La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de la culture et de la communication d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre de traitements automatisés de données à caractère personnel destinés à la vidéosurveillance et au contrôle de l'accès aux locaux des Archives nationales situés à Paris et à Pierrefitte-sur-Seine ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de la sécurité intérieure, notamment ses articles L. 251-1 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le I de son article 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Letitia AVIA, commissaire, et après avoir entendu les observations de M. Michel TEIXEIRA, adjoint au commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministère de la culture d'un projet d'arrêté relatif à la mise en œuvre de traitements automatisés de données à caractère personnel destinés à la vidéosurveillance et au contrôle de l'accès aux locaux des Archives nationales situés à Paris et à Pierrefitte-sur-Seine.
Les traitements projetés ont pour finalité de prévenir, constater et poursuivre des infractions pénales et peuvent concerner des lieux intéressant la sûreté de l'Etat et la sécurité publique. Il y a dès lors lieu de faire application des dispositions de l'article 26-I de la loi du 6 janvier 1978 modifiée qui soumettent la création de tels traitements à un arrêté ministériel pris après avis motivé et publié de la commission.
Sur les finalités des traitements :
A titre liminaire, la commission rappelle que l'installation de caméras dans des espaces ouverts au public ne saurait être couverte par le présent projet d'arrêté sur le fondement des dispositions de la loi du 6 janvier 1978 modifiée et doit faire l'objet d'une demande d'autorisation auprès de l'autorité préfectorale territorialement compétente, conformément aux dispositions du code de la sécurité intérieure.
Les traitements projetés ont pour objectif la sécurisation des locaux non ouverts au public des Archives nationales qui présentent des risques particuliers en matière de sécurité. Plus précisément, l'article ler dudit projet leur assigne deux finalités : d'une part, la protection des locaux et la prévention des atteintes aux biens et aux personnes par le recours à des dispositifs de vidéosurveillance et, d'autre part, le contrôle d'accès des personnes entrant dans ces mêmes lieux. Il précise que les dispositifs de contrôle d'accès et de vidéosurveillance peuvent être mis en œuvre de manière dissociée ou intégrée.
La commission prend acte que les dispositifs projetés ne visent pas à surveiller les membres du personnel des Archives nationales. Elle relève toutefois que, s'agissant des dispositifs de vidéoprotection, les images collectées pourront être utilisées, le cas échéant, dans le cadre d'une procédure disciplinaire à l'encontre d'un agent ayant mis en jeu la sécurité du site concerné, dans la mesure où cette utilisation n'apparaît pas incompatible avec les finalités qu'ils poursuivent. De manière générale, elle rappelle qu'un dispositif de vidéosurveillance installé sur un lieu de travail ne peut, par principe, avoir pour objet de placer un salarié ou un groupe de salariés sous surveillance constante.
Les bâtiments concernés sont les locaux non ouverts au public des sites des Archives nationales de Paris et de Pierrefitte-sur-Seine qui présentent des risques particuliers en matière de sécurité, notamment les « zones et locaux abritant le système d'information ISIS (messagerie et portail étatique de niveau confidentiel défense) ou abritant des données équivalentes ».
Il s'agit plus précisément des couloirs qui mènent aux magasins sécurisés d'archives et des magasins eux-mêmes, ainsi que des zones « frontières » entre les lieux ouverts au public et ceux réservés au personnel. Les caméras filmant spécifiquement ces zones enregistrent en continu, jour et nuit, et ne sont pas équipées d'un détecteur de mouvement déclenchant leur mise en marche.
Aux termes de l'article ler du projet d'arrêté, les dispositifs de vidéosurveillance ne peuvent être installés dans les « lieux d'intimité, ceux destinés aux activités syndicales ainsi que leurs accès et les endroits où sont susceptibles d'être tenus des échanges couverts par le secret professionnel ». Sont donc notamment exclus les dispositifs de vidéosurveillance qui filmeraient les toilettes, les vestiaires, les salles de repos et les locaux syndicaux.
