JORF n°0064 du 17 mars 2022

Ce texte est une simplification générée par une IA.
Il n'a pas de valeur légale et peut contenir des erreurs.

: avis de la Commission Nationale de l'Informatique et des Libertés sur un projet de décret relatif au traitement des données à caractère personnel dans le cadre de l'accès aux zones réservées (ZRR)

Résumé La Commission Nationale de l'Informatique et des Libertés a examiné un projet de décret sur les données personnelles pour l'accès aux zones réservées (ZRR) et a donné son avis.

Après avoir entendu le rapport de M. François PELLEGRINI, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie par le secrétariat général de la défense et de la sécurité nationale (SGDSN) d'une demande d'avis concernant un projet de décret (ci-après « le projet de décret ») portant création de traitements automatisés de données à caractère personnel dénommés chacun « Base ministérielle PPST » (ci-après les « bases ministérielles »).
Ces traitements visent à contribuer au dispositif de protection du potentiel scientifique et technique de la Nation (PPST), lequel repose sur un contrôle des accès aux savoirs, savoir-faire et technologies stratégiques ou sensibles abrités dans les zones à régime restrictif (ZRR), de façon à prévenir les risques de captation ou de détournement de ces derniers.
L'article R. 413-5-1 du code pénal prévoit plus précisément que l'accès à une ZRR dans le cadre d'études, de formations, d'activités de recherche ou professionnelles est soumis à l'autorisation du chef du service, d'établissement ou d'entreprise, après avis favorable du ministre chargé d'en exercer la tutelle.
La mise en œuvre des traitements projetés vise à permettre la centralisation de l'instruction respectivement par les ministres chargés de l'énergie, de la santé, de l'économie, de l'enseignement supérieur et de l'agriculture, des demandes d'avis dont ils sont saisis en application de l'article précité, par les chefs de service, d'établissement ou d'entreprise appelés à statuer sur une demande d'autorisation d'accès à une ZRR.
Ces traitements ont par ailleurs vocation à alimenter une base interministérielle, qui a pour objet d'offrir une visibilité plus globale sur les demandes d'autorisation d'accès ayant été enregistrées, et ainsi déterminer si d'autres demandes d'accès présentées par la même personne ont été instruites par d'autres ministères ainsi que, le cas échéant, les suites qui ont été données.
De manière générale, si la Commission considère que les finalités de ces traitements n'appellent pas d'observation particulière, elle rappelle néanmoins qu'une vigilance particulière s'impose s'agissant de ce type de dispositifs ayant notamment pour objet la réalisation d'enquêtes administratives de sécurité.
Dans la mesure où les traitements concernés visent, d'une part, à protéger des savoirs, savoir-faire et technologies relevant de la défense nationale ou des intérêts fondamentaux de la Nation et, d'autre part, à prévenir leur détournement à des fins militaires, de terrorisme ou de prolifération d'armes de destruction massive, la Commission considère qu'ils relèvent des articles 1er à 41 de la loi du 6 janvier 1978 modifiée ainsi que des articles 115 à 124 de la même loi applicables aux traitements intéressant la sûreté de l'Etat et la défense.
Enfin, la Commission relève que le projet de décret examiné constitue en outre un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la Commission préalablement à chaque mise en œuvre d'un traitement selon les modalités prévues par ce texte, conformément aux dispositions de l'article 31-IV de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
En premier lieu, l'article 2 du projet de décret prévoit que les « données et informations relatives à la personne faisant l'objet de la demande d'avis » feront l'objet d'un enregistrement dans les traitements et précise suffisamment les données dont il s'agit.
A cet égard, le SGDSN a précisé que les données et informations enregistrées à ce titre seront recueillies sur la base des seuls éléments déclarés par le demandeur d'une autorisation d'accès à une ZRR. Une photographie est jointe au dossier par le demandeur pour permettre aux services des hauts fonctionnaires de défense et de sécurité (HFDS), chargés d'instruire les demandes d'avis, de se prémunir contre des situations d'utilisation frauduleuse de l'identité d'un tiers et d'analyser la correspondance des informations relatives à l'identité de la personne dans le cas où l'interrogation de la base interministérielle ferait apparaître que cette personne a déjà fait l'objet d'une demande d'accès en ZRR. Le SGDSN a précisé qu'aucun dispositif de reconnaissance faciale ne sera mis en œuvre sur la base de la photographie collectée. La Commission en prend acte.
En deuxième lieu, le projet de décret prévoit la collecte de « données et informations relatives à l'avis du ministre ». A ce titre, seront enregistrés, d'une part, les « sens et motifs de l'avis » et, d'autre part, la « date de transmission de l'avis ».
La Commission rappelle que seules les données nécessaires aux finalités poursuivies par le traitement doivent faire l'objet d'un enregistrement et que l'enregistrement de l'intégralité de l'avis ne se justifie donc que si, en pratique, ce document peut être utile aux instructions ultérieures.
