La Commission nationale de l'informatique et des libertés,
Saisie par le ministre des finances et des comptes publics d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant application de l'article 67 sexies du code des douanes ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement n° 2454/93 de la commission du 2 juillet 1993 fixant certaines dispositions d'application du règlement (CEE) n° 2913/92 du Conseil établissant le code des douanes communautaires, notamment son annexe 30 bis ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des douanes communautaire ;
Vu le code des douanes, notamment ses articles 67 sexies, 414, 415 et 459 ;
Vu le code des postes et des communications électroniques, notamment son article L. 1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2014-315 du 11 mars 2014 renforçant la lutte contre la contrefaçon, notamment son article 13 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Après avoir entendu M. Jean-Luc VIVET, commissaire, en son rapport, et M. Jean­ Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie d'un projet de décret en Conseil d'Etat portant application de l'article 67 sexies du code des douanes. Cette disposition, créée par la loi n° 2014-315 du 11 mars 2014 susvisée, instaure la création, au sein de l'administration des douanes, d'un fichier informatisé, alimenté par les prestataires de fret express et les prestataires de services postaux.
Dans un contexte général de lutte contre les infractions douanières réalisées au moyen d'internet, le législateur a en effet renforcé les moyens d'action des douanes en permettant la mise en œuvre de traitements automatisés de données à caractère personnel reposant sur la transmission, par les opérateurs précités, des données dont ils disposent relatives à l'identification des marchandises, des objets acheminés et de leurs moyens de transport.
L'article 67 sexies du code des douanes prévoit qu'un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe les catégories de données à caractère personnel transmises par les entreprises de fret express et les prestataires de services postaux et qui pourront être utilisées dans les traitements mis en œuvre par la Direction générale des douanes et droits indirects (DGDDI), les modalités de transmission de ces données, leurs durées de conservation, leurs destinataires ainsi que les modalités d'exercice des droits des personnes concernées. C'est dès lors sur le fondement de cet article que le présent projet de décret est soumis pour avis à la commission.
De manière générale, la commission relève que ce projet de décret renvoie principalement aux termes de la loi et n'apporte pas de précision substantielle quant aux traitements qui seront mis en œuvre par la DGDDI. Il ne porte pas davantage création desdits traitements, lesquels feront l'objet de formalités préalables ultérieures, sur le fondement de l'article 26-1 de la loi du 6 janvier 1978 modifiée. La commission rappelle dès lors que, dans l'attente de la publication du texte réglementaire en portant création et de l'avis de la CNIL correspondant, ces traitements ne peuvent être mis en œuvre.
Sur le périmètre et les finalités du dispositif prévu à l'article 67 sexies du code des douanes :
A titre liminaire, la commission rappelle que le législateur a expressément prévu que la DGDDI soit destinataire des données dont disposent les entreprises de fret express et les prestataires de services postaux relatives à l'identification des marchandises et objets acheminés ainsi qu'à leurs moyens de transports.
En premier lieu, et s'agissant du périmètre du dispositif, le présent projet de décret reprend certaines des garanties mentionnées à l'article 67 sexies du code des douanes. Ainsi, les données relatives aux marchandises faisant l'objet d'importations en provenance d'Etats non membres de l'Union européenne ou d'exportations à destination de ces mêmes Etats ne peuvent pas être transmises par les entreprises de fret express et les prestataires de services postaux.
Interrogé sur les opérateurs concernés par ce dispositif, le ministère a précisé que La Poste est à l'heure actuelle, et au regard des dispositions de l'article L. 1 du code des postes et des communications électroniques, l'unique prestataire de service postal visé par la transmission de données prévues à l'article 67 sexies du code des douanes.
