| N° de demande d'avis : 24003243 | Thématiques : cybersécurité, atteintes aux systèmes de traitement automatisé de données, procédures judiciaires | |:----------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de l'intérieur|Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés|

L'essentiel :

1. Le traitement « Malware Information Sharing Platform - Police Judiciaire » (MISP-PJ) est mis en œuvre à des fins de centralisation, analyse et recoupement des informations contenues dans les procédures judiciaires en matière d'atteintes aux systèmes de traitement automatisé de données.
2. Le projet d'arrêté étend la liste des accédants à ce traitement aux agents de la direction générale de la sécurité intérieure (DGSI) chargés d'une mission de police judiciaire. La DGSI est compétente en matière d'infractions relatives aux technologies de l'information et de la communication prévues au code pénal.
3. La CNIL considère que cet ajout est pertinent au regard de la finalité du traitement.
   La Commission nationale de l'informatique et des libertés,
   Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
   Sur la proposition de Mme Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
   Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le traitement « Malware Information Sharing Platform - Police Judiciaire » (MISP-PJ) centralise les informations contenues dans les procédures judiciaires en matière d'atteintes aux systèmes de traitement automatisé de données. Il permet aux services de la police nationale et de la gendarmerie nationale de faciliter les investigations judiciaires et l'identification des auteurs d'infractions correspondantes à la cybercriminalité (par exemple, rançongiciels). Une base de données constituée à partir des attaques informatiques recensées permet le recoupement et l'analyse de ces informations dans le traitement. Il est mis en relation avec les logiciels de rédaction des procédures LRPPN et LRPGN et avec le recueil d'informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d'information. Celui-ci est mis en œuvre par le centre de réponse à incident de la police judiciaire (CSIRT-PJ) qui dispose d'une plateforme d'échanges d'informations relative aux logiciels malveillants. Ces traitements alimentent le traitement MISP-PJ, au moyen de rapprochements manuels, par les données techniques détaillées à l'article 2 de l'arrêté modifié (adresses IP, adresses de courriers électroniques ou pseudonymes utilisés lors des attaques informatiques). Le résultat des recoupements et analyses recueillis sur ces attaques est consigné en procédure dans les dossiers par procès-verbal et non dans le fichier MISP.
MISP-PJ, encadré par l'arrêté du 22 décembre 2021, est mis en œuvre par la direction générale de la police nationale du ministère de l'intérieur et relève du Titre III de la loi « informatique et libertés ».

B. - L'objet de la saisine

Le ministère de l'intérieur a saisi la CNIL, sur le fondement de l'article 31 de la loi du 6 janvier 1978 modifiée, d'un projet d'arrêté portant modification du traitement MISP-PJ.
Le projet d'arrêté vise à :

- étendre la liste des accédants au traitement, en ajoutant les agents de la direction générale de la sécurité intérieure (DGSI) chargés d'une mission de police judiciaire ;
- modifier le service auprès duquel les personnes concernées par le traitement de leurs données peuvent exercer leurs droits.

II. - L'avis de la CNIL
A. - Sur l'ajout d'accédants au traitement et les mises en relation induites

L'article 6 de l'arrêté du 22 décembre 2021 liste les personnes qui « peuvent accéder aux données à caractère personnel et aux informations mentionnées à l'article 2 » et celles qui en sont destinataires. Le projet d'arrêté étend la liste des accédants aux agents de la DGSI chargés d'une mission de police judiciaire.
La CNIL relève que les personnes mentionnées comme « accédants » ne seront pas seulement chargées d'accéder aux données mais pourront enregistrer des données dans le traitement.
En application du décret n° 2014-445 relatif aux missions et à l'organisation de la DGSI, il s'agit d'un service actif de la police nationale, qui concourt à l'exercice des missions de police judiciaire en matière de criminalité liée aux technologies de l'information et de la communication (infractions relatives aux atteintes aux systèmes de traitement automatisé des données prévues au code pénal).
L'ajout des accédants envisagé par le projet d'arrêté est pertinent au regard de la finalité du traitement.
Le ministère considère, en accord avec le délégué ministériel à la protection des données, dont l'avis a été transmis à la CNIL dans le cadre cette demande d'avis, que, dans la mesure où le traitement MISP-PJ n'est pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, la réalisation d'une AIPD n'est pas nécessaire.
La réalisation d'une AIPD est recommandée même lorsqu'elle n'est pas obligatoire, notamment au regard des finalités poursuivies par le traitement et de son périmètre. Une AIPD permettrait notamment au ministère d'évaluer si des risques nouveaux pour les personnes concernées, liés à la centralisation des informations et à l'expansion des accès au dispositif MISP-PJ, sont apparus.
Elle estime néanmoins que ces mises en relation avec les LRP, concernant des données techniques, ne revêtent pas de caractère particulièrement sensible et sont conformes aux finalités poursuivies par le traitement.

B. - Sur les droits des personnes

Conformément aux dispositions des articles 104 à 106 de la loi « informatique et libertés », les droits d'information, d'accès, de rectification, d'effacement et à la limitation des données s'exercent auprès de la direction centrale de la police judiciaire.
Le projet d'arrêté modifie le service auprès duquel les personnes concernées par le traitement de leurs données peuvent exercer leurs droits. La demande est envoyée par courrier à l'adresse indiquée sur le site internet du ministère de l'intérieur.
Le ministère précise qu'il s'agit d'harmoniser les procédures et de prévoir un fonctionnement similaire aux autres traitements mis en œuvre par la direction générale de la police nationale.
La CNIL prend acte de ce que les droits des personnes concernées s'exercent auprès de la direction générale de la police nationale à des fins d'harmonisation des procédures.