JORF n°0119 du 25 mai 2013

Délibération n° 2013-044 du 28 février 2013

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de l'économie et des finances d'une demande d'avis concernant un projet d'arrêté autorisant la création d'un traitement de données à caractère personnel ayant pour finalité la vidéosurveillance des locaux abritant la zone protégée du service du haut fonctionnaire de défense placé auprès du ministre de l'économie et des finances ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-l (1°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale ;

Après avoir entendu M. Emmanuel de GIVRY, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

La Commission nationale de l'informatique et des libertés a été saisie pour avis le 11 octobre 2012 par le ministère de l'économie et des finances d'un projet d'arrêté portant autorisation d'un traitement de données à caractère personnel relatif à la vidéosurveillance des locaux abritant la zone protégée du service du haut fonctionnaire de défense placé auprès du ministère de l'économie et des finances.

Le système de vidéosurveillance numérique filmant des espaces non ouverts au public dans les locaux du haut fonctionnaire de défense et de sécurité constitue un traitement automatisé de données à caractère personnel, au sens de la loi du 6 janvier 1978 modifiée.

Il y a lieu de faire application des dispositions de l'article 26-I (1°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation, par arrêté ministériel pris après avis, motivé et publié, de la Commission nationale de l'informatique et des libertés, les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et intéressant la sûreté de l'Etat, la défense ou la sécurité publique.

Sur la finalité du traitement

Le projet d'arrêté précise que le haut fonctionnaire de défense et de sécurité placé auprès du ministre de l'économie et des finances occupe une zone protégée.
Ledit bâtiment n'est pas accessible au public et est protégé, outre le dispositif de vidéosurveillance projeté, par des dispositifs de sécurité physique destinés à limiter les risques d'effraction et d'intrusion d'une personne non autorisée.
Le dispositif a pour finalité la protection des locaux abritant des informations ou des supports présentant un caractère de secret de la défense nationale.
La commission prend acte que les caméras du dispositif seront orientées vers les points d'entrée et de sortie de la partie protégée et ne filmeront pas la voie publique ni des espaces ouverts au public.
La commission prend acte que le dispositif ne comporte aucun système automatisé de reconnaissance faciale à partir des images collectées ni de captation du son.
Compte tenu des garanties ainsi apportées, la commission considère que la finalité poursuivie est déterminée, explicite et légitime.

Sur la durée de conservation des données

Les enregistrements visuels numériques sont conservés pour une durée d'un mois et sont automatiquement effacés au bout de ce délai s'ils n'ont pas fait l'objet d'une transmission à l'autorité judiciaire.
La commission considère que cette durée est conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.

Sur les destinataires des données

La consultation des images n'est réalisée qu'après le déclenchement du système d'alarme, indépendant du dispositif de vidéosurveillance. Ainsi, en cas d'intrusion ou d'infraction, les images sont consultées pour identifier la personne dont la présence et les agissements ont entraîné le déclenchement de l'alarme.
L'article 3 du projet d'arrêté précise que seuls ont accès aux données à caractère personnel, en fonction de leurs attributions respectives et du besoin d'en connaître, le responsable sécurité du lieu et le responsable informatique du service. Cet article n'appelle pas d'observation de la part de la commission.

Sur l'information des personnes

L'information des personnes concernées par la mise en œuvre du dispositif de vidéosurveillance est réalisée auprès des agents lors de leur affectation dans les locaux inscrits en zone protégée.
En tout état de cause, l'information individuelle des personnes doit contenir les finalités poursuivies par le dispositif et les modalités d'exercice des droits d'accès et de rectification des personnes concernées. Cette information des personnes doit également être réalisée par voie d'affichage visible par toutes les personnes entrant dans la zone vidéosurveillée.

Sur les droits d'accès, de rectification et d'opposition des personnes

Les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du responsable de traitement, à savoir le haut fonctionnaire de défense et de sécurité, en application du dernier alinéa de l'article 41 de ladite loi.
Le droit d'opposition ne s'applique pas au présent traitement, conformément au dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée.

Sur la sécurité des données et la traçabilité des actions

L'enregistreur des images est installé dans une zone réservée au sein de la zone protégée vidéosurveillée qui est d'accès restreint. Le serveur de stockage des données n'est accessible que par le responsable sécurité et le responsable informatique.
L'accès des destinataires au traitement est sécurisé par un identifiant et un mot de passe individuel, transmis par le responsable informatique.
Enfin, les données de journalisation sont conservées pour une durée de trente jours glissant, suivant la même durée de conservation que les données à caractère personnel traitées.

1 version

La présidente,

I. Falque-Pierrotin