La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté portant autorisation d'un système de traitement informatisé des titres de circulation et des habilitations (STITCH) dans le secteur de l'aviation civile,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95146/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le règlement n° 185/2010 de la Commission du 4 mars 2010 fixant des mesures détaillées pour la mise en œuvre des normes de base communes dans le domaine de la sûreté de l'aviation civile ;
Vu le code de l'aviation civile, notamment ses articles R. 213-3 et suivants ;
Vu le code des transports, notamment ses articles L. 6342-2 et L. 6342-3 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I (1°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 25 février 2004 portant création d'un traitement automatisé d'informations nominatives concernant les habilitations et les titres d'accès aux zones réservées des aérodromes ainsi que les autorisations d'accès à certains établissements et installations de l'aviation civile ;
Vu l'arrêté du 11 septembre 2013 relatif aux mesures de sûreté de l'aviation civile ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par la ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis concernant un projet d'arrêté portant autorisation d'un système de traitement informatisé des titres de circulation et des habilitations (STITCH) dans le secteur de l'aviation civile.
Le traitement STITCH a vocation à remplacer le système dénommé « SGITA », créé par l'arrêté du 25 février 2004 susvisé. Il sera mis en œuvre par la direction générale de l'aviation civile (DGAC), qui est en charge de la sécurité du transport aérien, de la gestion du trafic aérien, de la régulation du marché, de la surveillance et de la certification de l'ensemble des acteurs de l'aviation civile.
Les évolutions apportées audit système ont pour objet d'améliorer la sécurité des applications et des infrastructures, de centraliser les données et de supprimer les divers serveurs locaux, de mettre en place une authentification forte et de dématérialiser les procédures d'habilitation et de délivrance de titre de circulation.
Ce traitement doit permettre une amélioration de la sûreté de l'aviation civile, c'est-à-dire une meilleure protection des personnes, frets, installations et matériels contre les actes malveillants, criminels ou terroristes. Il intéresse dès lors la sécurité publique et doit donc être créé par arrêté ministériel pris après avis motivé et publié de la commission, en application de l'article 26-I (1°) de la loi du 6 janvier 1978 modifiée.
Le présent projet d'arrêté comporte en outre des dispositions relatives au portail de dépôt de demandes dématérialisées, mis à la disposition des employeurs par la DGAC, qui leur permettra de faire les demandes d'habilitation et de titre de circulation au bénéfice de leurs employés. Il s'agit d'un téléservice de l'administration électronique qui relève dès lors du régime prévu par l'article 27-II (4°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté assigne six finalités au traitement STITCH. Les finalités d'instruction des demandes et de gestion des habilitations et titres de circulation aéroportuaires (TCA), mentionnées aux 1° à 3° de l'article 1er du projet d'arrêté, étaient déjà assignées au traitement SGITA.
L'accès à certaines zones des aéroports, énumérées aux articles L. 6342-3 du code des transports et R. 213-3-III du code de l'aviation civile, nécessite la délivrance d'une habilitation. L'accès à certaines de ces zones nécessite en complément un titre de circulation aéroportuaire, qui se matérialise sous la forme d'un badge. D'une manière générale, ces habilitations et ces TCA sont délivrés par les préfectures et, pour certains TCA, par la DGAC. Le processus de délivrance peut varier en fonction du lieu considéré et de la nature de l'habilitation ou du TCA sollicité.
Le traitement STITCH permettra ainsi aux autorités en charge de la délivrance de ces habilitations et TCA d'instruire les dossiers de demande et plus généralement tout leur cycle de vie, de la demande jusqu'à la remise du badge, en passant par le renouvellement, le refus, la suspension et le retrait.
Le 4° de l'article 1er du projet d'arrêté prévoit que le traitement STITCH permettra en outre l'actualisation des bases de données des systèmes de contrôles d'accès (SCA) à certaines zones et installations. Les SCA sont les dispositifs permettant de donner ou de refuser l'accès aux zones qu'ils couvrent à des personnes présentant des titres de circulation (badges). La mise à jour de ces systèmes portera sur les données apparaissant sur les badges et interviendra par l'intermédiaire de mises en relation entre les différents dispositifs. Elle permettra de mieux prendre en compte les créations et suppressions des badges et de mieux détecter une éventuelle utilisation frauduleuse des badges.
