JORF n°0198 du 26 août 2016

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au suivi par les marins de leur situation administrative dénommé « Portail du marin »,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code des transports, notamment ses articles L. 5511-1, L. 5521-1 et suivants et R. 5511-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;
Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Philippe GOSSELIN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie, par le ministre de l'écologie, du développement durable et de l'énergie, d'un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au suivi par les marins de leur situation administrative, dénommé « Portail du marin ».
Ce traitement a pour objet de permettre aux marins de consulter l'ensemble des informations relatives à leur situation, en tout lieu et à tout moment. Le dispositif vise à mettre à disposition des usagers de l'administration un téléservice de l'administration électronique comportant un identifiant des personnes physiques. Il doit dès lors être autorisé par arrêté pris après avis motivé et publié de la commission, conformément aux dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités et les fonctionnalités du traitement :
La profession de marin est une profession réglementée. Ainsi, l'article L. 5511-1 du code des transports définit les marins comme « les gens de mer salariés ou non salariés exerçant une activité directement liée à l'exploitation du navire » et les articles L. 5521-1 et suivants de ce même code précisent les conditions d'accès et d'exercice de cette profession (concernant notamment l'aptitude médicale, la formation professionnelle, la moralité et la nationalité des personnes concernées). La direction des affaires maritimes, du ministère de l'écologie, du développement durable et de l'énergie est chargée de veiller au respect de ces dispositions et d'assurer la gestion et le suivi de la situation administrative des marins.
Dans ce cadre, l'article 1er du projet d'arrêté prévoit la création d'un traitement dénommé « Portail du marin » qui aura pour finalité « la mise à disposition des marins d'un téléservice leur permettant de prendre connaissance de leur situation administrative au regard de la profession de marin », notamment de l'ensemble des informations relatives à leur situation personnelle, professionnelle ainsi qu'à leur aptitude à l'exercice de la profession.
Le portail du marin permettra également aux marins de prendre l'attache des services compétents. A cet égard, la commission prend acte qu'il s'agit de mettre à la disposition du marin, sur le portail, un formulaire à remplir qui sera ensuite envoyé sur la messagerie électronique du service compétent du ministère et qu'aucune messagerie n'est intégrée au téléservice.
Enfin, chaque marin pourra, s'il le souhaite, recevoir un message d'alerte sur son compte lui signalant l'arrivée à échéance de ses titres professionnels et de son aptitude médicale. La commission relève qu'il s'agit là d'une simple faculté offerte au marin. Elle prend acte de ce que la volonté du marin de bénéficier de cette faculté sera recueillie au travers d'une case à cocher proposée au cours de la procédure de création de son compte individuel et du fait que l'information quant à ces échéances se fera via une fenêtre d'information qui apparaîtra lorsque le marin se connectera à son compte ainsi que par l'envoi d'un courriel sur son adresse de messagerie électronique personnelle s'il en a exprimé le souhait.
La commission estime que les finalités de ce téléservice sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté énumère les données à caractère personnel traitées, en distinguant selon qu'elles sont relatives au marin ou aux armateurs.
S'agissant du marin, les données portent sur son état civil (nom, prénoms, date de naissance, adresse postale, adresse électronique, numéros de téléphone), sur sa situation professionnelle (numéro de marin, position du marin, nom du navire et/ou du service, nom de l'armateur employeur, type de navigation, fonctions exercées à bord du navire, date de début et de fin de la ligne de service), sur ses titres (diplômes, brevets, certificats détenus, dates d'obtention, date d'effet, état de validité du/des titres, autorité de délivrance du/des titres, capacités et restrictions associées au[x] titre[s], fonctions, dérogations éventuelles) et sur son aptitude à exercer la profession de marin (date de la dernière visite médicale, durée de l'aptitude, date de fin de validité, type de visite médicale).
Ces données sont issues d'autres traitements régulièrement mis en œuvre au regard de la loi « informatique et libertés » par le ministère de l'écologie, du développement durable et de l'énergie.
