JORF n°0255 du 1 novembre 2012

Délibération n° 2012-295 du 13 septembre 2012

La Commission nationale de l'informatique et des libertés,

Saisie par l'ARJEL d'une demande d'avis relative à un projet de d'arrêté du ministère du budget, des comptes publics et de la réforme de l'Etat autorisant la création d'un traitement de données à caractère personnel ayant pour finalité la gestion automatisée des procédures de lutte contre les sites illégaux de jeux d'argent et de hasard ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu le code monétaire et financier, notamment ses articles L. 563-1 à L. 563-5 et R. 563-1 à R. 563-5 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-1 (2°), 38, 41 et 42 ;

Vu la loi n° 2010-476 du 12 mai 2010 relative à l'ouverture à la concurrence et à la régulation du secteur des jeux d'argent et de hasard en ligne ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2010-1504 du 7 décembre 2010 relatif aux modalités d'application du chapitre III du titre VI du livre V du code monétaire et financier portant obligations relatives à la lutte contre les loteries, jeux et paris prohibés ;

Après avoir entendu M. Dominique RICHARD, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;

Emet l'avis suivant :

La commission a été saisie par l'ARJEL d'une demande d'avis sur un projet d'arrêté portant création d'un traitement relatif à la mise en œuvre du chapitre III du titre VI du livre V du code monétaire et financier portant obligations relatives à la lutte contre les loteries, jeux et paris prohibés.

L'article R. 563-5 du code monétaire et financier prévoit, d'une part, que ce traitement de lutte contre les loteries, jeux et paris prohibés est mis en œuvre pour le compte de l'Etat et, d'autre part, qu'il est pris après avis de la CNIL en application du 2° du I de l'article 26 de la loi du 6 janvier 1978 modifiée.

En effet, l'article 26-1 (2°) dispose que sont autorisés par arrêté du ministre compétent, pris après avis motivé et publié de la CNIL, les traitements mis en œuvre pour le compte de l'Etat et qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales.

Le traitement sera mis en œuvre par l'Autorité de régulation des jeux en ligne (ARJEL), autorité administrative indépendante chargée notamment de la délivrance des agréments aux opérateurs de jeux et paris en ligne et de la participation à la lutte contre les sites illégaux.