Le traitement STITCH aura également pour finalité « la dématérialisation des dossiers et la gestion des pièces justificatives liées aux demandes et aux événements de gestion ». Cette dématérialisation s'inscrit dans un souci de simplification des démarches ; elle sera mise en œuvre directement par les employeurs via le portail de dépôt de demandes dématérialisées prévu à l'article 9 du projet d'arrêté, qui exportera alors les données et pièces justificatives vers STITCH, ou par les exploitants d'aérodrome ou la DGAC, qui saisiront directement les dossiers dans STITCH.
La commission estime que ces finalités, qui permettent de sécuriser les processus de délivrance et de gestion des habilitations et des TCA, tout en permettant une mise à jour effective des différents traitements, sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Enfin, le traitement STITCH aura, en application du 6° de l'article 1er dudit projet, une finalité de prévention et de répression par les services de la police et de la gendarmerie nationales des actes de terrorisme, de criminalité organisée et des atteintes aux intérêts fondamentaux de la Nation. Il s'agit d'offrir aux services de l'Etat la possibilité d'accéder aux données enregistrées dans STITCH dans le cadre de la prévention et de la répression de certaines infractions graves, dont le terrorisme. La commission relève que cet accès interviendra ainsi dans un cadre administratif, pour la réalisation des enquêtes administratives précédant la délivrance des habilitations. Il interviendra également pour la « prévention et la répression » des actes de terrorisme, de criminalité organisée et des atteintes aux intérêts fondamentaux de la Nation, c'est-à-dire dans le cadre des enquêtes judiciaires concernant ces infractions, ainsi que dans le cadre de l'exercice des missions de renseignement de certains services.
A cet égard, la commission rappelle que les dispositions du code de procédure pénale (CPP) relatives aux réquisitions judiciaires permettent déjà à l'autorité judiciaire ou aux officiers de police judiciaire d'être destinataires des données issues de tout traitement de données à caractère personnel, sans qu'il soit nécessaire de mentionner cette finalité dans le projet d'arrêté.
S'il est légitime que les services de renseignement aient accès à certaines des données enregistrées dans le traitement STITCH, qui concerne la sûreté dans les aéroports, cet accès ne saurait pour autant justifier d'assigner cette nouvelle finalité à un traitement de gestion des demandes d'habilitations et de titres de circulation.
Sur la nature des données traitées :
Les données à caractère personnel collectées et enregistrées dans STITCH figurent dans l'annexe au projet d'arrêté. Elles sont relatives au titulaire de l'habilitation ou du TCA sollicités, à l'employeur du titulaire et aux utilisateurs du système.
Concernant le titulaire de l'habilitation ou du TCA sollicités, les données collectées seront celles figurant dans la demande d'habilitation ou de TCA, sur l'habilitation elle-même et le TCA, ainsi que celles relatives au badge matérialisant le titre de circulation.
La DGAC avait initialement envisagé de mettre en œuvre, sur certains sites, un dispositif biométrique (empreintes digitales) pour s'assurer de l'identité du porteur du badge, les données biométriques étant stockées uniquement sur le support individuel. La commission relève toutefois que la DGAC a finalement renoncé à un tel dispositif.
La commission prend acte que les motifs de refus, de suspension ou de retrait des habilitations et TCA ne seront pas enregistrés dans STITCH, tout comme le résultat des enquêtes administratives réalisées préalablement à la délivrance des habilitations. Ces motifs relèvent en effet de la compétence du ministère de l'intérieur et le fait de ne pas les enregistrer dans ledit traitement permet de s'assurer que des personnels nombreux et divers n'accèdent pas à ces informations sensibles.
Les données concernant l'employeur du titulaire de l'habilitation ou du TCA sont relatives à l'employeur, à son autorisation d'activité et à son agrément et au correspondant sûreté. Le correspondant sûreté est désigné par l'entreprise et constitue l'interlocuteur privilégié de toutes les instances compétentes en matière de sûreté.