La commission relève que le marin pourra, via ce téléservice, s'assurer de l'exactitude des informations en possession des autorités publiques mais qu'il ne pourra procéder à aucune modification de ses données en ligne, à l'exception de ses seules coordonnées postale, électronique et téléphoniques comme le précise l'article 2 du projet d'arrêté.
S'agissant des armateurs, que l'article L. 5511-1 du code des transports définit comme « toute personne pour le compte de laquelle un navire est armé. Est également considéré comme armateur (…) le propriétaire du navire ou tout autre opérateur auquel le propriétaire a confié la responsabilité de l'exploitation du navire », seule est traitée leur raison sociale.
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement envisagé, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données sont conservées pour une durée de quinze ans à compter de la date de cessation d'activité du marin.
La commission rappelle que la durée de conservation des données personnelles ne doit pas excéder la durée nécessaire au regard des finalités du traitement. Elle considère, au regard de la finalité du présent traitement, qu'une telle durée de conservation des données après la cessation d'activité du marin n'est pas nécessaire. En revanche, le ministère pourrait envisager de recourir à un système d'archivage intermédiaire permettant au marin d'accéder à ses données après cessation de son activité, en cas de besoin.
Sous cette réserve, elle considère que les dispositions du projet d'arrêté sont conformes à l'article 6 (5°) de la loi « informatique et libertés ».
Sur les destinataires des données :
La commission prend acte que, outre les marins pour les données qui les concernent, seuls les personnels des directions départementales des territoires et de la mer, service de proximité des marins, et du service support de la sous-direction des systèmes d'information de la direction des affaires maritimes pourront accéder aux données en cas de difficultés techniques.
Ces dispositions n'appellent pas d'observation particulière.
Sur les droits des personnes :
La commission relève que l'information des personnes concernées se fera par une mention sur le site internet. En l'absence de précisions apportées par le ministère sur le contenu de cette information, elle rappelle que l'ensemble des mentions prévues à l'article 32-I de la loi du 6 janvier 1978 modifiée devront être portées à la connaissance des usagers.
La commission prend acte qu'un compte individuel sur le portail du marin ne peut être créé qu'à l'initiative du marin lui-même, et qu'une procédure alternative permettant au marin d'accéder à son dossier administratif directement auprès des directions départementales des territoires et de la mer est maintenue. A cet égard, elle rappelle la nécessité d'informer les usagers de l'existence de cette procédure alternative.
L'article 5 du projet d'arrêté prévoit que les droits d'opposition, d'accès et de rectification, prévus par les articles 38, 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exerceront de manière directe auprès de la direction des affaires maritimes.
La commission estime que ces modalités d'exercice des droits sont satisfaisantes.
Sur les mesures de sécurité :
L'article ler du projet d'arrêté prévoit que le portail du marin dispose d'un accès sécurisé au moyen d'un mot de passe et d'un identifiant. A cet égard, la commission prend acte que chaque marin dispose d'un identifiant qui lui est propre et qu'une politique de mot de passe est mise en place, exigeant au minimum huit caractères comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux.
La commission rappelle que les mots de passe doivent être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. De plus, l'accès au téléservice doit être bloqué après un nombre limité de tentatives infructueuses.
L'accès au téléservice est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.
Par ailleurs, s'agissant d'un téléservice, elle rappelle que le ministère doit pouvoir attester de sa conformité au référentiel général de sécurité et le mentionner sur le site du registre, conformément aux dispositions du décret du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
Des profils d'habilitation définissent les accès, rôles et informations disponibles aux différents utilisateurs.
Concernant la journalisation des accès, le projet d'arrêté prévoit en son article 4 que des mesures de traçabilité seront mises en œuvre recensant l'identification de l'utilisateur, l'horodatage et la nature de l'intervention. Les traces des interventions du personnel ayant accès aux données traitées dans le cadre du téléservice seront également enregistrées dans des journaux techniques. L'ensemble de ces données sera conservée pour une durée maximale de six mois.
Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

