| N° de demande d'avis : 21021329. |Texte concerné : projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel relatif à la sécurité des établissements, ouvrages, installations et activités nucléaires dénommé « traitement d'optimisation des données et informations d'intérêt nucléaire ».| |:--------------------------------------------------------------------------------------------------------------------------------------------------------------|:--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Thématiques : sécurité nucléaire, sûreté de l'Etat, intérêts fondamentaux de la Nation, demandes d'autorisation et d'habilitation dans le secteur du nucléaire.| Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. |

L'essentiel :
Le projet de décret autorise la mise en œuvre d'un « traitement d'optimisation des données et informations d'intérêt nucléaire ». Ce traitement vise à prévenir les atteintes à la sécurité nucléaire et à assurer la gestion des demandes d'autorisation et d'habilitation dans le secteur du nucléaire.
La Commission nationale de l'informatique et des libertés (CNIL) estime que ces finalités sont légitimes.
En outre, elle accueille favorablement la mise en œuvre de marqueurs spécifiques permettant d'identifier les données considérées comme intéressant la sûreté de l'Etat.
Néanmoins, la CNIL estime que les durées de conservation des dossiers d'habilitation au titre de la protection du secret de la défense nationale n'apparaissent pas suffisamment justifiées.

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Créé par le décret n° 2017-588 du 20 avril 2017, le commandement spécialisé pour la sécurité du nucléaire (CoSSeN) est un service à compétence nationale placé sous la double tutelle du ministre de l'intérieur et du ministre chargé de l'énergie. Il est rattaché au directeur général de la gendarmerie nationale du ministère de l'intérieur.
Ce service est venu compléter le dispositif de protection des sites nucléaires civils, dans un contexte sécuritaire exposant le secteur du nucléaire à des risques de malveillance (intrusion, sabotage, vol, etc.). Il a vocation à favoriser la mise en synergie d'un nombre élevé d'acteurs œuvrant pour la sécurité nucléaire.
Au sein du CoSSeN :

- le bureau du renseignement nucléaire (BRN) est chargé de collecter, centraliser, exploiter, analyser, synthétiser et diffuser le renseignement relatif aux menaces à la sécurité nucléaire ;
- le bureau des accédants au nucléaire (BAN) réalise les enquêtes administratives relatives aux demandes d'autorisation d'accès aux établissements, ouvrages, installations ou activités impliquant des matières nucléaires ou des sources de rayonnement ionisant, et a accès, dans ce cadre, au traitement « Automatisation de la consultation centralisée de renseignements et de données » (v. le décret n° 2017-1224 du 3 août 2017 portant création du traitement ACCReD) ;
- le bureau des habilitations (BHAB) instruit les demandes d'habilitation au secret de la défense nationale des personnes physiques ou morales dans le cadre de leur activité au sein de la filière nucléaire civile.

B. - L'objet de la saisine

Le ministère de l'intérieur a saisi la Commission nationale de l'informatique et des libertés (CNIL), sur le fondement de l'article 31 de la loi du 6 janvier 1978 (ci-après loi « informatique et libertés »), d'un projet de décret portant autorisation d'un traitement relatif à la sécurité des établissements, ouvrages, installations et activités nucléaires dénommé « traitement d'optimisation des données et informations d'intérêt nucléaire » (ci-après « ODIINuc »).
Ce traitement sera mis en œuvre par la direction générale de la gendarmerie nationale. Il s'inscrit dans une perspective de prévention des atteintes à la sécurité nucléaire d'une part, et de gestion des demandes d'autorisation et d'habilitation dans le secteur du nucléaire d'autre part.

II. - L'avis de la CNIL
A. - Sur les finalités et le régime juridique du traitement

Le traitement ODIINuc poursuit trois finalités distinctes. Il vise à :

- prévenir les atteintes à la sécurité nucléaire à partir de l'exploitation, par le BRN, d'informations concernant les personnes « impliquées » dans certains événements ;
- permettre le contrôle et le suivi, par le BAN, des demandes d'autorisation dans le secteur du nucléaire ;
- permettre le traitement et le suivi, par le BHAB, des demandes d'habilitation réalisées au titre de la protection du secret de la défense nationale dans le domaine du nucléaire.

Le traitement centralisera les informations collectées au titre de ces finalités pour :

- disposer d'une vue d'ensemble sur les événements susceptibles de porter atteinte à la sécurité nucléaire ainsi que sur les personnes accédant aux installations nucléaires et faisant l'objet d'une habilitation ;
- rapprocher des informations pour la production de notes de renseignement à destination des services ayant à en connaitre, en vue de prévenir des atteintes à la sécurité nucléaire.