La commission relève enfin que des données relatives aux personnes ayant accès au traitement STITCH et aux destinataires des données seront enregistrées dans ledit traitement. Il s'agit de données relatives à la traçabilité des actions et non des personnes concernées. Elle rappelle que de telles données ne devront être collectées qu'à la seule fin de s'assurer que ces personnels exercent une mission relative aux finalités poursuivies par le traitement STITCH.
Sous cette réserve, la commission estime que les données collectées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par le traitement STITCH, conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté fixe les durées de conservation des données susceptibles d'être enregistrées dans le traitement STITCH qui, d'une manière générale, sont plus longues que celles actuellement prévues par l'arrêté du 25 février 2004 précité.
Le I dudit article prévoit ainsi que les données seront conservées dix ans en base active à compter de leur enregistrement, puis dix ans supplémentaires en archivage intermédiaire.
Le ministère a précisé que cette durée de conservation correspond au délai de prescription entraînant l'extinction de l'action publique concernant les crimes. En outre, la réglementation européenne prévoyant que les TCA ont une durée de validité qui ne doit pas dépasser cinq ans, cette durée de conservation permettait au ministère d'avoir une visibilité sur deux cycles d'habilitation.
La commission rappelle que le délai de prescription de l'action publique fixé par le CPP ne saurait déterminer la durée de conservation des données enregistrées dans le traitement STITCH, laquelle ne peut être établie qu'au regard des finalités poursuivies par ce dernier. En outre, la commission observe que, si la réglementation française devra être adaptée afin d'aligner la durée de validité des titres sur celle prévue par le droit communautaire, les habilitations sont actuellement délivrées pour une durée qui n'excède pas trois ans, avec possibilité de renouvellement, la durée de validité du TCA ne pouvant en tout état de cause excéder la durée de validité de l'habilitation. Au regard de ces éléments, la commission estime que la durée de conservation ainsi définie est excessive.
En revanche, la commission observe que le point de départ d'une durée de conservation des données plus courte pourrait être décalé de l'enregistrement des données à la décision de refus ou de retrait ou à la fin de la durée de validité de l'habilitation ou du titre, permettant ainsi d'éviter l'effacement des données liées au cycle de vie d'une habilitation ou d'un TCA qui serait renouvelé pour plus de 10 ans, conformément aux finalités assignées au traitement.
Au regard de ces éléments, il pourrait être envisagé par le ministère de conserver les données en base active pendant la seule durée de validité de l'habilitation ou du titre, puis de verser ces données dans la base d'archivage intermédiaire pour une durée qui ne devra pas excéder la durée strictement nécessaire.
Le II de l'article 5 du projet d'arrêté prévoit que, pendant cette période d'archivage intermédiaire, les données ne seront accessibles qu'aux agents de la DGAC en charge de l'administration du système. La commission rappelle à cet égard que l'archivage intermédiaire suppose le transfert des données sur une base logiquement voire physiquement distincte, un accès ponctuel et spécialement motivé à ces données et la mise en œuvre de mesures de sécurité spécifiques.
Enfin, le III de l'article 5 prévoit que « la conservation à titre définitif des données à caractère personnel et des informations (…) est sans objet ». Cette disposition semble renvoyer au cadre juridique applicable aux archives publiques et ne devrait dès lors pas figurer dans le présent projet d'arrêté.
Sur les destinataires des données :
L'article 3 du projet d'arrêté énumère les destinataires du traitement, en distinguant les personnels ayant un accès direct aux données et informations enregistrées dans STITCH de ceux habilités à recevoir communication de certaines données.
S'agissant des premiers, le I de l'article 3 du projet d'arrêté prévoit qu'il s'agit des agents de la DGAC, des agents des préfectures et du ministère des transports, ainsi que des agents des services des exploitants d'aérodrome. La commission estime que ces personnels ont un intérêt légitime à connaître des données enregistrées dans STITCH.