Dans le cadre de l'instruction de la demande d'avis, le service du HFDS du ministère sollicite une analyse de sécurité comprenant la réalisation d'une enquête administrative de sécurité diligentée par un service enquêteur, sur le fondement du I de l'article L. 114-1 du code de la sécurité intérieure. Le SGDSN a précisé qu'en cas d'avis défavorable du ministre, les informations relatives à l'avis enregistrées dans le traitement préciseront si cet avis s'appuie sur le sens de l'avis de sécurité rendu par le service enquêteur compétent.
La Commission prend acte des éléments transmis par le SGDSN selon lesquels les données recueillies par ce service lors de l'enquête de sécurité ne figurent pas dans les bases ministérielles, et que seul le sens de l'avis de sécurité formulé par ce service enquêteur est susceptible d'être enregistré. Elle attire l'attention du ministère sur le fait que, pour l'instruction d'une demande, l'avis de sécurité sera bien traité par les agents compétents mais que, au regard de la sensibilité des informations susceptibles d'être recueillies, elle estime que l'absence d'enregistrement de telles données constitue une garantie importante, de nature à limiter les données collectées aux seules données nécessaires aux finalités de ces traitements.
En dernier lieu, l'article 3 du projet de décret précise que des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978 modifiée, se rapportant plus spécifiquement à des opinions politiques, à des convictions religieuses ou philosophiques ou à une appartenance syndicale sont susceptibles d'être enregistrées dans le traitement. La Commission relève que de telles données seront uniquement enregistrées au titre des catégories de données « informations contenues dans les documents fournis au chef du service, de l'établissement ou de l'entreprise par la personne faisant l'objet de la demande d'avis » et « sens et motifs de l'avis » du ministre.
Si la collecte de ce type de données, pour les informations qui seraient transmises par le demandeur n'appelle pas d'observation particulière, elle estime néanmoins qu'une information particulière devrait être délivrée aux personnes concernées quant à la transmission de ce type de données à caractère personnel, et notamment sur la limitation de leur communication au strict nécessaire au regard des finalités de leur collecte.
S'agissant par ailleurs des données sensibles pouvant être enregistrées au titre des « sens et motifs de l'avis » du ministre, le SGDSN précise qu'elles le seront au moyen de champs libres. A cet égard, la Commission rappelle que seules les données nécessaires aux finalités poursuivies devront faire l'objet d'une collecte et qu'il revient au ministère d'assurer un contrôle strict des informations renseignées via ces champs libres.
Enfin, la Commission prend acte de ce que, dans le cadre des formations portant sur l'usage de ces traitements, un point particulier sera consacré aux précautions liées à la collecte de données sensibles.
Sur la durée de conservation des données :
L'article 4 du projet de décret prévoit que les données à caractère personnel et informations enregistrées dans bases ministérielles sont conservées pour une durée de dix ans et deux mois à compter de la date de transmission du dernier avis rendu par le ministre sur une demande d'accès à une ZRR.
La Commission prend acte des éléments apportés par le SGDSN selon lesquels une telle durée de conservation se justifie, d'une part, par la durée maximale de l'autorisation délivrée, qui est de cinq ans, et, d'autre part, par l'intérêt pour le ministre de savoir si l'auteur de la demande d'accès a déjà présenté une demande et, dans l'affirmative, de prendre connaissance des éléments de l'instruction qui avaient alors conduit à émettre un avis favorable ou défavorable.
Elle relève enfin qu'il est prévu que les données à caractère personnel et informations issues des bases ministérielles soient conservées dans la base interministérielle pour une durée de dix ans et deux mois à compter de la date de transmission du dernier avis rendu par le ministre sur une demande d'accès à une ZRR.
Selon le SGDSN, cette conservation des données à caractère personnel et informations tant dans les bases ministérielles que dans la base interministérielle se justifie par la nécessité pour chaque ministre de conserver l'intégralité des informations relatives aux demandes dont il est saisi pour ce qui le concerne, par le besoin d'assurer un partage de ces informations au niveau interministériel et par le fait que tous les agents ministériels individuellement désignés et spécialement habilités par le HFDS dont ils relèvent pour instruire les demandes d'avis ne seront pas nécessairement habilités à accéder à la base interministérielle.
Sur les mises en relation :
L'article 7 du projet de décret précise que les bases ministérielles font l'objet d'une mise en relation avec la base interministérielle.
A cet égard, la Commission prend acte des éléments apportés par le SGDSN selon lesquels celle-ci s'opérera uniquement des bases ministérielles vers la base interministérielle, afin d'importer dans la base interministérielle, via un fichier d'échange transporté manuellement d'une base à l'autre, les données issues des bases ministérielles. Cette opération sera réalisée à intervalles réguliers (au moins une fois par semaine), à l'initiative des ministères concernés. Cette alimentation de la base interministérielle par les bases ministérielles est justifiée par le fait que l'instruction des demandes, dans chaque département ministériel, nécessite de vérifier, d'une part, si la même personne a formulé des demandes dans d'autres ministères et, d'autre part, si tel est le cas, de consulter certaines pièces de ces autres demandes afin de repérer des demandeurs malveillants.