L'accès aux données enregistrées au titre de chaque finalité fait l'objet d'habilitations spécifiques au personnel de chaque bureau. En ce qui concerne plus spécifiquement les agents du BRN, ceux-ci pourront avoir accès, au-delà des données auxquelles ils sont les seuls à avoir accès, aux données relatives aux décisions d'autorisation ou d'habilitation qui concernent les seules personnes impliquées dans des événements susceptibles de porter atteinte à la sécurité nucléaire.
Le traitement sera régi par les dispositions du titre III de la loi « informatique et libertés » sauf pour ce qui concerne les données relatives aux événements susceptibles de porter atteinte à la sûreté de l'Etat. Le traitement de ces données relèvera du titre IV de la même loi.
Selon les précisions apportées, les traitements relevant du titre IV correspondent aux traitements portant sur une partie des données traitées aux fins de prévention des « atteintes à la sécurité nucléaire susceptibles de provenir d'actes de malveillance, d'agressions ou de menaces ». Il s'agit, plus précisément, des données relatives aux événements susceptibles de porter atteinte :

- à la sécurité nucléaire ;
- et à la sûreté de l'Etat (soit à l'un des intérêts fondamentaux énumérés à l'article L. 811-3 du code de la sécurité intérieure).

Le projet de décret a été modifié pour préciser que ces données

- sont celles qui sont traitées au titre de la première finalité du traitement et qui révèlent des activités de nature à porter atteinte aux intérêts fondamentaux de la Nation ou constituer une menace terroriste portant atteinte à ces mêmes intérêts ;
- font l'objet d'une identification dans le traitement, de façon isolée ou groupée (marquage spécifique au sein du fichier).

La CNIL accueille favorablement la mise en œuvre de marqueurs spécifiques permettant de déterminer précisément les données considérées comme intéressant la sûreté de l'Etat, sur la base de critères précis. Une telle identification permet au responsable de traitement saisi d'une demande d'exercice des droits sur le fondement du titre III de la loi « informatique et libertés » de n'exclure de sa réponse que les données identifiées par avance, et sur la base de critères précis, comme relevant du régime du titre IV (en ce sens, v. par exemple CNIL, SP, 25 juin 2020, avis sur projet de décret, PASP, n° 2020-064, publié).

B. - Sur l'inscription de personnes impliquées dans des événements susceptibles de porter atteinte à la sécurité nucléaire
a) Le périmètre des personnes concernées

Le projet de décret autorise, au titre de la prévention des atteintes à la sécurité nucléaire, l'enregistrement de « données relatives aux personnes physiques impliquées dans des événements susceptibles de porter atteinte à la sécurité nucléaire ».
Selon les précisions apportées, l'« implication » d'une personne pourra être déduite d'un rôle actif joué dans le déroulé de l'événement (participation, directe ou indirecte à la réalisation de l'événement) ou d'une abstention fautive (absence de contrôle volontaire d'un badge par une personne chargée de s'assurer du droit d'accès à certaines installations, par exemple). Une personne victime d'un événement pourra, également, être inscrite au titre de personne « impliquée » (par exemple, en cas de vol d'un ordinateur contenant des données classifiées).
Ainsi, des personnes présentant des liens de nature et d'intensité variables avec l'événement pourront être enregistrées dans ODIINuc.
La CNIL recommande au ministère, dans la mise en œuvre du traitement, de bien caractériser le lien établi entre la personne et l'événement (distinction, en particulier, des personnes ayant joué un rôle actif dans la réalisation de l'événement et des victimes d'un tel événement).

b) Les données relatives à ces personnes
i. Catégories de données

Le projet de décret prévoit l'enregistrement de photographies de la personne impliquée dans l'événement, en tant qu'élément d'identification de cette personne. Il autorise également le traitement de « photographies de l'événement ». Ces dernières permettront d'illustrer l'événement, et notamment les modes d'action mis en œuvre. Elles pourront être issues de sources ouvertes.
La CNIL prend acte de l'absence de dispositif de reconnaissance faciale, dès lors que le décret ne prévoit pas le traitement de données biométriques.
S'agissant en particulier des photographies de l'événement, des modalités d'anonymisation seront mises en place pour protéger la vie privée des personnes non impliquées dans l'événement mais figurant sur la photographie (floutage irréversible des éléments d'identification - visage, plaque d'immatriculation - des personnes présentes sur la photographie mais non impliquées dans l'événement, avant enregistrement au sein du traitement).
La CNIL accueille favorablement la mise en place de tels mécanismes.