Sur la finalité du traitement :
Le traitement a pour finalité de mettre en œuvre et d'assurer le suivi des procédures de lutte contre les sites illégaux de jeux d'argent et de hasard.
Les mesures pénales, civiles et administratives de lutte contre les sites illégaux de jeux d'argent sont prévues par le chapitre XII de la loi n° 2010-476 du 12 mai 2010 (ci-après la « loi »).
Cette loi sanctionne pénalement toute personne, physique ou morale, proposant une offre de paris ou de jeux d'argent et de hasard en ligne sans être titulaire de l'agrément délivré par l'ARJEL qui peut dénoncer au procureur de la République tout fait dont elle a connaissance.
Le traitement a pour objectifs la mise en œuvre et le suivi :
― de l'identification des offres illicites de jeux ou paris en ligne des opérateurs proposant ces offres et des personnes qui hébergent ces sites au sens du 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 ;
― du signalement des faits susceptibles de recevoir une qualification pénale au procureur de la République et des échanges subséquents ;
― de la gestion des mises en demeure adressées aux opérateurs illégaux ;
― des procédures civile et administrative prévues respectivement à l'article 61 de la loi n° 2010-476 du 12 mai 2010 susvisée et aux articles L. 563-1 et suivants du code monétaire et financier ;
― des demandes d'arrêt de l'accès aux offres illicites de jeux ou paris en ligne aux personnes visées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 susvisée, à savoir les fournisseurs d'accès à internet et les hébergeurs de sites illégaux ;
― des demandes tendant à faire cesser le référencement des sites illégaux par un moteur de recherche ou un annuaire.
La commission relève que ces finalités sont légitimes et correspondent aux missions dévolues à l'ARJEL en application de la loi n° 2010-476 du 12 mai 2010 et des dispositions du code monétaire et financier.
Sur les données traitées :
L'article 2 du projet d'arrêté prévoit que les données ou catégories de données à caractère personnel susceptibles d'être traitées sont relatives :
― à l'identité de l'opérateur de jeux ou paris en ligne faisant l'objet de la procédure (nom, prénom, adresse) ;
― à l'identité de l'hébergeur du site de l'opérateur, des fournisseurs d'accès à internet, des moteurs de recherches et des annuaires ;
― aux référencements bancaires permettant de mettre en œuvre le blocage des flux financiers (coordonnées bancaires de l'opérateur de jeux ou paris en ligne faisant l'objet de la procédure) ;
― aux données de connexion de l'opérateur de jeux ou paris en ligne concerné (identifiants de terminaux, identifiants de connexions) ;
― aux infractions par l'opérateur de jeux ou de paris en ligne concerné et aux sanctions contre celui-ci.
Les informations collectées sont susceptibles de porter sur des personnes physiques. A ce titre, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.
Sur les destinataires des données :
Seuls pourront accéder aux données contenues dans le traitement les agents habilités dans le cadre de leurs missions, à savoir :
― les agents habilités et assermentés de l'ARJEL ;
― les agents des douanes (alinéa 5 de l'article 59 de la loi) ;
― le procureur de le République (par application du IV de l'article 44 de la loi) ;
― l'administration fiscale (en vertu du dernier alinéa de l'article 59 de la loi) ;
― les services compétents du ministère chargé du budget aux fins de mise en œuvre de la procédure décrites aux articles L. 563-1 et suivants du COMEFI.
La commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.
Sur les durées de conservation des données :
La durée de conservation est de cinq ans à compter de la date de constatation, par voie de procès-verbal, de l'existence d'une offre de jeux ou de paris en ligne illégale sur le territoire français, sous réserve qu'une procédure judiciaire soit en cours.
Cette durée de conservation est portée à dix ans à compter du prononcé d'une condamnation judiciaire définitive ou d'une sanction administrative lorsque de telles condamnations ou sanctions sont prononcées.
Sur l'information et les droits des personnes concernées :
Conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée, les obligations en matière d'information incombant aux responsables de traitement ne s'appliquent pas aux traitements ayant pour objet « la prévention, la recherche ou la poursuite d'infractions pénales ».
Une information sera toutefois délivrée aux personnes sur le site internet de l'ARJEL afin de les informer de leurs droits.
Le traitement étant susceptible de porter sur des personnes physiques, le projet d'arrêté prévoit, en application des articles 41 et 42 de la loi du 6 janvier 1978 modifiée, un droit d'accès indirect aux données.
Conformément au dernier alinéa de l'article 38, le droit des personnes de s'opposer à ce que des données personnelles fassent l'objet d'un traitement ne s'applique pas.
Sur les sécurités des données et la traçabilité des actions :
Le traitement déclaré par l'ARJEL consiste en la mise en place d'un « Wiki » : plate-forme semblable à un site web dont les pages sont modifiables par les agents afin de permettre le partage des informations produites par ceux-ci.
Il sera mis en œuvre sur le réseau intranet de l'ARJEL qui n'est pas relié à internet. Aucun service internet externe ou de messagerie n'est accessible via ce réseau. La gestion des supports amovibles est réservée aux seuls agents autorisés. Seule l'impression papier ou l'export d'enregistrements individuels pourraient servir à l'exfiltration de données du traitement, ce qui représente des garanties fortes de protection contre la compromission de données.
Tout export à fin de transmission externe est tracé, strictement encadré et fait appel à des certificats pour authentifier et sécuriser les échanges.
L'authentification des utilisateurs amenés à se connecter est d'un niveau de qualité répondant aux exigences édictées par l'ANSSI, notamment en ce qui concerne la structure des mots de passe.
L'utilisation de journaux du serveur est prévue afin de garantir une traçabilité des accès aux ressources présentes sur le Wiki. La traçabilité générale des accès à l'application s'appuie sur la journalisation native du serveur Apache et de l'application « Dokuwiki » permettant ainsi d'assurer la traçabilité des modifications effectuées sur le contenu. Les données de traçabilité sont conservées deux ans et sont accessibles par le directeur des enquêtes et contrôles et par le directeur des systèmes d'information et de l'évaluation.
La confidentialité des échanges est assurée par le recours au protocole SSL. L'ensemble des certificats mis en œuvre sont générés au sein même de l'ARJEL via leur infrastructure de gestion de clés (IGC), basée elle-même sur des matériels certifiés par l'ANSSI.
La commission considère que les mesures mises en œuvre sont satisfaisantes.

1 version

La présidente,

I. Falque-Pierrotin