S'agissant des entreprises de fret express, la commission observe que ces opérateurs ne sont pas définis, seule l'activité d'envoi express étant désignée, aux termes de l'annexe 30 bis du règlement n° 2454/93 de la commission du 2 juillet 1993 susvisé, comme « le transport d'un article individuel par un service intégré de collecte, de transport, de dédouanement et de livraison accéléré et dans des délais précis ainsi que la localisation et le contrôle de cet article tout au long de son acheminement ». A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles la DGDDI souhaite que le dispositif prévu à l'article 67 sexies du code des douanes ne s'applique qu'à un nombre limité d'entreprises de fret express (FEDEX, UPS, DHL, Chronopost et TNT).
En deuxième lieu, l'article 1er du projet de décret renvoie aux finalités prévues à l'article 67 sexies du code des douanes, soit la constatation des infractions mentionnées aux articles 414, 415 et 459 du même code, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs.
La commission relève tout d'abord que ce dispositif porte sur de nombreuses infractions, lesquelles ne sont pas uniquement liées à la contrefaçon. S'il n'appartient plus à la commission de se prononcer sur ce point, dans la mesure où ces finalités ont été expressément prévues par le législateur, elle relève néanmoins que le projet de décret n'apporte aucune précision quant aux finalités et au fonctionnement général des traitements mentionnés à l'article 67 sexies du code des douanes.
Interrogé sur les finalités poursuivies par ces traitements, le ministère a indiqué qu'il s'agissait de permettre aux agents des douanes d'établir une cartographie de la fraude douanière réalisée sur internet.
Plus précisément, il s'agit de permettre aux analystes de la Direction nationale du renseignement douanier (DNRED) de dégager un certain nombre de tendances de fraude ainsi que leurs évolutions au travers de la réalisation d'analyses de risques. Les analyses ainsi réalisées doivent permettre d'identifier les flux des marchandises illégaux aux fins d'améliorer la connaissance des services sur les schémas de fraude et d'orienter, a posteriori, d'éventuels contrôles.
A cet égard, la commission prend acte des précisions apportées par le ministère selon lesquelles le traitement projeté n'a dès lors pas vocation à être utilisé à des fins de ciblage ou de contrôle immédiat mais bien à des fins de seule représentation des risques de fraude douanière. Elle relève également que ces traitements ne permettront pas de suivre, en temps réel, le parcours des marchandises expédiées.
A des fins de clarté, la commission considère que l'article 1er du projet de décret devrait être modifié afin de faire apparaître les finalités précises poursuivies par les traitements mis en œuvre ainsi que les différentes garanties associées.
Sur la nature des données traitées :
L'article 67 sexies du code des douanes autorise le traitement des données dont disposent les entreprises de fret express et les prestataires de services postaux et qui sont relatives à l'identification des marchandises et objets acheminés ainsi qu'à leurs moyens de transport. Ce même article prévoit expressément qu'il ne peut, en aucun cas, être porté atteinte au secret des correspondances.
La commission relève, à titre liminaire, qu'aucune donnée sensible au sens de l'article 8 de la loi du 6 janvier 1978 modifiée ne sera transmise par les opérateurs précités et ne pourra être collectée dans le cadre des traitements qui seraient mis en œuvre par la DGDDI.
L'article 2 du projet de décret énumère les catégories de données qui pourront être transmises et renseignées dans ces traitements. Il s'agit des données suivantes :

- la référence de l'envoi (LTA ou numéro de suivi et date) ;
- le pays de provenance ;
- le pays de destination ;
- la désignation des marchandises le cas échéant ;
- le colisage ;
- le poids (ou catégorie de tarification) ;
- l'adresse du destinataire et de l'expéditeur.

La commission rappelle tout d'abord que seules les données directement disponibles par les entreprises de fret express et les prestataires de services postaux pourront être transmises et traitées par la DGDDI, qui ne pourra donc pas exiger de ces organismes des investigations complémentaires.
Par ailleurs, la commission prend acte des différentes garanties qui entourent la collecte et le traitement de ces données. Elle relève tout d'abord qu'aucune donnée relative à l'identité de l'expéditeur ou du destinataire de la marchandise ou du colis ne sera transmise et donc traitée par la DGDDI dans le cadre de ses propres traitements.
