| Date de l'avis : 23 novembre 2023 | N° de la délibération : n° 2023-122 | |:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23011634 |Texte concerné : projet de décret modifiant le décret n° 2017-1224 du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation de renseignements et de données » (ACCReD) et le code de la sécurité intérieure| | Thématiques : enquêtes administratives | Fondement de la saisine : article 31-II de la loi du 6 janvier 1978 et article L. 211-11-1 du code de la sécurité intérieure | |L'essentiel :
1. La CNIL considère justifiées les mises en relation entre le traitement « Automatisation de la consultation de renseignements et de données » (ACCReD) qui permet de faciliter les enquêtes administratives et les traitements de données à caractère personnel projetés (le casier judiciaire national et deux fichiers d'Interpol).
2. Elle relève que des garanties ont été mises en œuvre dans le cadre de la consultation des traitements projetés, notamment la mise en place de vérifications complémentaires en cas de réponse positive (« hit »).| |

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret modifiant le décret n° 2017-1224 du 3 août 2017 portant création d'un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation de renseignements et de données » (ACCReD) et le code de la sécurité intérieure ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31 et ses titres III et IV ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la deliberation suivante :

I. - La saisine
A. - Le contexte de la saisine

Dans ses délibérations n° 2017-152 du 18 mai 2017 et n° 2019-096 du 11 juillet 2019, la CNIL s'est prononcée sur le traitement de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données » (ACCReD).
La CNIL a rappelé que la réalisation d'enquêtes administratives doit s'accompagner de garanties fortes pour s'assurer que les enquêtes ainsi réalisées, qui conduisent au traitement de données particulièrement sensibles sur un nombre de plus en plus important de personnes, ne portent pas d'atteinte excessive au droit au respect de la vie privée des intéressés.
Le traitement ACCReD a pour finalité de faciliter la réalisation d'enquêtes administratives en application :

- des articles L. 114-1 et L. 114-2 du code de la sécurité intérieure (CSI) portant sur l'accès à certains emplois, par exemple dans le domaine du transport public de personnes ou de marchandises dangereuses ;
- de l'article L. 211-11-1 du CSI portant sur l'accès à certains lieux considérés comme sensibles dans le cadre de grands évènements ;
- de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 d'orientation et de programmation relative à la sécurité et d'exploiter les informations recueillies dans ce cadre, pour l'instruction des demandes d'acquisition de la nationalité française et de délivrance et de renouvellement des titres relatifs à l'entrée et au séjour des étrangers et des demandes de visa ou d'autorisation de voyage.

Le service national des enquêtes administratives de sécurité (SNEAS) constitue le service interministériel chargé de la réalisation des enquêtes administratives prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI et à l'article 17-1 de la loi du 21 janvier 1995. Le commandement spécialisé pour la sécurité nucléaire (CoSSeN) est chargé de la réalisation des enquêtes relatives au secteur du nucléaire relevant de l'article L. 114-1 du CSI.
Dans la mesure où le traitement ACCReD a pour objet de faciliter la réalisation d'enquêtes administratives en permettant la consultation automatique de traitements de données à caractère personnel relevant du titre III de la loi du 6 janvier 1978 modifiée transposant la directive (UE) 2016/680 du 27 avril 2016, ainsi que l'interrogation de traitements intéressant la sûreté de l'Etat, ce traitement relève du régime juridique des titres III et IV de la loi précitée.

B. - L'objet de la saisine

La CNIL a été saisie par le ministère de l'intérieur pour avis sur un projet de décret modifiant :

- le décret n° 2017-1224 du 3 août 2017 portant création du traitement ACCReD ;
- l'article R. 211-32 du CSI pris en application de l'article L. 211-11-1 du CSI et relatif aux enquêtes administratives préalables à l'accès de certaines personnes aux établissements et installations accueillant des grands évènements exposés à un risque d'actes de terrorisme ou des grands rassemblements de personnes ayant pour objet d'assister à la retransmission de ces évènements.

Ces modifications portent essentiellement sur l'ajout de traitements de données à caractère personnel pouvant faire l'objet d'une consultation, ainsi que l'ajout de destinataires.

II. - L'avis de la CNIL
A. - Sur la modification du décret du 3 août 2017 portant création du traitement ACCReD

1. Sur les mises en relation projetées

Le projet de décret modifie l'article 7 du décret du 3 août 2017 afin de permettre au traitement ACCReD de consulter de manière automatisée de nouveaux traitements de données à caractère personnel :

- le casier judiciaire national ;
- deux fichiers d'Interpol : le fichier des documents de voyage volés et perdus (SLTD) et le système d'information criminelle d'Interpol (ICIS).

Le ministère a indiqué que la sécurisation des jeux Olympiques et Paralympiques de 2024 impliquera la réalisation d'enquêtes administratives.
Le traitement ACCReD interrogera le casier judiciaire national, puis le retour de l'interrogation se fera par un code restant à définir pour les situations suivantes :

- B2 néant ;
- B2 avec mention ;
- identité ne figurant pas au Répertoire national d'identification des personnes physiques ;
- connu au B2.