ii. Provenance des données

Les données relatives aux personnes impliquées dans un événement pourront provenir de différentes sources (contenus librement accessibles, informations transmises par des services de renseignement ou d'autres services, données issues d'autres traitements, etc.).
La CNIL prend acte de ce que le traitement sera alimenté de façon manuelle et non automatisée, après filtrage et analyse des éléments pertinents par les agents spécialement habilités du BRN.

c) Les durées de conservation de ces données

Les données relatives aux personnes impliquées dans un événement seront conservées au maximum cinq ans « après l'intervention du dernier événement révélant un risque pour la sécurité nucléaire ayant donné lieu à un enregistrement ».
Selon le ministère, cette durée a été déterminée au regard de l'existence de plusieurs événements survenus dans un intervalle de plusieurs années. Le ministère précise que la conservation des données sur un temps long permettrait de garantir un suivi efficace des personnes, et notamment celles susceptibles de porter atteinte à la sécurité nucléaire de façon répétée.
Or les informations relatives aux personnes impliquées dans un événement seront rattachées à une grande diversité d'événements - de nature et aux degrés de gravité qui diffèrent.
Ainsi, des mesures devront être mises en place pour que soient supprimées, avant l'expiration du délai de cinq ans, les données relatives aux événements pour lesquels le service estimerait qu'il n'y a plus de risque subsistant pour la sécurité nucléaire.

C. - Sur le traitement de données relatives aux demandes d'autorisation

S'agissant des demandes d'autorisation, la procédure actuelle repose sur une transmission de la demande au traitement ACCReD. Après criblage au sein de ce traitement et analyse des résultats, le BAN dépose sur le portail ACCReD un avis à destination du service demandeur. Sur la base de cet avis, le service demandeur prend la décision d'autoriser ou de refuser à la personne un accès à certains sites ou activités. Le traitement ODIINuc constituera un portail permettant la saisie et la transmission des données vers ACCReD et dans lequel seront également centralisés les demandes d'autorisation et les avis afférents.
Dans cette perspective, pourront être enregistrées dans ODIINuc des informations relatives au motif d'enregistrement, à l'identification de la personne (données d'état civil, immatriculation du véhicule, niveau d'habilitation, etc.), à la demande (date, motif, etc.) ainsi qu'à l'avis et à la décision d'autorisation (sens de l'avis, date de transmission, date et sens de la décision, recours éventuels). Les éléments relatifs aux enquêtes administratives ne seront pas enregistrés dans ODIINuc et sont conservés dans le traitement ACCReD.
Les données relatives aux personnes faisant ou ayant fait l'objet d'une demande d'autorisation seront conservées dans ODIINuc pendant une durée maximale de cinq années. La CNIL relève que ces données sont également conservées dans le traitement ACCReD, auquel le CoSSeN a accès.
Le ministère indique que la conservation de ces données lui permettra de disposer d'un historique des demandes en cas de nouvelle enquête. D'autre part, la conservation des données relatives aux demandes d'autorisation lui permettra d'identifier et de se prémunir d'une menace interne provenant de personnes titulaires d'une autorisation. En effet, certaines de ces données pourront être traitées pour générer des alertes à des fins de prévention des menaces à la sécurité nucléaire. En particulier, il s'agira d'alerter le BRN qu'un individu inscrit au titre de personne impliquée dans un événement est également enregistré au titre d'une demande d'autorisation.
Des mesures devront être mises en place pour que soient supprimées, avant l'expiration du délai de cinq ans, les catégories de données dont la conservation ne serait pas nécessaire au suivi des demandes d'autorisation, ou aux alertes ci-dessus évoquées.

D. - Sur la conservation des données relatives aux demandes d'habilitation

Pour les demandes d'habilitation, pourront être enregistrées des informations relatives au motif de l'enregistrement, à l'avis et à la décision d'habilitation, ainsi que les données figurant dans le dossier de demande d'habilitation annexé à l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale.
Ces données apparaissent pertinentes pour permettre au BHAB de traiter et de suivre les demandes d'habilitation réalisées au titre de la protection du secret de la défense nationale dans le domaine du nucléaire.
Le décret prévoit que ces données seront conservées pendant un an à compter de l'expiration de la durée de validité de la dernière habilitation (qui peut atteindre sept ans) ou, en cas de refus, cinq ans à compter de la décision de refus.
Par dérogation, les informations suivantes seront conservées cinq ans après l'expiration de la durée de validité de la dernière habilitation :

- le motif de l'enregistrement ;
- les informations liées à l'avis et à la décision d'habilitation ;
- certains éléments d'identification renseignés dans le dossier de demande d'habilitation.