La finalité recherchée par le gouvernement peut être atteinte soit par la duplication totale des bases ministérielles dans la base interministérielle, soit par la transmission des seuls fonds de dossiers pertinents, lorsque le besoin s'en fait sentir au cours d'une instruction. La Commission rappelle que sa doctrine, appuyée à la fois sur le principe de minimisation des données et de sécurité de celles-ci, déconseille fortement la duplication de bases de données lorsque celles-ci contiennent des informations sensibles, ce qui est le cas en l'espèce. La Commission ne conteste pas qu'il est nécessaire que l'ensemble des noms et informations d'identification des demandeurs présents dans les bases ministérielles soit copié dans la base interministérielle afin que l'interrogation de celle-ci, par les personnes habilitées dans chaque ministère, permette de déterminer s'il est nécessaire d'accéder aux éléments complémentaires conservés dans les bases ministérielles. En revanche, la transmission par anticipation de l'ensemble des données à caractère personnel et informations enregistrées dans les bases ministérielles apparaît aller au-delà de ce qui est nécessaire, puisque ce n'est que ponctuellement que certaines de ces informations devront être consultées dans la base interministérielle.
Si les bases avaient pu être reliées entre elles par des API réseau, la Commission aurait recommandé que les fonds des dossiers à consulter soient téléversés à la demande dans la base interministérielle, en fonction des besoins. Les modalités particulières d'échange d'informations entre les bases ministérielles et la base ministérielle, via un support amovible plutôt que par interconnexion réseau pour des raisons de cloisonnement, ne sont pas de nature à remettre en cause ce principe, l'échange d'informations entre bases étant toujours assuré par la navette du support.
Par conséquent, eu égard à la nature des données en cause, au fait que les vérifications à effectuer ne concernent, d'après les éléments portées à sa connaissance, qu'un nombre restreint de dossiers par rapport à l'ensemble des données de chaque base ministérielle qui se verraient dupliquées, et au fait qu'il n'est pas justifié qu'un autre usage de la base interministérielle par ses accédants nécessiterait de disposer en permanence de l'ensemble de ces données, la Commission estime que cette solution doit être privilégiée. Elle invite donc le SGDSN à ce que la base interministérielle permette aux agents instructeurs pouvant y accéder de vérifier si le nom du demandeur en cause est présent dans d'autres bases ministérielles et, lorsque cela est le cas, à ce que le système de la base interministérielle génère une requête de transfert des éléments pertinents des bases ministérielles vers la base interministérielle, à l'image de ce qui se ferait au moyen d'une API réseau. Ces requêtes seraient automatiquement transmises, et leur résultat automatiquement rapatrié, lors de la navette du support. D'après les éléments dont dispose la Commission, la base interministérielle étant alimentée chaque semaine, l'allongement des délais d'instruction qui en résulterait serait limité. Elle invite le gouvernement à prévoir des modalités sécurisées d'alimentation ponctuelle de la base interministérielle afin, notamment de protéger l'identité des personnes dont les données sont transférées vers cette base, et de supprimer les données devenues non nécessaires au sein de la base interministérielle une fois les vérifications effectuées.
La Commission s'interroge par ailleurs sur la nécessité d'intégrer, au titre de la catégorie « informations contenues dans les documents fournis au chef du service, de l'établissement ou de l'entreprise par la personne faisant l'objet de la demande d'avis », l'ensemble des informations, pièces et documents fournis par le demandeur dans le cadre de son dossier de demande d'accès (curriculum vitae, lettres de recommandations, liste des publications, études ou travaux réalisés, copie de diplômes ou de documents d'identité, etc.).
Enfin, la Commission prend acte des éléments transmis par le SGDSN selon lesquels aucune autre forme d'interconnexion ou de mise en relation au sens de la loi du 6 janvier 1978 modifiée n'est prévue entre les bases ministérielles et tout autre traitement de données à caractère personnel, notamment relatif à des enquêtes administratives.
Sur les droits des personnes concernées :
L'article 8 du projet de décret prévoit qu'une information conforme aux dispositions du I de l'article 116 de la loi du 6 janvier 1978 modifiée figure sur le formulaire de demande d'accès aux ZRR. La Commission, qui a pu consulter les informations qu'il est envisagé de faire figurer dans les formulaires de demandes d'accès remplis par les personnes lorsqu'elles présentent une demande d'accès à une ZRR, estime que ces mentions d'information sont suffisantes.
Les autres dispositions du projet de décret relatives à l'absence de droit d'opposition et au droit d'accès s'exerçant de manière indirecte n'appellent pas d'observations de la Commission.
Sur la sécurité des données :
La Commission estime satisfaisantes les mesures de sécurité qui seront mises en œuvre.

