CNIL13 juin 2019CNIL, FR, 13 juin 2019, Sanction, Société X, n° SAN-2019-006, publié, points 31-36(source)
Dispositif de vidéosurveillance de salariés – 1) a ) Exigences de minimisation des données et de proportionnalité – b ) Illicéité de la surveillance permanente d'un salarié, sauf exception – 2) Cas d'un dispositif filmant en permanence des traducteurs destiné à protéger des documents traduits
1) a ) La mise en œuvre d'un vidéosurveillance de salariés n'est licite qu'à condition de ne collecter que les données nécessaires à l'objectif poursuivi et de ne pas porter une atteinte disproportionnée aux droits et libertés de ceux-ci, ainsi qu'en dispose l'article L. 1121-1 du code du travail. Le nombre, l'emplacement, l'orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées sont autant d'éléments à prendre en compte lors de l'installation du système.
b) Si la surveillance permanente de zones sensibles peut être justifiée par des impératifs de sécurité, le placement sous surveillance permanente de salariés, attentatoire à leur vie privée, ne peut toutefois intervenir que dans des circonstances exceptionnelles tenant, par exemple, à la nature de la tâche à accomplir. Il en est ainsi lorsqu'un employé manipule des objets de grande valeur ou lorsque le responsable de traitement est à même de justifier de vols ou de dégradations commises sur ces zones.
2) En l'espèce, il est manifestement disproportionnée l'utilisation d'un dispositif de vidéosurveillance conduisant à placer des traducteurs assermentés sous une surveillance permanente en vue de protéger des documents traduits. En effet, si la nature des documents peut justifier la mise en place de mesures particulières de protection, il convient d'envisager des procédés alternatifs tels que la sécurisation des accès sur le lieu de travail.
CNIL17 juillet 2014CNIL, FR, 17 juillet 2014, Sanction, Société X, n° 2014-307, publié, points 14-22 Voir aussi: CNIL, FR, 14 octobre 2014, Mise en demeure, Société X exploitant les magasins Y, n° 2014-051, publié(source)
Dispositif de vidéosurveillance filmant en permanence des salariés – Locaux exigus – Justification – Absence en l'espèce
Le dispositif de vidéosurveillance filmant en permanence les postes de travail des salariés n'est possible que s'il est justifié par une situation particulière ou un risque particulier auxquels sont exposées les personnes objets de la surveillance. Il appartient au responsable du traitement de justifier ces circonstances et de la proportionnalité du traitement. En l'espèce, l'utilisation de dispositifs de vidéoprotection et de vidéosurveillance constitue une réponse adaptée au risque de sécurité qui pèse sur les salariés du groupe dont les établissements ont subi un nombre important de cambriolages. Néanmoins, même lorsque l'objectif de sécurité assigné au dispositif est parfaitement légitime, les seules difficultés liées à la locaux exigus ne peuvent justifier une atteinte disproportionnée à la vie privée des salariés ou leur mise sous surveillance constante.
CNIL24 juillet 2024CNIL, P, 24 juillet 2024, mise en demeure, Commune de X, décision n° MED 2024-109, non publié
Déploiement de dispositifs de caméras augmentées dans l'espace public poursuivant une finalité dite « police-justice » – Interdiction en l'absence de cadre légal spécifique
L'article 4, paragraphe 1, de la loi n°78‑17 du 6 janvier 1978 dispose que les données à caractère personnel doivent être « traitées de manière licite, loyale ». Par leur fonctionnement même, reposant sur la détection et l'analyse en continu et en temps réel des attributs ou des comportements des individus, les dispositifs de « caméras augmentées » présentent, par nature, des risques pour les personnes concernées. En outre, les dispositifs de « caméras augmentées » mis en œuvre dans l'espace public à des fins de police administrative générale ou de police judiciaire sont susceptibles d'affecter les garanties fondamentales apportées aux citoyens pour l'exercice des libertés publiques, raison pour laquelle un encadrement législatif apparaît nécessaire, en application de l'article 34 de la Constitution du 4 octobre 1958. Dès lors, les dispositifs de caméras augmentées qui poursuivent une finalité dite de « police-justice » dans l'espace public sont interdits en l'absence de cadre légal spécifique. En l'espèce, la commune utilisait de tels dispositifs en l'absence de cadre légal, notamment afin d'alerter les forces de l'ordre suite à la détection de véhicules roulant à contre‑sens sur la chaussée et de détecter des attroupements lorsque le nombre de personnes détectées dans une zone définie dépassait un seuil préfixé.