S'agissant des dispositifs de contrôle d'accès, il est prévu l'utilisation d'un badge permettant d'accéder aux locaux des sites des Archives nationales concernés et l'installation de détecteurs d'intrusion. La commission relève qu'aucun autre type de dispositifs de contrôle d'accès, tels que ceux reposant sur l'utilisation de la biométrie, n'est prévu par le projet d'arrêté. Si, du fait de la spécificité de certains locaux, des dispositifs d'accès biométriques devaient être mis en œuvre, ceux-ci devraient faire l'objet d'une formalité préalable distincte auprès de la commission.
Au regard de ces éléments, la commission considère que les finalités poursuivies par les traitements projetés sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées et la nature des données traitées :
L'article 2 du projet d'arrêté énumère les catégories de données à caractère personnel et informations enregistrées dans les traitements mis en œuvre.
Aux fins du contrôle d'accès et quelle que soit leur qualité (agents, prestataires, visiteurs), toutes les personnes entrant dans les sites concernés des Archives nationales font l'objet d'une collecte de données, dans la mesure où l'accès à ces locaux présentant des risques particuliers en matière de sécurité doit faire l'objet d'une délivrance préalable de droits d'accès spécifiques.
Sont notamment collectés leurs nom et prénom, le nom de l'agent chargé de la délivrance des droits d'accès, les données relatives aux entrées et sorties, aux droits d'accès, aux éventuels incidents liés notamment au non-respect d'une interdiction d'accès ou à une tentative d'intrusion, une photographie d'identité et les images captées par le dispositif de vidéosurveillance. En ce qui concerne la collecte de la photographie des personnes concernées, la commission prend acte que le contrôle d'accès par reconnaissance faciale est expressément interdit par le projet d'arrêté.
D'autres catégories de données relatives aux accès et énumérées au même article du projet d'arrêté sont collectées et enregistrées, s'agissant des agents des sites des Archives nationales (sexe, numéro d'identification, adresse professionnelle, service d'affectation, plaque d'immatriculation en cas d'utilisation du parking), des prestataires habilités (sexe, type de prestation, nom et adresse de la société d'emploi, plaque d'immatriculation en cas d'utilisation du parking), ainsi que des visiteurs (motifs de la visite, nom de la personne visitée et service d'affectation). Elles n'appellent pas d'observation particulière de la part de la commission.
S'agissant spécifiquement des dispositifs vidéo, le projet d'arrêté prévoit que la captation ou l'enregistrement du son ne sont pas autorisés.
La commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 5 du projet d'arrêté prévoit que les images enregistrées par les caméras de vidéosurveillance sont conservées pendant un délai ne pouvant excéder trente jours. Au terme de ce délai, il est prévu que les enregistrements qui n'ont fait l'objet d'aucune transmission à l'autorité judiciaire ou qui n'ont pas été utilisées dans le cadre de poursuites disciplinaires soient effacés. La commission rappelle que cet effacement doit intervenir de manière sécurisée.
Cet article prévoit en outre que les éléments d'identification enregistrés dans les traitements mis en œuvre à des fins de contrôle d'accès sont conservés un an au plus à compter de la fin de la validité de l'autorisation d'accès pour les agents et les prestataires et trois mois au plus pour les visiteurs. Les éléments relatifs au déplacement des agents, prestataires et visiteurs sont quant à eux conservés trois mois au plus, à compter de la date de passage de la personne concernée.
La commission estime que ces durées de conservation sont conformes à l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les accédants et destinataires des données :
L'article 3 du projet d'arrêté prévoit que seuls ont accès aux données à caractère personnel, à raison de leurs attributions respectives et de leurs besoins d'en connaître :

- les agents chargés de la sécurité et de la surveillance du site concerné, spécialement désignés et individuellement habilités par le directeur des Archives nationales ou le chef du service de la sécurité et de la sûreté des Archives nationales ou le responsable du pôle sûreté du site concerné ;
- le directeur des Archives nationales, le chef du service de la sécurité et de la sûreté des Archives nationales, le responsable du pôle sûreté du site concerné au sein duquel les traitements sont mis en œuvre.