Ces durées sont apparues nécessaires pour assurer :

- un traitement fluide des demandes de renouvellement (lorsqu'une demande intervient après l'expiration du délai de validité de l'habilitation) ;
- le suivi de personnes ayant eu à connaître d'informations classifiées dans le domaine du nucléaire ou dont les vulnérabilités ont fait obstacle à leur habilitation.

La CNIL ne remet pas en cause la nécessité de conserver, pendant plusieurs années, le motif de l'enregistrement, les informations liées à l'avis et à la décision d'habilitation, ainsi que certains éléments d'identification de la personne concernée.
Par ailleurs, elle accueille favorablement le principe d'une durée de conservation réduite pour la majorité des données issues du dossier de demande d'habilitation.
Elle observe néanmoins que ces données pourront, selon la durée de validité de l'habilitation en cause, être conservées pendant huit ans.
La CNIL estime qu'une conservation de ces données pendant plusieurs années n'apparait pas suffisamment justifiée.
En effet, ODIINuc vise à permettre l'envoi de la demande d'habilitation au service enquêteur et la réception de l'avis de sécurité résultant de l'enquête. Le dossier de demande d'habilitation nécessaire à l'enquête par la direction générale de la sécurité intérieure (DGSI) ne devrait être conservé que le temps de l'instruction de la demande. Par ailleurs, la DGSI conserve déjà les données relatives aux dossiers de demande d'habilitation dans ses propres traitements y compris lorsqu'ils concernent la sécurité nucléaire. Dès lors, la conservation de ces données à caractère personnel dans une autre base de données n'apparaît pas conforme au principe de minimisation.

E. - Sur les accédants au traitement

Le projet de décret prévoit que seuls les agents du CoSSeN ont accès à tout ou partie des données du traitement.
Or certains de ces accédants ne seront pas seulement chargés d'accéder aux données, mais pourront aussi enregistrer des données dans le traitement.
Pour éviter toute ambiguïté, le projet de décret devrait préciser que ces accédants pourront de façon plus générale accéder « au traitement », c'est-à-dire avoir accès aux données mais également enregistrer certaines données.

F. - Sur l'exercice des droits

Les personnes seront informées du traitement de leurs données dans les conditions prévues par les articles 104 et 116 de la loi « informatique et libertés ».
Le droit à l'information pourra faire l'objet de restrictions, dans les conditions prévues au 1 du II de l'article 107 et au III de l'article 116 de la loi « informatique et libertés » (pour, respectivement, les traitements relevant des titres III et IV).
La CNIL souligne que, lorsqu'il s'agit d'instruire une demande d'habilitation ou d'autorisation, la mise en œuvre de telles restrictions n'apparaît pas nécessaire. S'agissant du traitement des données relevant du titre IV, les restrictions ne devront être utilisées que lorsque cela est nécessaire aux finalités du traitement.

G. - Sur les mesures de sécurité

Concernant la traçabilité des accès et des actions, le projet de décret prévoit que les données de traçabilité seront conservées pendant trois ans.
Cette durée de conservation apparait pertinente au regard de la sensibilité des données traitées. Néanmoins, la CNIL rappelle l'importance de la mise en œuvre d'outils de détection automatisés permettant une réaction rapide en cas d'actions malveillantes qui seraient réalisées sur le traitement.
Concernant les modalités d'accès aux fonctionnalités de partage de fichiers du portail, la CNIL rappelle le besoin impérieux d'assurer l'intégrité et la confidentialité des phases de réception, d'envoi, de lecture et d'extraction des données issues des pièces transmises et d'en limiter l'accès au seul droit d'en connaître.
S'agissant des mots de passe, elle rappelle le besoin de se conformer à la délibération n° 2022-100 du 21 juillet 2022 portant adoption d'une recommandation relative aux mots de passe et autres secrets partagés, et abrogeant la délibération n° 2017-012 du 19 janvier 2017.
Par ailleurs, la CNIL prend acte :

- de ce que les données en transit font l'objet d'un chiffrement permettant d'assurer le respect de la confidentialité des échanges ;
- de ce que les environnements de non-production n'utilisent pas de données réelles ;
- de ce qu'une gestion des accès logiques sera mise en œuvre sur la base du droit d'en connaître en cohérence avec un cloisonnement d'accès aux données intégrant une gestion par profils des utilisateurs.

Enfin, elle préconise la mise en œuvre de sauvegardes au repos chiffrées.