En cas de retour positif du casier judiciaire national (« connu au B2 »), le casier judicaire national transmettra le B2 au SNEAS ou au CoSSeN par courrier postal. La date et la nature de la condamnation seront manuellement intégrées dans le traitement ACCReD.
Dans la mesure où la mise en relation entre le casier judiciaire national et le traitement ACCReD ne donne pas lieu à la mise en œuvre de moyens automatisés, la CNIL estime que cette mise en relation constitue un rapprochement.
Le ministère de l'intérieur a fait part de son souhait de supprimer à l'avenir la procédure d'envoi du B2 par courrier postal et la remplacer par une procédure dématérialisée via une « interface de programmation applicative » (API). Le B2 continuera à ne pas être automatiquement intégré dans le traitement ACCReD. A cet égard, la CNIL rappelle que l'article 777-3 du code de procédure pénale interdit toute interconnexion entre le casier judiciaire national et tout autre traitement de données à caractère personnel détenu par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.
Concernant la consultation des deux fichiers d'Interpol (SLTD et ICIS), l'article 10 du règlement d'Interpol sur le traitement des données prévoit qu'ils peuvent être consultés dans le cadre de contrôles de sécurité. Au regard des finalités du traitement ACCReD, la CNIL considère que la consultation de ces deux fichiers d'Interpol est justifiée.
En raison des enjeux importants résultant, pour les personnes concernées, de la consultation de ces traitements, la CNIL rappelle que des garanties doivent être mises en œuvre pour que leur consultation automatique ne conduise pas à ce que des avis ou des décisions résultent de la seule inscription d'une personne dans un traitement de données à caractère personnel. A cet égard, elle prend acte de ce que des vérifications complémentaires seront réalisées par les services et autorités compétentes en cas de réponse positive (« hit ») et que la consultation des fichiers visés sera limitée à certains types d'enquêtes administratives (uniquement les enquêtes prévues aux articles L. 114-1, L. 114-2 et L. 211-11-1 du CSI, à l'exclusion des enquêtes prévues à l'article 17-1 de la loi du 21 janvier 1995).
Par ailleurs, dans l'hypothèse où des transferts de données à caractère personnel hors de l'Union européenne seraient effectués, la CNIL rappelle la nécessité de se conformer aux articles 112 à 114 du titre III de la loi du 6 janvier 1978 modifiée et aux articles 123 et 124 du titre IV de la même loi.

2. Sur les destinataires

Le projet de décret prévoit que le préfet de police de Paris puisse recevoir communication du sens de l'avis ou de la décision prise concernant les autorisations d'accès à un établissement ou une installation, mentionnés à l'article L. 211-11-1 du CSI lorsque celui-ci est situé dans les départements de la petite couronne et sur les emprises aéroportuaires parisiennes.
Dans la mesure où en vertu de l'article L. 122-2 du CSI, le préfet de police est compétent en matière d'ordre public sur les territoires précités, la CNIL considère comme justifié l'ajout de ce destinataire dans le traitement ACCReD.

3. Sur les mesures de sécurité

La CNIL prend acte :

- de la mise en œuvre d'une gestion des droits d'accès par profil dans la limite du besoin d'en connaître, pour chacun des services concernés, SNEAS et CoSSeN ;
- de l'usage d'une authentification forte pour les accès des agents du SNEAS ainsi que pour les agents du CoSSeN. En situation dégradée, les agents du SNEAS seront en capacité d'utiliser une solution d'authentification à double facteur alors que les agents du CoSSeN pourront accéder à ACCReD à l'aide d'un couple identifiant et mot de passe ;
- de la mise en œuvre de solutions de sauvegarde. Elle rappelle toutefois la nécessité de réaliser périodiquement des tests de restauration de ces dernières afin de s'assurer de leur bon fonctionnement ;
- de la mise en œuvre de flux chiffrés pour l'accès des utilisateurs au traitement ACCReD ;
- de la mise en œuvre de communications authentifiées et chiffrées entre ACCReD et les traitements interrogés, permettant ainsi d'assurer le respect de la sécurité et la confidentialité desdites communications.

Par ailleurs, l'article 6 du décret du 3 août 2017 relatif au traitement ACCReD prévoit que les données de journalisation sont conservées pendant six ans. Conformément à la délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation, la CNIL rappelle la nécessité de mettre en œuvre une durée de conservation des journaux n'excédant pas trois ans. La CNIL rappelle également l'importance de la mise en œuvre d'outils de détection automatisés permettant une réaction rapide en cas d'actions malveillantes qui seraient réalisées sur le traitement.
La CNIL rappelle enfin la nécessité de respecter un niveau de sécurité suffisant dans le cadre de la communication du sens de l'avis ou de la décision auprès des destinataires de tout ou partie des données d'ACCReD, notamment du préfet de police de Paris.

B. - Sur la modification de l'article R. 211-32 du CSI portant sur les grands évènements

Le projet de décret prévoit la consultation de cinq nouveaux traitements dans le cadre des enquêtes administratives relevant de l'article R. 211-32 du CSI :

- le casier judiciaire ;
- les fichiers SLTD et ICIS d'Interpol ;
- les traitements SIRCID et TREX mis en œuvre par le ministère des armées.

Dans la mesure où la consultation des traitements SIRCID et TREX (anciennement dénommé fichier de la DGSE) est déjà prévue par l'article 7 du décret du 3 août 2017 relatif au traitement ACCReD, l'ajout de la consultation de ces deux traitements à l'article R. 211-32 du CSI n'appelle pas d'observations de la part de la CNIL.
Concernant l'ajout de la consultation du casier judiciaire et des fichiers SLTD et ICIS d'Interpol, la CNIL renvoie à ses observations précédentes dans le cadre de la modification du traitement ACCReD.
Par ailleurs, le projet de décret précise à l'article R. 211-32 du CSI les compétences du préfet de police de Paris dans les départements de la petite couronne et sur les emprises aéroportuaires parisiennes en matière d'accès aux établissements et installations mentionnés à l'article L. 211-11-1 du CSI. La CNIL renvoie à ses observations précédentes dans le cadre de la modification du traitement ACCReD.