De la même manière, aucune donnée nominative figurant sur les bordereaux d'envoi ou les lettres de transport aérien (« LTA ») ne sera transmise par les prestataires de services postaux et les opérateurs de fret express.Le ministère a ainsi précisé que la seule donnée utilisée dans la catégorie « LTA » sera le numéro associé à ce document.
La commission considère néanmoins qu'au regard du nombre important d'informations qui figurent sur la « LTA » et afin d'écarter toute ambiguïté sur les données collectées, le projet de décret devrait être modifié afin de ne plus faire référence à la « LTA » mais au seul« numéro de LTA ».
En outre, la commission relève que l'article 3 du projet de décret a été modifié afin d'indiquer que les données ne peuvent être transmises que « postérieurement à la livraison ou à l'expédition des envois ». A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles aucune donnée de suivi en temps réel de l'envoi de la marchandise ne peut être transmise et collectée dans le cadre du dispositif prévu à l'article 67 sexies du code des douanes.
De manière générale, la commission relève que les données énumérées à l'article 2 du projet de décret s'inscrivent dans le périmètre strictement délimité par l'article 67 sexies du code des douanes et précédemment rappelé. Elle considère dès lors que ces données, qui doivent servir à déterminer le contenu des marchandises expédiées, sont pertinentes au regard de la finalité poursuivie par les traitements mis en œuvre dans le cadre de l'article 67 sexies du code des douanes.
Sur les durées de conservation des données :
L'article 67 sexies du code des douanes prévoit que les données à caractère personnel et les informations enregistrées dans les traitements mis en œuvre par la DGDDI sont conservées pendant un délai maximal de deux ans à compter de leur enregistrement, ce que rappelle le projet de décret.
A l'expiration de cette période, les données ainsi que les sauvegardes effectuées sont automatiquement détruites de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.
Sur les modalités d'accès et d'utilisation des données :
L'article 5 du projet de décret énonce que : « Peuvent accéder, à raison de leurs attributions et dans la limite du besoin d'en connaitre, à la totalité ou à une partie des données et informations enregistrées mentionnées à l'article 2 les agents de la direction générale des douanes et droits indirects individuellement désignés et spécialement habilités par le ministre chargé des douanes. »
La commission prend acte des précisions apportées par le ministère selon lesquelles seul un nombre limité d'agents (une dizaine) appartenant à la Direction du renseignement douanier (DRO) de la DNRED pourra accéder aux données transmises par les prestataires de services postaux et les entreprises de fret express.
Afin de s'assurer que seules les personnes qui participent à la réalisation des finalités poursuivies par le traitement reçoivent communication de ces données, la commission considère que l'article 5 du projet de décret précité devrait être modifié afin de faire référence, non pas aux agents de la DGDDI, mais aux seuls agents individuellement désignés et spécialement habilités de la DNRED, voire de la DRO.
Bien qu'ils ne figurent pas au titre des destinataires, le ministère a également indiqué que les agents du « bureau D3 - Lutte contre la fraude de la DGDDI » seraient le point de contact désigné par les opérateurs de fret express et les prestataires de service postal. Interrogé sur ce point, la commission prend acte des précisions du ministère selon lesquelles ce bureau sera uniquement chargé de la politique de gestion des accès aux données contenues dans les traitements projetés, sans pouvoir accéder à celles-ci, ni même en recevoir communication.
Enfin, la commission prend acte que ces données ne pourront faire l'objet d'aucune transmission à d'autres destinataires.
Sur l'information et les droits des personnes :
En premier lieu, l'article 67 sexies du code des douanes impose expressément aux prestataires de services postaux et entreprises de fret express d'informer les personnes concernées des traitements mis en œuvre par la DGDDL. A cet égard, l'article 8 du projet de décret prévoit que cette information est réalisée sur le site internet de ces opérateurs, sous le contrôle de l'administration des douanes.
