La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité le suivi de l'activité disciplinaire au sein de la police nationale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I (3°) ;
Vu la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 84-961 du 25 octobre 1984 modifié relatif à la procédure disciplinaire concernant les fonctionnaires de l'Etat ;
Vu le décret n° 2013-784 du 28 août 2013 relatif aux missions et à l'organisation de l'inspection générale de la police nationale ;
Vu l'arrêté du 28 août 2013 relatif à l'organisation de l'inspection générale de la police nationale ;
Vu le dossier et ses compléments ;
Sur la proposition de Mme Marie-France Mazars, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Formule les observations suivantes :
| Responsable du traitement | Le traitement est mis en œuvre par le directeur général de la police nationale (inspection générale de la police nationale ou IGPN) qui est chargé du contrôle des directions et des services de la direction générale de la police nationale (DGPN) et de la préfecture de police. |
|:--------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|
| Sur la finalité | Le traitement dénommé « Outil de suivi de l'activité disciplinaire » (OSADIS) vise à permettre à l'IGPN de réaliser la gestion et le suivi des enquêtes administratives et des procédures disciplinaires diligentées au sein de la police nationale, ainsi que des mesures de suspension, de détachement et d'affectations provisoires prononcées en application de l'article 30 de la loi du 13 juillet 1983.
Ce traitement est mis en place en vue de permettre d'une part, à l'IGPN, d'assurer sa mission de « contrôle [du] suivi de la mise en œuvre des sanctions prononcées par l'autorité ayant pouvoir disciplinaire », en application de l'article 3 du décret du 28 août 2013, et d'autre part, au ministère de l'intérieur, de renforcer le pilotage de la politique en matière de déontologie et de discipline, relativement aux forces de police, en réponse aux observations soulevées par la Cour des Comptes en 2010.
Cet outil permet également la mise à disposition de fonds documentaires et de statistiques relatifs à l'activité disciplinaire dans lesquels ne figure aucune donnée à caractère personnel.
Le traitement OSADIS est interconnecté avec le traitement « DIALOGUE », traitement de ressources humaines concernant les agents relevant du ministère de l'intérieur qui a été autorisé par le décret n° 2011-373 du 5 avril 2011. Cette opération permet d'alimenter le traitement OSADIS avec les données d'état civil et les données relatives à la situation professionnelle qui concernent les agents poursuivis disciplinairement et qui sont strictement nécessaires au suivi de l'activité disciplinaire.
La commission considère que ces finalités sont déterminées, explicites et légitimes. |
| Sur les données traitées | Dans le cadre de ce traitement, les catégories suivantes de données à caractère personnel sont collectées et traitées :
- les données relatives à l'identification des agents ;
- les données relatives à la vie professionnelle ;
- les données relatives aux conclusions de l'enquête administrative ;
- les données relatives aux procédures et aux sanctions disciplinaires ;
- les données relatives au suivi des mesures de suspension ;
- les données relatives au suivi des détachements et affectations provisoires des agents faisant l'objet ou non d'une mesure de contrôle judiciaire.
La liste détaillée des données collectées et traitées sera fixée par arrêté.
La commission rappelle que seules les données pertinentes, adéquates et non excessives au regard de la finalité poursuivie pourront être collectées et traitées. |
| Sur les destinataires | Les personnes ayant accès à tout ou partie des données du traitement, en raison de leurs attributions et dans la limite du besoin d'en connaître, sont :
- les agents individuellement désignés et habilités par leur supérieur hiérarchique, chargés de la réalisation des enquêtes administratives pré-disciplinaires relevant de la DGPN ou de la préfecture de police de Paris, chargés de la gestion des ressources humaines relevant de la DGPN ou de la préfecture de police de Paris, ou chargés de la gestion des ressources humaines des secrétariats généraux pour l'administration du ministère de l'intérieur et des services administratifs et techniques de la police nationale ;
- le supérieur hiérarchique des agents précédemment cités ;
- les agents de l'IGPN, individuellement désignés et habilités par leur supérieur hiérarchique dans le cadre des missions définies par le décret du 28 août 2013 et par l'arrêté de la même date ;
- les supérieurs hiérarchiques de l'agent visé par la procédure disciplinaire.
La commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement, dans la limite de leurs attributions et sous réserve que les données effectivement accessibles présentent un lien direct et nécessaire avec leurs fonctions. |
| Sur l'information et le droit d'accès | Les agents sont informés des mentions de l'article 32 de la loi du 6 janvier 1978 modifiée via le site intranet de la DGPN.
Les droits d'accès, de rectification et d'opposition pour motif légitime, prévus aux articles 38 à 40 de la loi du 6 janvier 1978 modifiée, s'exercent auprès de :
- la direction des ressources et des compétences de la police nationale, s'agissant des agents relevant de la DGPN ;
- la direction des ressources humaines de la préfecture de police de Paris, s'agissant des agents relevant de la préfecture de police de Paris.
La commission estime que ces modalités d'exercice des droits des personnes sont satisfaisantes. |
| Sur les mesures de sécurité |Le responsable du traitement, en application de l'article 34 de la loi du 6 janvier 1978 modifiée, doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et traitées, au regard de la nature des données, des risques présentés par le traitement, et notamment empêcher que des tiers non autorisés y aient accès par l'intermédiaire de mesures de sécurité physiques, logiques et organisationnelles.
En l'espèce, la commission relève l'existence de mesures de sécurité prises par le responsable de traitement.
Un mécanisme de gestion des habilitations permet de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions. Les personnes s'authentifient au moyen de leur carte agent combinée à un mot de passe respectant les recommandations de la commission. Il est rappelé que la gestion des habilitations doit faire l'objet de procédures formalisées, validées par le responsable de traitement, portées à la connaissance des utilisateurs et être régulièrement mise à jour.
Les échanges de données interviennent via un réseau VPN chiffré, garantissant ainsi la sécurité et la confidentialité des données échangées.
Un mécanisme de journalisation des accès à l'application et des opérations effectuées permet de détecter d'éventuels accès ou opérations non souhaitées ou interdites.
Enfin, des mesures nécessaires permettent d'assurer la maintenance du matériel et sa mise au rebut dans des conditions de sécurité satisfaisantes, en particulier s'agissant de l'absence de données à caractère personnel stockées dans les matériels remisés.
La commission précise que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Elle rappelle également qu'un responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants et, le cas échéant, que le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.
La commission rappelle enfin que l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.|
|Sur les autres caractéristiques du traitement| Les données traitées dans le cadre de ce dispositif sont :
- conservées deux mois à compter de la clôture de l'enquête administrative lorsqu'aucune procédure disciplinaire n'est engagée, ou à compter de la clôture de la procédure disciplinaire lorsqu'aucune sanction disciplinaire n'est prononcée. Les données sont ensuite anonymisées ;
- conservées jusqu'à l'expiration du délai de recours contentieux dirigé contre un avertissement ou une sanction entraînant l'exclusion définitive du service, et en cas de recours administratif ou contentieux, pendant six mois à compter de la date d'introduction de ce recours ;
- conservées deux mois à compter de la fin d'une mesure de suspension, de détachement ou d'affectation provisoire consécutive ou non à un contrôle judiciaire. Les informations relatives à la date, à la nature et aux modalités du contrôle judiciaire sont effacées dans un délai de deux mois au terme de celui-ci ;
- conservées trois ans à compter de la notification d'un blâme ;
- conservées dix ans à compter de la notification d'une sanction autre que celles précédemment citées.
En tout état de cause, les données sont supprimées lorsque l'agent cesse ses fonctions ou lorsque la sanction est annulée ou retirée.
La commission considère que les données enregistrées dans le traitement sont conservées pour une durée qui n'excède pas la durée nécessaire à la finalité pour laquelle elles sont collectées et traitées. |
Autorise, conformément à la présente délibération, l'IGPN à mettre en œuvre le traitement susmentionné.
1 version