Il est en outre prévu un accès direct des agents des services du ministère de l'intérieur, pour la réalisation des enquêtes administratives précédant la délivrance des habilitations ainsi qu'à des fins de prévention et de répression des actes des terrorisme, de criminalité organisée et des atteintes aux intérêts fondamentaux de la Nation.
L'accès des services de police et de gendarmerie dans le cadre de ces enquêtes administratives, dans la mesure où il s'inscrit strictement dans les finalités assignées au traitement STITCH, n'appelle pas d'observation particulière de la part de la commission.
Elle estime qu'il est de même légitime que les services de renseignement aient accès à certaines de ces informations, eu égard aux missions des personnes concernées par le traitement. Elle rappelle que cet accès, en simple consultation, est subordonné au principe du besoin d'en connaître et qu'il devra donc être limité aux seules fins de prévention du terrorisme, de la criminalité organisée et des atteintes aux intérêts fondamentaux de la Nation.
Enfin, la commission rappelle, s'agissant de l'accès des agents du ministère de l'intérieur à STITCH dans le cadre d'enquêtes judiciaires, que les dispositions législatives du CPP permettent déjà aux officiers de police judiciaire et à l'autorité judiciaire d'être destinataires des données issues de tout traitement de données à caractère personnel, de sorte qu'il n'est pas opportun de leur permettre un accès direct au traitement dans ce cadre.
Le II de l'article 3 du projet d'arrêté énumère les personnels habilités à recevoir communication de données. Il s'agit des personnels des services déjà mentionnés au I mais qui ne bénéficient pas d'un accès direct au traitement STITCH, des personnes morales exploitant un accès privatif à une ZSAR d'un aérodrome, des agents de sûreté en poste sur les accès aux ZSAR, des agents de la DGAC en poste sur des accès aux installations à usage aéronautique, ainsi que des employeurs des personnes titulaires des habilitations et TCA.
Les destinataires mentionnés aux 2° et 3° du II de l'article 3 du projet d'arrêté recevront quotidiennement communication d'un fichier, chiffré selon l'état de l'art, contenant des informations relatives aux badges invalidés. Il s'agit ainsi d'une transmission complémentaire aux mises en relation qui permettent une mise à jour des SCA. La commission prend acte des précisions apportées par le ministère, à savoir que, d'une part, il s'agit d'une recommandation de la Commission européenne et que, d'autre part, cela permet d'éviter de faire des extractions à partir de STITCH, le fichier étant communiqué directement aux utilisateurs opérationnels du fichier.
L'article 4 détaille les modalités d'habilitation des agents des exploitants d'aérodromes qui seront habilités à accéder directement au traitement STITCH aux fins d'instruction et de gestion des demandes d'habilitations et de TCA, ce qui n'appelle pas d'observation de la part de la commission.
Sur les droits des personnes :
S'agissant du droit d'information des personnes concernées, la commission estime que les finalités assignées au traitement STITCH ne semblent pas justifier une dérogation au droit d'information.
A cet égard, elle prend acte des précisions apportées par le ministère, à savoir que l'information sera délivrée par le correspondant sûreté qui devra, par l'intermédiaire du formulaire de demande d'habilitation, informer la personne dont les données vont faire l'objet d'un traitement dans STITCH. Elle rappelle à cet égard que l'ensemble des mentions prévues à l'article 32 de la loi du 6 janvier 1978 modifiée devra être porté à la connaissance des personnes concernées.
L'article 7 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exerceront de manière directe auprès de la DGAC. L'article 8 dudit projet prévoit que le droit d'opposition pour motif légitime ne s'applique pas au traitement projeté, comme le permet l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Le responsable de traitement a fixé des exigences de sécurité pour le système STITCH et le portail d'accès qui définissent les responsabilités du maître d'ouvrage, du maître d'œuvre et de l'exploitant.
Des profils d'habilitation sont prévus afin de gérer les accès aux données en tant que de besoin. Une revue globale des habilitations est opérée régulièrement au sein de chaque instance habilitante. L'authentification forte des personnes habilitées est assurée par l'utilisation de cartes agents.