La Commission nationale de l'informatique et des libertés,

Saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au suivi par les marins de leur situation administrative dénommé « Portail du marin »,

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code des transports, notamment ses articles L. 5511-1, L. 5521-1 et suivants et R. 5511-2 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II (4°) ;

Vu l'ordonnance n° 2005-1516 du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

Vu le dossier et ses compléments ;

Sur la proposition de M. Philippe GOSSELIN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,

Emet l'avis suivant :

La commission a été saisie, par le ministre de l'écologie, du développement durable et de l'énergie, d'un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au suivi par les marins de leur situation administrative, dénommé « Portail du marin ».

Ce traitement a pour objet de permettre aux marins de consulter l'ensemble des informations relatives à leur situation, en tout lieu et à tout moment. Le dispositif vise à mettre à disposition des usagers de l'administration un téléservice de l'administration électronique comportant un identifiant des personnes physiques. Il doit dès lors être autorisé par arrêté pris après avis motivé et publié de la commission, conformément aux dispositions de l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.

Sur les finalités et les fonctionnalités du traitement :

La profession de marin est une profession réglementée. Ainsi, l'article L. 5511-1 du code des transports définit les marins comme « les gens de mer salariés ou non salariés exerçant une activité directement liée à l'exploitation du navire » et les articles L. 5521-1 et suivants de ce même code précisent les conditions d'accès et d'exercice de cette profession (concernant notamment l'aptitude médicale, la formation professionnelle, la moralité et la nationalité des personnes concernées). La direction des affaires maritimes, du ministère de l'écologie, du développement durable et de l'énergie est chargée de veiller au respect de ces dispositions et d'assurer la gestion et le suivi de la situation administrative des marins.

Dans ce cadre, l'article 1er du projet d'arrêté prévoit la création d'un traitement dénommé « Portail du marin » qui aura pour finalité « la mise à disposition des marins d'un téléservice leur permettant de prendre connaissance de leur situation administrative au regard de la profession de marin », notamment de l'ensemble des informations relatives à leur situation personnelle, professionnelle ainsi qu'à leur aptitude à l'exercice de la profession.

Le portail du marin permettra également aux marins de prendre l'attache des services compétents. A cet égard, la commission prend acte qu'il s'agit de mettre à la disposition du marin, sur le portail, un formulaire à remplir qui sera ensuite envoyé sur la messagerie électronique du service compétent du ministère et qu'aucune messagerie n'est intégrée au téléservice.

Enfin, chaque marin pourra, s'il le souhaite, recevoir un message d'alerte sur son compte lui signalant l'arrivée à échéance de ses titres professionnels et de son aptitude médicale. La commission relève qu'il s'agit là d'une simple faculté offerte au marin. Elle prend acte de ce que la volonté du marin de bénéficier de cette faculté sera recueillie au travers d'une case à cocher proposée au cours de la procédure de création de son compte individuel et du fait que l'information quant à ces échéances se fera via une fenêtre d'information qui apparaîtra lorsque le marin se connectera à son compte ainsi que par l'envoi d'un courriel sur son adresse de messagerie électronique personnelle s'il en a exprimé le souhait.

La commission estime que les finalités de ce téléservice sont déterminées, explicites et légitimes au sens de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.

Sur la nature des données traitées :

L'article 2 du projet d'arrêté énumère les données à caractère personnel traitées, en distinguant selon qu'elles sont relatives au marin ou aux armateurs.

S'agissant du marin, les données portent sur son état civil (nom, prénoms, date de naissance, adresse postale, adresse électronique, numéros de téléphone), sur sa situation professionnelle (numéro de marin, position du marin, nom du navire et/ou du service, nom de l'armateur employeur, type de navigation, fonctions exercées à bord du navire, date de début et de fin de la ligne de service), sur ses titres (diplômes, brevets, certificats détenus, dates d'obtention, date d'effet, état de validité du/des titres, autorité de délivrance du/des titres, capacités et restrictions associées au[x] titre[s], fonctions, dérogations éventuelles) et sur son aptitude à exercer la profession de marin (date de la dernière visite médicale, durée de l'aptitude, date de fin de validité, type de visite médicale).

Ces données sont issues d'autres traitements régulièrement mis en œuvre au regard de la loi « informatique et libertés » par le ministère de l'écologie, du développement durable et de l'énergie.

La commission relève que le marin pourra, via ce téléservice, s'assurer de l'exactitude des informations en possession des autorités publiques mais qu'il ne pourra procéder à aucune modification de ses données en ligne, à l'exception de ses seules coordonnées postale, électronique et téléphoniques comme le précise l'article 2 du projet d'arrêté.