Afin de se conformer aux exigences de l'article 6 (1°) de la loi du 6 janvier 1978 modifiée, relatif à la licéité et à la loyauté de la collecte des données, le ministère doit dès lors s'assurer de la bonne information, par ces prestataires, des personnes concernées. La commission rappelle que cette information doit être claire, complète et pédagogique dans la mesure où elle conditionne notamment l'exercice des droits des personnes dans le cadre des traitements mis en œuvre.
Par ailleurs, le ministère n'étant pas opposé à faire figurer une information identique sur son site internet, la commission invite à ce qu'elle soit effectivement délivrée. En outre, eu égard à la volumétrie des opérations concernées, elle considère que les personnes devraient également être informées des mentions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée concernant les traitements mis en œuvre par la douane.
La commission prend acte que, s'agissant des modalités du contrôle du respect de l'obligation d'information par les opérateurs concernés, l'administration de la douane procédera à des vérifications sur les sites internet des prestataires de services postaux et des entreprises de fret express. De la même manière, le projet de décret prévoit expressément que ce contrôle puisse être exercé par la commission, dans les conditions prévues à l'article 44 et au chapitre VII de la loi du 6 janvier 1978 modifiée.
En deuxième lieu, s'agissant du droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée, celui-ci ne s'applique pas dans le cadre des traitements qui pourront être mis en œuvre par la DGDDI, ce qui n'appelle pas d'observation particulière de la part de la commission.
Enfin, l'article 7 du projet de décret prévoit que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi précitée s'exercent auprès du « bureau D3 » de la DGDDI.
Sur les modalités de transmission des données et les mesures de sécurité :
L'article 3 du projet de décret précise que les données sont transmises « par les entreprises de fret et les prestataires de services postaux par envoi électronique à la DGDDI, aux formats de message et aux conditions de sécurité répondant aux normes du référentiel général de sécurité (RGS) conformément au décret n° 2010-112 du 2 février 2010 ».
La commission rappelle tout d'abord qu'il revient à la DGDDI d'attester formellement de la sécurité de celui-ci au travers d'une homologation RGS.
Elle rappelle néanmoins que le respect du RGS ne suffit pas à se conformer à l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée, dans la mesure où ce référentiel a pour objectif de protéger le responsable du traitement et non directement la vie privée des personnes concernées.
La commission relève que le projet de décret prévoit expressément que les données seront transmises selon un mode « push », directement par les opérateurs. En l'absence d'informations quant à la périodicité ou à la fréquence de cette transmission, elle considère que le projet de décret n'est pas suffisamment précis et explicite sur les « modalités de transmission des données » telles que visées par l'article 67 sexies du code des douanes. La commission considère dès lors que l'article 3 du projet de décret devrait être complété sur ce point.
Elle prend acte que les données seront directement échangées via des messages, selon le protocole SMTP. Ces messages seront authentifiés par des certificats de type cachet délivrés par une autorité de certification qualifiée RGS.
S'agissant des niveaux de sécurité appliqués, le ministère a indiqué qu'une connexion sera réalisée par le biais d'un réseau privé (VPN) entre les prestataires concernés et le réseau privé de la douane. A cet égard, il est prévu une interconnexion entre ces réseaux, sans passer par un réseau public, et d'établir une connexion IPSEC sur internet entre le réseau de chaque prestataire concerné et celui de la douane, laquelle permettra de garantir l'intégrité et la confidentialité des données.
Une traçabilité des connexions aux traitements projetés est également assurée. Les journaux ainsi réalisés sont conservés pendant une durée de deux ans.
La commission considère que l'ensemble de ces mesures sont a priori de nature à satisfaire à l'obligation prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que l'obligation de sécurité prévue par cet article qui incombe au responsable de traitement, nécessite la mise à jour des mesures de sécurité en fonction d'une réévaluation régulière des risques.
Enfin, la commission souligne l'importance de s'assurer que les traitements mis en œuvre par la DGDDI à partir des données ainsi transmises répondent à un niveau d'exigence au moins équivalent à celui exposé précédemment.