Retour à la section

Délibération n°2023-124 du 7 décembre 2023

JORF n°0091 du 18 avril 2024

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

Avis de la Commission nationale de l'informatique et des libertés sur le projet de décret relatif aux traitements DIO

Résumé La CNIL examine le projet de décret sur les traitements DIO et propose des améliorations sur les finalités, les durées de conservation, les liens avec d'autres traitements, les droits des personnes et les mesures de sécurité.

| Date de l'avis : 7 décembre 2023 | N° de la délibération : 2023-124
RU n° 79 | |:------------------------------------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 22014139 |Texte concerné : projet de décret modifiant le décret n° 2014-187 du 20 février 2014 relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales| |Thématiques : police judiciaire, renseignement criminel, gestion électronique des documents| Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés |

L'essentiel :
Le projet de décret modifie le décret n° 2014-187 du 20 février 2014 relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales.
Ces traitements ont pour finalité de faciliter la diffusion et le partage d'informations entre les services de la police et de la gendarmerie nationales investis de missions de police judiciaire.
Le projet de décret autorise l'enregistrement de nouvelles catégories de données et modifie les durées de conservation. Il procède également à une mise en conformité des traitements avec la réglementation relative à la protection des données.
La CNIL estime que ces évolutions sont légitimes. En outre, elle accueille favorablement les garanties mises en place pour encadrer le traitement de données sensibles.
Toutefois, elle considère que des mesures devraient être prises pour assurer l'effacement anticipé de certaines données, notamment celles issues d'autres fichiers.
Ces mesures devront être effectives pour l'ensemble des traitements couverts par le décret.
La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment son titre III ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. Le contexte

Le décret n° 2014-187 du 20 février 2014 autorise la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales.
Les traitements de diffusion opérationnelle (ci-après « DIO ») ont pour finalité de faciliter la diffusion et le partage d'informations entre les services de la police et de la gendarmerie nationales investis de missions de police judiciaire.
Selon les précisions apportées, trois traitements sont actuellement mis en œuvre sur le fondement du décret du 20 février 2014. Il s'agit des traitements « PIO » (mis en œuvre par la direction générale de la gendarmerie nationale, ou « DGGN »), « ODICOP » (mis en œuvre par la direction générale de la police nationale, ou « DGPN »), et CORAIL (mis en œuvre par la préfecture de police et la DGPN).

B. L'objet de la saisine

Le ministère de l'intérieur a saisi la CNIL d'un projet de décret modifiant le décret du 20 février 2014 encadrant les traitements « DIO », en vue :

- d'autoriser le traitement de nouvelles catégories de données ;
- de modifier les durées de conservation des données ;
- et de mettre en conformité les traitements avec la réglementation relative à la protection des données, s'agissant notamment des dispositions relatives à l'exercice des droits.

La DGGN entend mettre en œuvre, sur le fondement de ce décret, un traitement dénommé « application de traitement du renseignement criminel » (ATRC). L'ATRC constitue un logiciel de gestion électronique de documents (GED) comportant les messages, fiches et synthèses en lien avec les enquêtes en cours et l'activité judiciaire des unités, ou encore les analyses de la délinquance constatée par ces unités. Des données et documents de l'ATRC seront issus d'autres fichiers.
Une analyse d'impact relative à la protection des données à caractère personnel (AIPD) a été transmise à la CNIL, conformément à l'article 90 de la loi du 6 janvier 1978 (ci-après loi « informatique et libertés »).