1 version

Historique des versions

Version 1

Après avoir entendu le rapport de M. François PELLEGRINI, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,

Emet l'avis suivant :

La Commission a été saisie par le secrétariat général de la défense et de la sécurité nationale (SGDSN) d'une demande d'avis concernant un projet de décret (ci-après « le projet de décret ») portant création de traitements automatisés de données à caractère personnel dénommés chacun « Base ministérielle PPST » (ci-après les « bases ministérielles »).

Ces traitements visent à contribuer au dispositif de protection du potentiel scientifique et technique de la Nation (PPST), lequel repose sur un contrôle des accès aux savoirs, savoir-faire et technologies stratégiques ou sensibles abrités dans les zones à régime restrictif (ZRR), de façon à prévenir les risques de captation ou de détournement de ces derniers.

L'article R. 413-5-1 du code pénal prévoit plus précisément que l'accès à une ZRR dans le cadre d'études, de formations, d'activités de recherche ou professionnelles est soumis à l'autorisation du chef du service, d'établissement ou d'entreprise, après avis favorable du ministre chargé d'en exercer la tutelle.

La mise en œuvre des traitements projetés vise à permettre la centralisation de l'instruction respectivement par les ministres chargés de l'énergie, de la santé, de l'économie, de l'enseignement supérieur et de l'agriculture, des demandes d'avis dont ils sont saisis en application de l'article précité, par les chefs de service, d'établissement ou d'entreprise appelés à statuer sur une demande d'autorisation d'accès à une ZRR.

Ces traitements ont par ailleurs vocation à alimenter une base interministérielle, qui a pour objet d'offrir une visibilité plus globale sur les demandes d'autorisation d'accès ayant été enregistrées, et ainsi déterminer si d'autres demandes d'accès présentées par la même personne ont été instruites par d'autres ministères ainsi que, le cas échéant, les suites qui ont été données.