Une journalisation des opérations de création, de modification et de suppression des données est réalisée. La commission recommande de réaliser un contrôle des traces de manière automatique, afin de détecter les usages anormaux. En outre, elle recommande d'indiquer la durée de conservation des traces dans l'arrêté.
Les échanges de données sont réalisés via des canaux de communication chiffrés pour lesquels est mise en œuvre une authentification forte, conforme au référentiel général de sécurité (RGS), des serveurs et des personnes.
Concernant le recours au protocole SSL/TLS, la commission rappelle qu'il convient d'utiliser la version de TLS la plus à jour possible.
La commission relève qu'au sein du système STITCH les données ne sont pas chiffrées. Au regard du contenu des bases de données et de la population ciblée, la commission recommande le chiffrement des sauvegardes et, si possible, des bases de données.
Un plan de sauvegarde, un plan de continuité de service et un plan de reprise d'activité, prenant en compte les besoins d'intégrité du système et des informations qu'il contient, sont prévus. Des tests réguliers de ces plans, ainsi que leur éventuelle mise à jour, sont prévus dans les exigences de sécurité du système.
Des procédures de gestion des incidents, incluant une formation des équipes, sont prévues. Les personnes concernées doivent suivre des formations à la sécurité des systèmes d'information adaptées à leurs rôles et responsabilités. Cette sensibilisation inclura les risques et obligations en matière de respect de la vie privée.
Enfin, une exigence de sécurité prévoit le contrôle régulier de la sécurité du système.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres dispositions du projet d'arrêté :
L'article 9 du projet d'arrêté prévoit que la DGAC met à la disposition des services responsables de l'instruction et de la gestion des demandes d'habilitation et de TCA un portail de dépôt de demandes dématérialisées.
Ce même article détaille les finalités assignées à ce téléservice : il doit permettre aux demandeurs de renseigner des formulaires et d'y ajouter les documents justificatifs pertinents. Il précise également les personnes habilitées à accéder au portail, à savoir les employeurs et les agents de la DGAC. L'annexe énumère les données collectées, les différentes durées de conservation ainsi que les modalités d'exercice des droits des personnes.
Le portail et le traitement STITCH étant intrinsèquement lié dans leur mise en œuvre, la commission n'a pas de réserve particulière à ce que le présent projet d'arrêté porte également création de ce téléservice. Toutefois, elle rappelle que, dans ce cas, l'ensemble des mentions figurant à l'article 29 de la loi du 6 janvier 1978 modifiée doit figurer dans le projet d'arrêté ou dans son annexe, notamment les éventuels personnels rendus destinataires des données enregistrées dans ce portail. En outre, l'arrêté devrait viser les articles 26 et 27 de la loi du 6 janvier 1978 modifiée.
En outre, si la commission est favorable au développement de l'administration électronique, elle rappelle que ces outils ne doivent pas être exclusifs d'autres canaux d'accès aux services publics. Il convient ainsi de maintenir une procédure alternative au téléservice qui doit permettre l'accès, dans des conditions analogues, à la même prestation.
Elle rappelle également que les personnels en charge de l'administration d'un traitement ne sont pas considérés, au regard de l'article 3 de la loi du 6 janvier 1978 modifiée, comme des destinataires. Ils n'ont donc pas à figurer dans l'acte réglementaire.
L'article 6 du projet d'arrêté prévoit que le traitement STITCH peut être mis en relation avec le portail de dépôt des demandes dématérialisées. Il s'agit ainsi d'importer dans STITCH les données et documents relatifs aux demandes d'habilitations et de titres de circulation aéroportuaire, tout en transmettant, dans ce portail, le stade d'instruction des demandes d'habilitation et de TCA.
Le traitement STITCH sera également mis en relation avec les systèmes de contrôles d'accès (SCA). Ces mises en relation n'appellent pas d'observation particulière de la part de la commission, dans la mesure où elles répondent à un souci de simplification et de sécurisation des processus. La commission rappelle néanmoins que des mesures de sécurité appropriées, conformes à l'exigence prévue par l'article 34 de la loi du 6 janvier 1978 modifiée, doivent être mises en œuvre.