II. - L'avis de la CNIL
A. Sur les traitements couverts par le décret

Le décret constitue un acte réglementaire unique (ou « décret-cadre »), sur le fondement duquel plusieurs traitements peuvent être mis en œuvre. Ces traitements doivent répondre à une même finalité, porter sur des catégories de données identiques et avoir les mêmes destinataires ou catégories de destinataires (article 31-IV de la loi « informatique et libertés »).
Lorsque la CNIL est saisie d'une demande d'avis portant sur un acte réglementaire unique, l'AIPD doit couvrir l'ensemble des traitements autorisés par le projet et susceptibles d'être mis en œuvre après son entrée en vigueur. Chaque traitement doit, ensuite, faire l'objet de l'envoi d'un « engagement de conformité » à la CNIL (article 31-IV précité). Cette AIPD d'ensemble ou « cadre » (v. CE, sect. de l'int., 8 janvier 2019, n° 396340) peut, le cas échéant, être complétée des AIPD relatives à des traitements spécifiques qui auraient été réalisées à la date de la saisine.
L'AIPD transmise concerne le traitement « ATRC ». Or, d'autres traitements sont actuellement mis en œuvre sur le fondement du décret-cadre (les traitements « PIO », « CORAIL » et « ODICOP », précités).
La CNIL estime que l'AIPD relative à l'ATRC peut tenir lieu d'AIPD cadre, à condition qu'elle couvre les caractéristiques essentielles et communes à l'ensemble des traitements, actuels et projetés, mis en œuvre sur le fondement du décret-cadre.

B. Sur les données enregistrées dans les traitements
a. La collecte de nouvelles catégories de données

Le projet de décret autorise le traitement de nouvelles données. En outre, il étend la catégorie des données relatives aux « personnes mises en cause ou recherchées » aux « auteurs non identifiés ». Enfin, il permet le traitement de données relatives aux personnes morales au titre de cette dernière catégorie.
Ces modifications n'appellent pas d'observations.

b. Le traitement de données sensibles

Le décret relatif aux traitements « DIO » :

- autorise le traitement de données « sensibles » (au sens de l'article 6-I de la loi « informatique et libertés » en vigueur) ;
- encadre l'exploitation de ces données, en prévoyant notamment qu'il est interdit de sélectionner une catégorie particulière de personnes à partir de ces seules données.

Le projet de décret modifie ces dispositions, en prévoyant l'exclusion du traitement de données génétiques et biométriques.
Selon les précisions apportées, des données sensibles pourront être enregistrées dans l'ATRC par l'intermédiaire des documents transmis (fiches enquêtes, par exemple) et des formulaires descriptifs associés à ces documents.
Ces données ne pourront constituer des critères de recherche dans le traitement, y compris dans le cadre d'une recherche « multicritères ».
La CNIL accueille favorablement cette exclusion, qui permet de limiter les risques de mésusage du fichier et de détournement des finalités du traitement.
Il apparait en effet que :

- des recherches à partir de données sensibles ne sont pas nécessaires aux finalités des traitements « DIO », qui ne constituent pas des fichiers de recherche ni d'identification de personnes ;
- l'exclusion de telles recherches permettra de prévenir le recensement de l'ensemble des personnes appartenant à une catégorie (par exemple, les personnes mises en cause) qui présentent un même élément d'identification sensible (par exemple, les opinions politiques, la prétendue origine raciale ou l'origine ethnique).

Des garanties similaires devront être mises en place pour l'ensemble des traitements couverts par le décret-cadre.

C. Sur les durées de conservation

Le projet de décret modifie les durées de conservation maximales des données. Ainsi, la conservation des données relatives aux délits passe de trois à six ans.
La CNIL souligne que les données ne peuvent être conservées que si elles sont nécessaires aux finalités des traitements, qui en l'espèce visent à faciliter le partage d'informations « sur les enquêtes en cours ou les personnes qui en font l'objet » (article 1er du décret).
Au regard de ces éléments, des mesures devront être mises en place pour assurer, le cas échéant, la suppression des données avant l'expiration du délai de conservation maximal, dès la clôture de l'enquête.
A défaut, les données devront faire l'objet d'un archivage intermédiaire avec restriction des accès.
Enfin, la CNIL accueille favorablement la mise en place d'un mécanisme de suppression automatique par défaut à l'issue des durées de conservation maximales.

D. Sur les mises en relation avec d'autres traitements

Les traitements « DIO », qui ont pour objet le partage d'informations opérationnelles, pourront contenir de nombreuses informations issues d'autres traitements.
Pour le traitement « ATRC », il s'agira :

- d'intégrer des documents et informations issus du fichier des personnes recherchées (FPR), du fichier des objets et des véhicules signalés (FOVeS), du système informatique national du système d'information Schengen (N-SIS), et de traitements gérés par les organismes de coopération internationale en matière de police judiciaire ou les services de police étrangers ;
- de produire des analyses après consultation d'informations dans le traitement d'antécédents judiciaires (TAJ).