De manière générale, si la Commission considère que les finalités de ces traitements n'appellent pas d'observation particulière, elle rappelle néanmoins qu'une vigilance particulière s'impose s'agissant de ce type de dispositifs ayant notamment pour objet la réalisation d'enquêtes administratives de sécurité.

Dans la mesure où les traitements concernés visent, d'une part, à protéger des savoirs, savoir-faire et technologies relevant de la défense nationale ou des intérêts fondamentaux de la Nation et, d'autre part, à prévenir leur détournement à des fins militaires, de terrorisme ou de prolifération d'armes de destruction massive, la Commission considère qu'ils relèvent des articles 1er à 41 de la loi du 6 janvier 1978 modifiée ainsi que des articles 115 à 124 de la même loi applicables aux traitements intéressant la sûreté de l'Etat et la défense.

Enfin, la Commission relève que le projet de décret examiné constitue en outre un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la Commission préalablement à chaque mise en œuvre d'un traitement selon les modalités prévues par ce texte, conformément aux dispositions de l'article 31-IV de la loi du 6 janvier 1978 modifiée.

Sur la nature des données traitées :

En premier lieu, l'article 2 du projet de décret prévoit que les « données et informations relatives à la personne faisant l'objet de la demande d'avis » feront l'objet d'un enregistrement dans les traitements et précise suffisamment les données dont il s'agit.

A cet égard, le SGDSN a précisé que les données et informations enregistrées à ce titre seront recueillies sur la base des seuls éléments déclarés par le demandeur d'une autorisation d'accès à une ZRR. Une photographie est jointe au dossier par le demandeur pour permettre aux services des hauts fonctionnaires de défense et de sécurité (HFDS), chargés d'instruire les demandes d'avis, de se prémunir contre des situations d'utilisation frauduleuse de l'identité d'un tiers et d'analyser la correspondance des informations relatives à l'identité de la personne dans le cas où l'interrogation de la base interministérielle ferait apparaître que cette personne a déjà fait l'objet d'une demande d'accès en ZRR. Le SGDSN a précisé qu'aucun dispositif de reconnaissance faciale ne sera mis en œuvre sur la base de la photographie collectée. La Commission en prend acte.

En deuxième lieu, le projet de décret prévoit la collecte de « données et informations relatives à l'avis du ministre ». A ce titre, seront enregistrés, d'une part, les « sens et motifs de l'avis » et, d'autre part, la « date de transmission de l'avis ».

La Commission rappelle que seules les données nécessaires aux finalités poursuivies par le traitement doivent faire l'objet d'un enregistrement et que l'enregistrement de l'intégralité de l'avis ne se justifie donc que si, en pratique, ce document peut être utile aux instructions ultérieures.

Dans le cadre de l'instruction de la demande d'avis, le service du HFDS du ministère sollicite une analyse de sécurité comprenant la réalisation d'une enquête administrative de sécurité diligentée par un service enquêteur, sur le fondement du I de l'article L. 114-1 du code de la sécurité intérieure. Le SGDSN a précisé qu'en cas d'avis défavorable du ministre, les informations relatives à l'avis enregistrées dans le traitement préciseront si cet avis s'appuie sur le sens de l'avis de sécurité rendu par le service enquêteur compétent.

La Commission prend acte des éléments transmis par le SGDSN selon lesquels les données recueillies par ce service lors de l'enquête de sécurité ne figurent pas dans les bases ministérielles, et que seul le sens de l'avis de sécurité formulé par ce service enquêteur est susceptible d'être enregistré. Elle attire l'attention du ministère sur le fait que, pour l'instruction d'une demande, l'avis de sécurité sera bien traité par les agents compétents mais que, au regard de la sensibilité des informations susceptibles d'être recueillies, elle estime que l'absence d'enregistrement de telles données constitue une garantie importante, de nature à limiter les données collectées aux seules données nécessaires aux finalités de ces traitements.

En dernier lieu, l'article 3 du projet de décret précise que des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978 modifiée, se rapportant plus spécifiquement à des opinions politiques, à des convictions religieuses ou philosophiques ou à une appartenance syndicale sont susceptibles d'être enregistrées dans le traitement. La Commission relève que de telles données seront uniquement enregistrées au titre des catégories de données « informations contenues dans les documents fournis au chef du service, de l'établissement ou de l'entreprise par la personne faisant l'objet de la demande d'avis » et « sens et motifs de l'avis » du ministre.

