La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant modification de l'arrêté du 14 août 2014 portant autorisation de mise en œuvre de systèmes de vidéoprotection et création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès aux locaux et emprises relevant du ministère de l'intérieur ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-I (1°), 26-IV et 30-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 14 août 2014 portant autorisation de mise en œuvre de systèmes de vidéoprotection et création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès aux locaux et emprises relevant du ministère de l'intérieur ;
Vu la délibération n° 2014-171 du 6 mai 2014 portant avis sur un projet d'arrêté autorisant la mise en œuvre de systèmes de vidéoprotection et la création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès aux locaux et emprises relevant du ministère de l'intérieur ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-François CARREZ, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet d'arrêté portant modification de l'arrêté du 14 août 2014 portant autorisation de mise en œuvre de systèmes de vidéoprotection et création de traitements automatisés de données à caractère personnel destinés à la sécurisation et au contrôle des accès aux locaux et emprises relevant du ministère de l'intérieur.
Les systèmes de vidéosurveillance et les traitements destinés à la sécurisation et au contrôle des locaux du ministère de l'intérieur ont pour objet la prévention, la constatation et la poursuite d'infractions pénales ; ils intéressent la sûreté de l'Etat et la sécurité publique. Leur mise en œuvre a dès lors été autorisée par arrêté du ministre compétent, pris après l'avis susvisé de la commission en date du 6 mai 2014, conformément aux dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée. L'arrêté ainsi adopté constitue en outre un acte réglementaire unique au sens de l'article 26-IV de cette même loi.
Le ministère de l'intérieur souhaite compléter ce dispositif de sécurisation des locaux et mettre en place un système d'alerte et de transmission aux agents de consignes de sécurité, par voie de mini messages (SMS), en cas de survenance d'un évènement grave. En application des dispositions des articles 26 et 30 de la loi du 6 janvier 1978 modifiée, ces modifications doivent être autorisées par arrêté ministériel, pris après avis motivé et publié de la commission.
Sur la finalité et le champ d'application du dispositif :
L'article 2 du projet d'arrêté prévoit la modification de l'article 1er de l'acte réglementaire unique pour y intégrer une finalité d'alerte et de transmission des consignes de sécurité aux agents par messages adressés par voie de téléphonie mobile en cas de survenance d'évènements graves susceptibles de porter atteinte à la sécurité des personnes. Le ministère entend notamment viser les attaques terroristes et les véhicules ou colis suspects.
Comme pour les systèmes de vidéoprotection et les traitements de contrôle d'accès aux locaux, sont concernés par ce dispositif d'alerte les immeubles de l'administration centrale, de la police et de la gendarmerie nationales ainsi que des directions militaires et de secours relevant du ministère de l'intérieur. En revanche, les catégories de services et de bâtiments régies par des dispositions spécifiques, comme par exemple les centres de rétention administrative, ne sont pas concernées.
La commission estime que cette nouvelle finalité concourt à l'objectif général de sécurisation des locaux et emprises du ministère de l'intérieur sur l'ensemble du territoire national. Elle considère que cette finalité est déterminée, explicite et légitime, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Le projet d'arrêté prévoit la modification de l'intitulé de l'arrêté afin d'y intégrer la nouvelle finalité d'alerte et de transmission de consignes en cas d'évènements graves susceptibles de porter atteinte à la sécurité des personnes. Cette modification n'appelle pas d'observation de la part de la commission.
Sur les caractéristiques du dispositif :
L'article 3 du projet d'arrêté prévoit l'ajout de nouvelles catégories de données à l'article 2 de l'arrêté précité du 14 août 2014, à savoir le numéro de téléphone mobile professionnel des agents qui en sont dotés, d'une part, et le numéro de téléphone mobile personnel communiqué par l'agent de manière strictement volontaire, d'autre part.
Concernant cette seconde catégorie de données, la commission rappelle que leur communication par les agents du ministère de l'intérieur, sur la base du volontariat, doit répondre à un objectif précis. Dans la mesure où ces données relèvent de la sphère privée, à la différence des numéros de téléphone professionnel, elles ne sauraient être utilisées à d'autres fins que celle pour laquelle elles sont collectées.
L'article 2 du projet d'arrêté vise à modifier l'article 1er de l'acte réglementaire unique afin de circonscrire l'emploi des caméras de vidéosurveillance aux seules finalités de protection des locaux et emprises du ministère de l'intérieur et de contrôle de l'accès à ceux-ci, ce qui exclut a contrario leur utilisation dans le cadre du système d'alerte.
La commission considère que les catégories de données collectées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément aux dispositions de l'article 6 (3°) de la loi « Informatique et Libertés ».
L'article 4 du projet d'arrêté prévoit une durée de conservation spécifique des numéros de téléphone des agents, à savoir quinze jours au plus à compter de la fin de validité de l'autorisation d'accès aux locaux et emprises du ministère de l'intérieur.
La commission considère que cette durée de conservation est conforme à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée en ce qu'elle n'excède pas la durée nécessaire au regard de la finalité poursuivie.
L'acte réglementaire unique prévoit que seuls ont accès aux données enregistrées dans les traitements, dans la limite de leurs attributions respectives, les agents, spécialement désignés et individuellement habilités par le responsable des locaux ou le chef d'établissement, chargés de la sécurité et de la surveillance du lieu concerné, ainsi que le responsable des locaux ou le chef d'établissement au sein duquel les traitements sont mis en œuvre, ce qui n'appelle pas d'observation particulière de la commission.
En outre, le ministère entend rendre le chef de service ou son représentant, les personnes habilitées du service en charge de la discipline et les agents des corps et services d'inspection et de contrôle relevant du ministère de l'intérieur destinataires des seules données relatives aux numéros de téléphone mobile professionnel des agents, à l'exclusion des données relatives aux numéros de téléphone mobile personnel des agents, dans la limite de leurs attributions et de leur besoin d'en connaître, ce dont la commission prend acte.
La commission rappelle la nécessité de procéder à l'information des personnes concernées, a fortiori à destination des agents qui communiquent volontairement leur numéro de téléphone mobile personnel. A cet égard, elle prend acte que, à sa demande, le ministère s'engage à faire figurer cette information sur le site intranet utilisé pour la collecte des données, dans le respect des dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
L'acte réglementaire unique dispose que les droits d'accès et de rectification prévus aux articles 39, 40 et au dernier alinéa de l'article 41 de la loi susmentionnée s'exercent auprès du service gestionnaire, ce qui n'appelle pas d'observation de la commission.
En revanche, elle relève que l'arrêté du 14 août 2014 exclut le droit d'opposition, comme le permet le dernier alinéa de l'article 38 de la loi du 6 janvier 1978 modifiée. A cet égard, elle appelle l'attention du ministère sur le fait que cette disposition ne doit pas empêcher tout agent qui aurait communiqué volontairement son numéro de téléphone mobile personnel de revenir sur sa position et de demander la suppression de son numéro.
S'agissant des mesures de sécurité, la commission prend acte que la collecte des numéros de téléphone s'effectue au moyen d'un site intranet développé à cet effet, conforme au standard https, et qu'une procédure d'homologation du système de collecte est à l'étude. Par ailleurs, elle relève que les données recueillies sont hébergées sur un data center du ministère de l'intérieur.
Au regard de ces éléments, la commission estime que les mesures de sécurité décrites sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle néanmoins que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.