L'ATRC sera donc mis en relation avec les traitements précités.
Ces mises en relation, qui prennent la forme de rapprochements, apparaissent légitimes.
Elles impliquent néanmoins la centralisation, au sein d'un même traitement, de nombreuses données issues d'autres fichiers. Ainsi, le traitement devra être mis en œuvre avec la plus grande vigilance.
D'une part, il conviendra de garantir que les fiches et signalements issus du FPR, du FOVeS et du N-SIS sont accessibles, dans l'ATRC, aux seules personnes habilitées à accéder à ces éléments à partir des traitements source. Un cloisonnement de l'information devra, le cas échéant, être mis en place.
D'autre part, il n'est pas exclu qu'une fois supprimés des fichiers source, ces éléments continuent d'être conservés dans l'ATRC. Une telle conservation conduirait au traitement de données inexactes, relatives à l'inscription d'une personne dans un fichier au titre de personne recherchée ou surveillée.
Ces éléments devront dès lors être supprimés à compter de leur effacement des traitements source. Des mesures devront être prises pour garantir cette mise à jour dans les meilleurs délais possibles (v. CNIL, SP, 14 février 2013, avis sur projet de décret, DIO, n° 2013-039, publié).
Un mécanisme reposant sur la génération d'alertes, à la date de suppression de la fiche du traitement source ou à intervalles réguliers (pour les fiches ne comportant pas de date d'échéance prédéterminée), pourrait être déployé. A défaut, des mentions devront être apposées sur les fiches pertinentes pour que des vérifications soient effectuées.
Enfin, la CNIL prend acte de l'engagement du ministère de mettre à jour l'AIPD pour mentionner la mise en relation de l'ATRC avec le traitement N-SIS.

E. Sur les droits des personnes

Le projet de décret met à jour les dispositions relatives aux droits des personnes concernées par le traitement de leurs données.
Il prévoit que les droits d'information, d'accès, de rectification, d'effacement et à la limitation des données s'exercent directement auprès du responsable de traitement. Des restrictions sont possibles sur le fondement des 2° et 3° du II et du III de l'article 107 de la loi « informatique et libertés ».
La CNIL estime que le décret doit être modifié pour préciser les services auprès desquels s'exerce le droit d'accès (2° de l'article 35 de la loi « informatique et libertés »).
S'agissant du droit à l'information, l'article 104 de la loi « informatique et libertés » impose au responsable de traitement de « mettre à disposition » des personnes concernées cette information, de façon permanente et sans demande de leur part. La rédaction du décret selon laquelle le droit à l'information « s'exerce auprès » de l'administration, correcte pour les autres droits prévus par la loi « informatique et libertés », est donc inappropriée pour le droit à l'information.
La CNIL prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.

F. Sur les mesures de sécurité

La CNIL n'ayant accès qu'à l'AIPD relative à l'ATRC, elle ne se prononce que sur les conditions matérielles relatives à ce traitement. Cette analyse peut être étendue aux traitements se basant sur le même décret cadre à condition que leurs caractéristiques de mise en œuvre soient analogues.
La CNIL prend acte de la mise en œuvre de l'ATRC dans un environnement sécurisé qui minimise les possibilités d'accès non désiré à la base de données.
Dans une optique de défense en profondeur, elle recommande que la base et les sauvegardes intègrent des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité (RGS).
Dans le fonctionnement courant du traitement, l'application permet à l'utilisateur de télécharger les documents sur son poste de travail et de les transmettre par courriel. Cette modalité augmente les risques d'atteinte à la confidentialité des documents transmis et de non-respect des durées de conservation. Par conséquent, la CNIL appelle le ministère à en décourager l'usage pour privilégier des mécanismes de partage internes à l'application elle-même, assortis des mécanismes de chiffrement appropriés.
La CNIL prend acte de la mise en place d'une journalisation. Elle rappelle que le traitement de ces données a pour seule finalité la détection et la prévention d'opérations illégitimes sur les données du traitement. Si la durée de conservation des données de journalisation de trois années peut se justifier en raison de de la gravité et de la vraisemblance du risque pour les personnes en cas de détournement des finalités du traitement, il est nécessaire de mettre en œuvre des mesures alternatives de levée d'alerte pour prévenir d'éventuels détournements. La CNIL accueille favorablement l'existence d'un tel dispositif.