Si la collecte de ce type de données, pour les informations qui seraient transmises par le demandeur n'appelle pas d'observation particulière, elle estime néanmoins qu'une information particulière devrait être délivrée aux personnes concernées quant à la transmission de ce type de données à caractère personnel, et notamment sur la limitation de leur communication au strict nécessaire au regard des finalités de leur collecte.

S'agissant par ailleurs des données sensibles pouvant être enregistrées au titre des « sens et motifs de l'avis » du ministre, le SGDSN précise qu'elles le seront au moyen de champs libres. A cet égard, la Commission rappelle que seules les données nécessaires aux finalités poursuivies devront faire l'objet d'une collecte et qu'il revient au ministère d'assurer un contrôle strict des informations renseignées via ces champs libres.

Enfin, la Commission prend acte de ce que, dans le cadre des formations portant sur l'usage de ces traitements, un point particulier sera consacré aux précautions liées à la collecte de données sensibles.

Sur la durée de conservation des données :

L'article 4 du projet de décret prévoit que les données à caractère personnel et informations enregistrées dans bases ministérielles sont conservées pour une durée de dix ans et deux mois à compter de la date de transmission du dernier avis rendu par le ministre sur une demande d'accès à une ZRR.

La Commission prend acte des éléments apportés par le SGDSN selon lesquels une telle durée de conservation se justifie, d'une part, par la durée maximale de l'autorisation délivrée, qui est de cinq ans, et, d'autre part, par l'intérêt pour le ministre de savoir si l'auteur de la demande d'accès a déjà présenté une demande et, dans l'affirmative, de prendre connaissance des éléments de l'instruction qui avaient alors conduit à émettre un avis favorable ou défavorable.

Elle relève enfin qu'il est prévu que les données à caractère personnel et informations issues des bases ministérielles soient conservées dans la base interministérielle pour une durée de dix ans et deux mois à compter de la date de transmission du dernier avis rendu par le ministre sur une demande d'accès à une ZRR.

Selon le SGDSN, cette conservation des données à caractère personnel et informations tant dans les bases ministérielles que dans la base interministérielle se justifie par la nécessité pour chaque ministre de conserver l'intégralité des informations relatives aux demandes dont il est saisi pour ce qui le concerne, par le besoin d'assurer un partage de ces informations au niveau interministériel et par le fait que tous les agents ministériels individuellement désignés et spécialement habilités par le HFDS dont ils relèvent pour instruire les demandes d'avis ne seront pas nécessairement habilités à accéder à la base interministérielle.

Sur les mises en relation :

L'article 7 du projet de décret précise que les bases ministérielles font l'objet d'une mise en relation avec la base interministérielle.

A cet égard, la Commission prend acte des éléments apportés par le SGDSN selon lesquels celle-ci s'opérera uniquement des bases ministérielles vers la base interministérielle, afin d'importer dans la base interministérielle, via un fichier d'échange transporté manuellement d'une base à l'autre, les données issues des bases ministérielles. Cette opération sera réalisée à intervalles réguliers (au moins une fois par semaine), à l'initiative des ministères concernés. Cette alimentation de la base interministérielle par les bases ministérielles est justifiée par le fait que l'instruction des demandes, dans chaque département ministériel, nécessite de vérifier, d'une part, si la même personne a formulé des demandes dans d'autres ministères et, d'autre part, si tel est le cas, de consulter certaines pièces de ces autres demandes afin de repérer des demandeurs malveillants.