S'agissant des armateurs, que l'article L. 5511-1 du code des transports définit comme « toute personne pour le compte de laquelle un navire est armé. Est également considéré comme armateur (…) le propriétaire du navire ou tout autre opérateur auquel le propriétaire a confié la responsabilité de l'exploitation du navire », seule est traitée leur raison sociale.

La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement envisagé, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.

Sur la durée de conservation des données :

L'article 3 du projet d'arrêté prévoit que les données sont conservées pour une durée de quinze ans à compter de la date de cessation d'activité du marin.

La commission rappelle que la durée de conservation des données personnelles ne doit pas excéder la durée nécessaire au regard des finalités du traitement. Elle considère, au regard de la finalité du présent traitement, qu'une telle durée de conservation des données après la cessation d'activité du marin n'est pas nécessaire. En revanche, le ministère pourrait envisager de recourir à un système d'archivage intermédiaire permettant au marin d'accéder à ses données après cessation de son activité, en cas de besoin.

Sous cette réserve, elle considère que les dispositions du projet d'arrêté sont conformes à l'article 6 (5°) de la loi « informatique et libertés ».

Sur les destinataires des données :

La commission prend acte que, outre les marins pour les données qui les concernent, seuls les personnels des directions départementales des territoires et de la mer, service de proximité des marins, et du service support de la sous-direction des systèmes d'information de la direction des affaires maritimes pourront accéder aux données en cas de difficultés techniques.

Ces dispositions n'appellent pas d'observation particulière.

Sur les droits des personnes :

La commission relève que l'information des personnes concernées se fera par une mention sur le site internet. En l'absence de précisions apportées par le ministère sur le contenu de cette information, elle rappelle que l'ensemble des mentions prévues à l'article 32-I de la loi du 6 janvier 1978 modifiée devront être portées à la connaissance des usagers.

La commission prend acte qu'un compte individuel sur le portail du marin ne peut être créé qu'à l'initiative du marin lui-même, et qu'une procédure alternative permettant au marin d'accéder à son dossier administratif directement auprès des directions départementales des territoires et de la mer est maintenue. A cet égard, elle rappelle la nécessité d'informer les usagers de l'existence de cette procédure alternative.

L'article 5 du projet d'arrêté prévoit que les droits d'opposition, d'accès et de rectification, prévus par les articles 38, 39 et 40 de la loi du 6 janvier 1978 modifiée, s'exerceront de manière directe auprès de la direction des affaires maritimes.

La commission estime que ces modalités d'exercice des droits sont satisfaisantes.

Sur les mesures de sécurité :

L'article ler du projet d'arrêté prévoit que le portail du marin dispose d'un accès sécurisé au moyen d'un mot de passe et d'un identifiant. A cet égard, la commission prend acte que chaque marin dispose d'un identifiant qui lui est propre et qu'une politique de mot de passe est mise en place, exigeant au minimum huit caractères comprenant au moins trois des quatre types de caractères suivants : majuscules, minuscules, chiffres et caractères spéciaux.

La commission rappelle que les mots de passe doivent être définis, ou modifiés dès la première connexion, par l'utilisateur, puis régulièrement renouvelés et ne doivent pas être stockés en clair. De plus, l'accès au téléservice doit être bloqué après un nombre limité de tentatives infructueuses.

L'accès au téléservice est sécurisé au moyen du protocole HTTPS. Concernant le recours à ce protocole, la commission recommande d'utiliser la version de TLS la plus à jour possible.

Par ailleurs, s'agissant d'un téléservice, elle rappelle que le ministère doit pouvoir attester de sa conformité au référentiel général de sécurité et le mentionner sur le site du registre, conformément aux dispositions du décret du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance du 8 décembre 2005 modifiée relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Des profils d'habilitation définissent les accès, rôles et informations disponibles aux différents utilisateurs.

Concernant la journalisation des accès, le projet d'arrêté prévoit en son article 4 que des mesures de traçabilité seront mises en œuvre recensant l'identification de l'utilisateur, l'horodatage et la nature de l'intervention. Les traces des interventions du personnel ayant accès aux données traitées dans le cadre du téléservice seront également enregistrées dans des journaux techniques. L'ensemble de ces données sera conservée pour une durée maximale de six mois.

Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.