1 version

Historique des versions

Version 1

Date de l'avis : 7 décembre 2023

N° de la délibération : 2023-124

RU n° 79

N° de demande d'avis : 22014139

Texte concerné : projet de décret modifiant le décret n° 2014-187 du 20 février 2014 relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales

Thématiques : police judiciaire, renseignement criminel, gestion électronique des documents

Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

L'essentiel :

Le projet de décret modifie le décret n° 2014-187 du 20 février 2014 relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales.

Ces traitements ont pour finalité de faciliter la diffusion et le partage d'informations entre les services de la police et de la gendarmerie nationales investis de missions de police judiciaire.

Le projet de décret autorise l'enregistrement de nouvelles catégories de données et modifie les durées de conservation. Il procède également à une mise en conformité des traitements avec la réglementation relative à la protection des données.

La CNIL estime que ces évolutions sont légitimes. En outre, elle accueille favorablement les garanties mises en place pour encadrer le traitement de données sensibles.

Toutefois, elle considère que des mesures devraient être prises pour assurer l'effacement anticipé de certaines données, notamment celles issues d'autres fichiers.

Ces mesures devront être effectives pour l'ensemble des traitements couverts par le décret.

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, et notamment son titre III ;

Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. Le contexte

Le décret n° 2014-187 du 20 février 2014 autorise la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales.

Les traitements de diffusion opérationnelle (ci-après « DIO ») ont pour finalité de faciliter la diffusion et le partage d'informations entre les services de la police et de la gendarmerie nationales investis de missions de police judiciaire.

Selon les précisions apportées, trois traitements sont actuellement mis en œuvre sur le fondement du décret du 20 février 2014. Il s'agit des traitements « PIO » (mis en œuvre par la direction générale de la gendarmerie nationale, ou « DGGN »), « ODICOP » (mis en œuvre par la direction générale de la police nationale, ou « DGPN »), et CORAIL (mis en œuvre par la préfecture de police et la DGPN).

B. L'objet de la saisine

Le ministère de l'intérieur a saisi la CNIL d'un projet de décret modifiant le décret du 20 février 2014 encadrant les traitements « DIO », en vue :

- d'autoriser le traitement de nouvelles catégories de données ;

- de modifier les durées de conservation des données ;

- et de mettre en conformité les traitements avec la réglementation relative à la protection des données, s'agissant notamment des dispositions relatives à l'exercice des droits.

La DGGN entend mettre en œuvre, sur le fondement de ce décret, un traitement dénommé « application de traitement du renseignement criminel » (ATRC). L'ATRC constitue un logiciel de gestion électronique de documents (GED) comportant les messages, fiches et synthèses en lien avec les enquêtes en cours et l'activité judiciaire des unités, ou encore les analyses de la délinquance constatée par ces unités. Des données et documents de l'ATRC seront issus d'autres fichiers.

Une analyse d'impact relative à la protection des données à caractère personnel (AIPD) a été transmise à la CNIL, conformément à l'article 90 de la loi du 6 janvier 1978 (ci-après loi « informatique et libertés »).

II. - L'avis de la CNIL

A. Sur les traitements couverts par le décret

Le décret constitue un acte réglementaire unique (ou « décret-cadre »), sur le fondement duquel plusieurs traitements peuvent être mis en œuvre. Ces traitements doivent répondre à une même finalité, porter sur des catégories de données identiques et avoir les mêmes destinataires ou catégories de destinataires (article 31-IV de la loi « informatique et libertés »).

Lorsque la CNIL est saisie d'une demande d'avis portant sur un acte réglementaire unique, l'AIPD doit couvrir l'ensemble des traitements autorisés par le projet et susceptibles d'être mis en œuvre après son entrée en vigueur. Chaque traitement doit, ensuite, faire l'objet de l'envoi d'un « engagement de conformité » à la CNIL (article 31-IV précité). Cette AIPD d'ensemble ou « cadre » (v. CE, sect. de l'int., 8 janvier 2019, n° 396340) peut, le cas échéant, être complétée des AIPD relatives à des traitements spécifiques qui auraient été réalisées à la date de la saisine.