La finalité recherchée par le gouvernement peut être atteinte soit par la duplication totale des bases ministérielles dans la base interministérielle, soit par la transmission des seuls fonds de dossiers pertinents, lorsque le besoin s'en fait sentir au cours d'une instruction. La Commission rappelle que sa doctrine, appuyée à la fois sur le principe de minimisation des données et de sécurité de celles-ci, déconseille fortement la duplication de bases de données lorsque celles-ci contiennent des informations sensibles, ce qui est le cas en l'espèce. La Commission ne conteste pas qu'il est nécessaire que l'ensemble des noms et informations d'identification des demandeurs présents dans les bases ministérielles soit copié dans la base interministérielle afin que l'interrogation de celle-ci, par les personnes habilitées dans chaque ministère, permette de déterminer s'il est nécessaire d'accéder aux éléments complémentaires conservés dans les bases ministérielles. En revanche, la transmission par anticipation de l'ensemble des données à caractère personnel et informations enregistrées dans les bases ministérielles apparaît aller au-delà de ce qui est nécessaire, puisque ce n'est que ponctuellement que certaines de ces informations devront être consultées dans la base interministérielle.

Si les bases avaient pu être reliées entre elles par des API réseau, la Commission aurait recommandé que les fonds des dossiers à consulter soient téléversés à la demande dans la base interministérielle, en fonction des besoins. Les modalités particulières d'échange d'informations entre les bases ministérielles et la base ministérielle, via un support amovible plutôt que par interconnexion réseau pour des raisons de cloisonnement, ne sont pas de nature à remettre en cause ce principe, l'échange d'informations entre bases étant toujours assuré par la navette du support.

Par conséquent, eu égard à la nature des données en cause, au fait que les vérifications à effectuer ne concernent, d'après les éléments portées à sa connaissance, qu'un nombre restreint de dossiers par rapport à l'ensemble des données de chaque base ministérielle qui se verraient dupliquées, et au fait qu'il n'est pas justifié qu'un autre usage de la base interministérielle par ses accédants nécessiterait de disposer en permanence de l'ensemble de ces données, la Commission estime que cette solution doit être privilégiée. Elle invite donc le SGDSN à ce que la base interministérielle permette aux agents instructeurs pouvant y accéder de vérifier si le nom du demandeur en cause est présent dans d'autres bases ministérielles et, lorsque cela est le cas, à ce que le système de la base interministérielle génère une requête de transfert des éléments pertinents des bases ministérielles vers la base interministérielle, à l'image de ce qui se ferait au moyen d'une API réseau. Ces requêtes seraient automatiquement transmises, et leur résultat automatiquement rapatrié, lors de la navette du support. D'après les éléments dont dispose la Commission, la base interministérielle étant alimentée chaque semaine, l'allongement des délais d'instruction qui en résulterait serait limité. Elle invite le gouvernement à prévoir des modalités sécurisées d'alimentation ponctuelle de la base interministérielle afin, notamment de protéger l'identité des personnes dont les données sont transférées vers cette base, et de supprimer les données devenues non nécessaires au sein de la base interministérielle une fois les vérifications effectuées.

La Commission s'interroge par ailleurs sur la nécessité d'intégrer, au titre de la catégorie « informations contenues dans les documents fournis au chef du service, de l'établissement ou de l'entreprise par la personne faisant l'objet de la demande d'avis », l'ensemble des informations, pièces et documents fournis par le demandeur dans le cadre de son dossier de demande d'accès (curriculum vitae, lettres de recommandations, liste des publications, études ou travaux réalisés, copie de diplômes ou de documents d'identité, etc.).

Enfin, la Commission prend acte des éléments transmis par le SGDSN selon lesquels aucune autre forme d'interconnexion ou de mise en relation au sens de la loi du 6 janvier 1978 modifiée n'est prévue entre les bases ministérielles et tout autre traitement de données à caractère personnel, notamment relatif à des enquêtes administratives.

Sur les droits des personnes concernées :

L'article 8 du projet de décret prévoit qu'une information conforme aux dispositions du I de l'article 116 de la loi du 6 janvier 1978 modifiée figure sur le formulaire de demande d'accès aux ZRR. La Commission, qui a pu consulter les informations qu'il est envisagé de faire figurer dans les formulaires de demandes d'accès remplis par les personnes lorsqu'elles présentent une demande d'accès à une ZRR, estime que ces mentions d'information sont suffisantes.

Les autres dispositions du projet de décret relatives à l'absence de droit d'opposition et au droit d'accès s'exerçant de manière indirecte n'appellent pas d'observations de la Commission.

Sur la sécurité des données :

La Commission estime satisfaisantes les mesures de sécurité qui seront mises en œuvre.