juges de la liberté et de la détention ;
― les magistrats instructeurs ;
― les magistrats du parquet.
Sur la durée de conservation des données :
Les données sont conservées pendant un délai de cinq ans à compter de la date de la dernière décision judiciaire ou administrative ou, à défaut, de la constatation des faits.
Sur l'information et les droits des personnes :
La commission rappelle qu'il appartient au responsable de traitement, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, d'informer les personnes concernées préalablement à la mise en œuvre du traitement :
― de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
― de la finalité poursuivie par le traitement auquel les données sont destinées ;
― des destinataires ou catégories de destinataires des données, et notamment, en l'espèce, les organisations interprofessionnelles ;
― de l'existence des droits d'accès, de rectification et d'opposition.
Interrogé sur les modalités d'information des personnes concernées, le ministère a indiqué que ces dernières sont informées de la façon suivante :
― pour les sanctions administratives : via le courrier de notification de la sanction ;
― pour les sanctions judiciaires : via le procès-verbal établi lors du contrôle donnant lieu à sanction.
Le droit d'accès prévu à l'article 39 de la loi du 6 janvier 1978 modifiée s'exerce auprès de la direction des pêches maritimes et de l'aquaculture (DPMA).
Le droit d'opposition prévu à l'article 38 de ladite loi ne s'applique pas au présent traitement.
Sur les sécurités :
La commission prend acte de la décision du ministère de mettre en place un système de journalisation des opérations de consultation et de modification du fichier.
Concernant les finalités statistiques du traitement, la commission recommande de mettre en place des mesures techniques permettant de garantir le caractère anonyme des données traitées (utilisation d'algorithmes de hachage recommandés par l'ANSSI...).
La commission relève que la complexité des mots de passe que le ministère prévoit d'utiliser ne suit pas ses recommandations, elle demande donc au ministère de se conformer à ses recommandations.
Enfin, elle constate que si l'arrêté prévoit la possibilité de transmettre des données aux autorités compétentes des autres pays de l'Union européenne, le ministère n'a apporté aucune précision sur les modalités techniques de cette transmission. La commission rappelle donc que ces transmissions de données doivent être faites de façon chiffrée, afin de garantir la confidentialité des données échangées.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitement de données à caractère personnel, et notamment son article 26-1 (2°) ;

Vu le code rural et de la pêche maritime, notamment son livre IX ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-451 du 25 mars 2007 ;

Après avoir entendu M. Claude Domeizel, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

La commission a été saisie par le ministère de l'agriculture, de l'alimentation, de la pêche, de la ruralité et de l'aménagement du territoire (MAAPRAT) d'une demande d'avis portant sur la création d'un registre national des infractions à la politique commune de la pêche (RNIP).

La création du RNIP est prévue par l'article 93 du règlement (CE) 1221/2009 du Conseil du 20 novembre 2009 instituant un régime communautaire de contrôle afin d'assurer le respect des règles de la politique commune de la pêche.

L'objet de ce registre est de recenser l'ensemble des infractions aux règles de la politique commune de la pêche commises par des navires battant pavillon français ou par des ressortissants français ainsi que les sanctions qui leur sont infligées. Il doit permettre l'instruction des demandes de licence de pêche et le suivi du système de points de pénalité pour les infractions graves prévu à l'article 92 du règlement précité.

Ce registre doit également permettre l'exploitation des données à des fins de recherches statistiques.

Sur les données collectées :

Les données enregistrées sont les suivantes :

― identité (nom, nom marital, nom d'emprunt officiel, prénoms, sexe) ;

― date et lieu de naissance ;

― nationalité ; adresse(s) ;

― profession(s) ;

― nom, numéro d'immatriculation et pavillon du navire ;

― titre de navigation permettant l'exercice du commandement du navire ;

― nature, date de l'infraction et suite donnée ;

― points de pénalité attribués.

Sur les destinataires des données :

Sont destinataires des données du traitement les personnels habilités :

― de la direction des pêches maritimes et de l'aquaculture (DPMA) ;

― des directions interrégionales de la mer (DIRM) et du Centre national de surveillance des pêches (CNSP) ;

― des directions de la mer (DM) ;

― des directions départementales interministérielles (DDI) ;

― des directions régionales des entreprises, de la concurrence, de la consommation, du travail et de l'emploi (DIRECCTE) ;

― les présidents des juridictions de jugement ;

― les juges de la liberté et de la détention ;

― les magistrats instructeurs ;

― les magistrats du parquet.

Sur la durée de conservation des données :

Les données sont conservées pendant un délai de cinq ans à compter de la date de la dernière décision judiciaire ou administrative ou, à défaut, de la constatation des faits.

Sur l'information et les droits des personnes :

La commission rappelle qu'il appartient au responsable de traitement, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, d'informer les personnes concernées préalablement à la mise en œuvre du traitement :

― de l'identité du responsable du traitement et, le cas échéant, de celle de son représentant ;

― de la finalité poursuivie par le traitement auquel les données sont destinées ;

― des destinataires ou catégories de destinataires des données, et notamment, en l'espèce, les organisations interprofessionnelles ;

― de l'existence des droits d'accès, de rectification et d'opposition.

Interrogé sur les modalités d'information des personnes concernées, le ministère a indiqué que ces dernières sont informées de la façon suivante :

― pour les sanctions administratives : via le courrier de notification de la sanction ;

― pour les sanctions judiciaires : via le procès-verbal établi lors du contrôle donnant lieu à sanction.

Le droit d'accès prévu à l'article 39 de la loi du 6 janvier 1978 modifiée s'exerce auprès de la direction des pêches maritimes et de l'aquaculture (DPMA).

Le droit d'opposition prévu à l'article 38 de ladite loi ne s'applique pas au présent traitement.

Sur les sécurités :

La commission prend acte de la décision du ministère de mettre en place un système de journalisation des opérations de consultation et de modification du fichier.

Concernant les finalités statistiques du traitement, la commission recommande de mettre en place des mesures techniques permettant de garantir le caractère anonyme des données traitées (utilisation d'algorithmes de hachage recommandés par l'ANSSI...).

La commission relève que la complexité des mots de passe que le ministère prévoit d'utiliser ne suit pas ses recommandations, elle demande donc au ministère de se conformer à ses recommandations.

Enfin, elle constate que si l'arrêté prévoit la possibilité de transmettre des données aux autorités compétentes des autres pays de l'Union européenne, le ministère n'a apporté aucune précision sur les modalités techniques de cette transmission. La commission rappelle donc que ces transmissions de données doivent être faites de façon chiffrée, afin de garantir la confidentialité des données échangées.