L'AIPD transmise concerne le traitement « ATRC ». Or, d'autres traitements sont actuellement mis en œuvre sur le fondement du décret-cadre (les traitements « PIO », « CORAIL » et « ODICOP », précités).

La CNIL estime que l'AIPD relative à l'ATRC peut tenir lieu d'AIPD cadre, à condition qu'elle couvre les caractéristiques essentielles et communes à l'ensemble des traitements, actuels et projetés, mis en œuvre sur le fondement du décret-cadre.

B. Sur les données enregistrées dans les traitements

a. La collecte de nouvelles catégories de données

Le projet de décret autorise le traitement de nouvelles données. En outre, il étend la catégorie des données relatives aux « personnes mises en cause ou recherchées » aux « auteurs non identifiés ». Enfin, il permet le traitement de données relatives aux personnes morales au titre de cette dernière catégorie.

Ces modifications n'appellent pas d'observations.

b. Le traitement de données sensibles

Le décret relatif aux traitements « DIO » :

- autorise le traitement de données « sensibles » (au sens de l'article 6-I de la loi « informatique et libertés » en vigueur) ;

- encadre l'exploitation de ces données, en prévoyant notamment qu'il est interdit de sélectionner une catégorie particulière de personnes à partir de ces seules données.

Le projet de décret modifie ces dispositions, en prévoyant l'exclusion du traitement de données génétiques et biométriques.

Selon les précisions apportées, des données sensibles pourront être enregistrées dans l'ATRC par l'intermédiaire des documents transmis (fiches enquêtes, par exemple) et des formulaires descriptifs associés à ces documents.

Ces données ne pourront constituer des critères de recherche dans le traitement, y compris dans le cadre d'une recherche « multicritères ».

La CNIL accueille favorablement cette exclusion, qui permet de limiter les risques de mésusage du fichier et de détournement des finalités du traitement.

Il apparait en effet que :

- des recherches à partir de données sensibles ne sont pas nécessaires aux finalités des traitements « DIO », qui ne constituent pas des fichiers de recherche ni d'identification de personnes ;

- l'exclusion de telles recherches permettra de prévenir le recensement de l'ensemble des personnes appartenant à une catégorie (par exemple, les personnes mises en cause) qui présentent un même élément d'identification sensible (par exemple, les opinions politiques, la prétendue origine raciale ou l'origine ethnique).

Des garanties similaires devront être mises en place pour l'ensemble des traitements couverts par le décret-cadre.

C. Sur les durées de conservation

Le projet de décret modifie les durées de conservation maximales des données. Ainsi, la conservation des données relatives aux délits passe de trois à six ans.

La CNIL souligne que les données ne peuvent être conservées que si elles sont nécessaires aux finalités des traitements, qui en l'espèce visent à faciliter le partage d'informations « sur les enquêtes en cours ou les personnes qui en font l'objet » (article 1er du décret).

Au regard de ces éléments, des mesures devront être mises en place pour assurer, le cas échéant, la suppression des données avant l'expiration du délai de conservation maximal, dès la clôture de l'enquête.

A défaut, les données devront faire l'objet d'un archivage intermédiaire avec restriction des accès.

Enfin, la CNIL accueille favorablement la mise en place d'un mécanisme de suppression automatique par défaut à l'issue des durées de conservation maximales.

D. Sur les mises en relation avec d'autres traitements

Les traitements « DIO », qui ont pour objet le partage d'informations opérationnelles, pourront contenir de nombreuses informations issues d'autres traitements.

Pour le traitement « ATRC », il s'agira :

- d'intégrer des documents et informations issus du fichier des personnes recherchées (FPR), du fichier des objets et des véhicules signalés (FOVeS), du système informatique national du système d'information Schengen (N-SIS), et de traitements gérés par les organismes de coopération internationale en matière de police judiciaire ou les services de police étrangers ;

- de produire des analyses après consultation d'informations dans le traitement d'antécédents judiciaires (TAJ).

L'ATRC sera donc mis en relation avec les traitements précités.

Ces mises en relation, qui prennent la forme de rapprochements, apparaissent légitimes.