Ce même article prévoit que seuls les agents spécialement désignés et individuellement habilités par le directeur des Archives nationales ou le chef du service de la sécurité et de la sûreté des Archives nationales ou le responsable du pôle sûreté du site concerné peuvent rechercher et extraire des images ou des informations des systèmes de vidéosurveillance et de contrôle d'accès. A cet égard, la commission rappelle que toute opération de recherche ou d'extraction ne doit intervenir qu'en cas d'atteinte avérée à la sécurité d'un site présentant des risques particuliers en matière de sécurité.
La liste des personnes habilitées à accéder aux données à caractère personnel n'appelle pas d'observation de la part de la commission, qui prend acte qu'aucun autre destinataire n'est prévu par le projet d'arrêté.
Sur l'information et les droits des personnes :
L'article 9 du projet d'arrêté prévoit que les personnes susceptibles d'être filmées sont informées de l'existence d'un système de vidéosurveillance et des modalités d'accès aux images les concernant par affiches apposées à l'entrée des locaux concernés. Il est également prévu que la mise en œuvre des dispositifs de vidéosurveillance n'intervienne qu'après avis des comités compétents en matière d'hygiène, de sécurité et des conditions de travail.
La commission prend acte de ces éléments, ainsi que du fait que le ministère procédera à l'information des personnes concernées dans les conditions prévues à l'article 32-I de la loi du 6 janvier 1978 modifiée, y compris en ce qui concerne les dispositifs de contrôle d'accès.
Le droit d'opposition prévu à l'article 38 de cette même loi ne s'applique pas aux traitements autorisés par le projet d'arrêté, ce qui n'appelle pas d'observation particulière de la commission.
Enfin, il est prévu que les droits d'accès et de rectification prévus aux articles 39, 40 et 41 de la loi « Informatique et Libertés » s'exercent directement auprès du service des Archives nationales.
La commission prend acte qu'il est notamment fait application des dispositions prévues au dernier alinéa de l'article 41 de cette même loi, qui permettent, lorsque la communication d'informations aux personnes concernées ne met pas en cause la finalité d'un traitement, comme cela est le cas en l'espèce, de prévoir un droit d'accès direct dudit fichier.
Sur la sécurité des données et la traçabilité des actions :
L'article 4 du projet d'arrêté prévoit que toutes les opérations intervenant sur le traitement, y compris de recherche, d'extraction ou les simples consultations des données, font l'objet d'un enregistrement comprenant l'identifiant de l'utilisateur, la date et l'heure de l'opération. Ces données sont conservées pendant une durée d'un an.
L'article ler du projet d'arrêté prévoit que les traitements peuvent être mis en œuvre au sein des serveurs des postes centraux de sécurité des deux sites concernés à des fins de sécurité.
S'agissant des données collectées dans le cadre des dispositifs de contrôle d'accès, la commission relève que les images collectées sont visionnées en temps réel ou de manière différée, circonscrites à un réseau informatique local en l'absence de transmission WIFI.
Concernant la collecte de la photographie d'identité, la commission rappelle que des mesures de sécurité renforcées, telle que, par exemple, la limitation de la qualité de l'image numérisée, l'intégration d'un filigrane comportant la date de collecte et l'identité du responsable de traitement ou le recours à des mécanismes de chiffrement, doivent être mises en œuvre afin de se prémunir contre les risques de mésusage de ces données et, notamment, d'utilisation des photographies à des fins de reconnaissance faciale.
Enfin, le projet d'arrêté prévoit l'établissement d'un dossier technique décrivant les dispositifs mis en place, lequel est conservé sur le site des Archives nationales concerné et tenu à la disposition de la commission.
La commission rappelle que tous les dispositifs mis en œuvre devront bénéficier de mesures de sécurité satisfaisante afin de préserver la sécurité des données et notamment d'empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Conformément aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée, ces mesures de sécurité devront faire l'objet d'une mise à jour régulière au regard de l'évolution des risques encourus.