Elles impliquent néanmoins la centralisation, au sein d'un même traitement, de nombreuses données issues d'autres fichiers. Ainsi, le traitement devra être mis en œuvre avec la plus grande vigilance.

D'une part, il conviendra de garantir que les fiches et signalements issus du FPR, du FOVeS et du N-SIS sont accessibles, dans l'ATRC, aux seules personnes habilitées à accéder à ces éléments à partir des traitements source. Un cloisonnement de l'information devra, le cas échéant, être mis en place.

D'autre part, il n'est pas exclu qu'une fois supprimés des fichiers source, ces éléments continuent d'être conservés dans l'ATRC. Une telle conservation conduirait au traitement de données inexactes, relatives à l'inscription d'une personne dans un fichier au titre de personne recherchée ou surveillée.

Ces éléments devront dès lors être supprimés à compter de leur effacement des traitements source. Des mesures devront être prises pour garantir cette mise à jour dans les meilleurs délais possibles (v. CNIL, SP, 14 février 2013, avis sur projet de décret, DIO, n° 2013-039, publié).

Un mécanisme reposant sur la génération d'alertes, à la date de suppression de la fiche du traitement source ou à intervalles réguliers (pour les fiches ne comportant pas de date d'échéance prédéterminée), pourrait être déployé. A défaut, des mentions devront être apposées sur les fiches pertinentes pour que des vérifications soient effectuées.

Enfin, la CNIL prend acte de l'engagement du ministère de mettre à jour l'AIPD pour mentionner la mise en relation de l'ATRC avec le traitement N-SIS.

E. Sur les droits des personnes

Le projet de décret met à jour les dispositions relatives aux droits des personnes concernées par le traitement de leurs données.

Il prévoit que les droits d'information, d'accès, de rectification, d'effacement et à la limitation des données s'exercent directement auprès du responsable de traitement. Des restrictions sont possibles sur le fondement des 2° et 3° du II et du III de l'article 107 de la loi « informatique et libertés ».

La CNIL estime que le décret doit être modifié pour préciser les services auprès desquels s'exerce le droit d'accès (2° de l'article 35 de la loi « informatique et libertés »).

S'agissant du droit à l'information, l'article 104 de la loi « informatique et libertés » impose au responsable de traitement de « mettre à disposition » des personnes concernées cette information, de façon permanente et sans demande de leur part. La rédaction du décret selon laquelle le droit à l'information « s'exerce auprès » de l'administration, correcte pour les autres droits prévus par la loi « informatique et libertés », est donc inappropriée pour le droit à l'information.

La CNIL prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.

F. Sur les mesures de sécurité

La CNIL n'ayant accès qu'à l'AIPD relative à l'ATRC, elle ne se prononce que sur les conditions matérielles relatives à ce traitement. Cette analyse peut être étendue aux traitements se basant sur le même décret cadre à condition que leurs caractéristiques de mise en œuvre soient analogues.

La CNIL prend acte de la mise en œuvre de l'ATRC dans un environnement sécurisé qui minimise les possibilités d'accès non désiré à la base de données.

Dans une optique de défense en profondeur, elle recommande que la base et les sauvegardes intègrent des mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité (RGS).

Dans le fonctionnement courant du traitement, l'application permet à l'utilisateur de télécharger les documents sur son poste de travail et de les transmettre par courriel. Cette modalité augmente les risques d'atteinte à la confidentialité des documents transmis et de non-respect des durées de conservation. Par conséquent, la CNIL appelle le ministère à en décourager l'usage pour privilégier des mécanismes de partage internes à l'application elle-même, assortis des mécanismes de chiffrement appropriés.

La CNIL prend acte de la mise en place d'une journalisation. Elle rappelle que le traitement de ces données a pour seule finalité la détection et la prévention d'opérations illégitimes sur les données du traitement. Si la durée de conservation des données de journalisation de trois années peut se justifier en raison de de la gravité et de la vraisemblance du risque pour les personnes en cas de détournement des finalités du traitement, il est nécessaire de mettre en œuvre des mesures alternatives de levée d'alerte pour prévenir d'éventuels détournements. La CNIL accueille favorablement l'existence d'un tel dispositif.