CNIL7 juillet 2022CNIL, FR, 7 juillet 2022, Sanction, Société X, n° SAN-2022-015, publié, points 42, 45, 55, 60(source)
Géolocalisation d'un véhicule de location – Analyse de la proportionnalité de la collecte suivant chaque finalité de traitement – 1) Gestion de la flotte de véhicules et des contrats de location – 2) Lutte contre le vol de véhicules – 3) Localisation du véhicule en cas d'accident – Principe de minimisation des données
Le traitement de collecte et de conservation quasi permanente des données géolocalisation d'un véhicule de location s'analyse au regard de la nécessité et de la proportionnalité de chacune de ses finalités.
1) S'agissant de la gestion de la flotte de véhicules et des contrats de location, l'activation de la géolocalisation quand l'utilisateur allume ou coupe le moteur peut être utile pour déterminer si le véhicule est de retour à son point de départ. À contrario, la collecte et la conservation des données de géolocalisation pendant le reste du trajet n'est pas nécessaire pour déterminer si le véhicule est de retour à sa station de départ en vue d'être restitué. En outre, s'agissant de l'usage de la géolocalisation pour contrôler l'entrée et la sortie d'un véhicule d'une zone de péage urbain, traitement qui n'est susceptible de s'appliquer en l'espèce que dans une seule ville de l'Union européenne, une collecte et conservation quasi permanente des données de géolocalisation sur l'ensemble des véhicules loués, sur le fondement de l'intérêt légitime, apparaissent disproportionnées par rapport à la finalité avancée qui est celle d'une facturation immédiate et automatisée des frais aux clients.
2) S'agissant de la lutte contre le vol de véhicules, les cas où, d'une part, la géolocalisation est le seul moyen de connaître la dernière position connue du véhicule et où, d'autre part, cette dernière position connue est effectivement proche de la localisation du véhicule, apparaissent limités. Dans ces situations, la CNIL ne remet pas en cause l'utilité de connaître la dernière position connue du véhicule grâce à la dernière donnée de géolocalisation. Cependant, cette hypothèse ne suffit pas à justifier la collecte et la conservation de l'ensemble des données de géolocalisation de l'ensemble des trajets des utilisateurs. Au surplus, d'autres mesures de sécurité pourraient être mises en place pour prévenir le vol des véhicules. Il en résulte que le fait de procéder systématiquement à cette collecte et conservation des données de géolocalisation pour les cas d'usages où elle pourrait être effectivement utile, alors que d'autres moyens de prévention et de lutte contre le vol existent, sur le fondement de l'intérêt légitime de la société, porte une atteinte disproportionnée à la vie privée des utilisateurs.
3) S'agissant de la localisation du véhicule en cas d'accident, la CNIL estime que la géolocalisation tous les 500 mètres de l'ensemble des véhicules au cours de toute la durée de location, avec conservation des données, préalablement à toute information relative à un accident, n'est pas nécessaire pour porter assistance à un utilisateur.
Lorsqu'aucune des finalités avancées par le responsable du traitement n'est susceptible de justifier une collecte et la conservation des données de géolocalisation, ces opérations de traitement constituent un manquement à l'article 5.1.c du RGPD.
CE26 juin 2018CE, Section de l'intérieur, 26 juin 2018, Avis, n° 394649, Projet de décret relatif au « système API-PNR France » et modifiant le code de la sécurité intérieure(source)
Données personnelles des membres d'équipage – Directive (UE) 2016/681 – Surtransposition – Disposition ne relevant pas du périmètre de la directive – Possible création par voie réglementaire d'un traitement relatif à ces données
Le Conseil d'État (section de l'intérieur), saisi d'un projet de décret relatif au « système API - PNR France » et modifiant le code de la sécurité intérieure (partie réglementaire), lui donne un avis favorable, sous réserve des dispositions relatives à la collecte et au traitement des données d'enregistrement et d'embarquement (données API) des membres d'équipage.
Il relève que si la directive (UE) 2016/681 relative à l'utilisation des données des dossiers passagers (PNR), autorise expressément la collecte des données API, seules les données des passagers dont le personnel d'équipage est expressément exclu sont concernées conformément à la définition donnée par l'article 3.
Le Conseil d'État estime que s'il est loisible au Gouvernement de créer, par voie réglementaire, un traitement automatisé de données à caractère personnel relatives aux données des membres d'équipage, seule une modification de nature législative serait de nature à mettre à la charge des transporteurs aériens l'obligation de transmettre de telles données.
CE6 décembre 2016CE, Section de l'administration, 6 décembre 2016, Avis, n° 392250, Projet de décret relatif à certaines enquêtes administratives prévues par le code de la défense(source)
Enquêtes administratives – Relevés signalétiques, dont empreintes digitales – Compétence du pouvoir réglementaire – Existence
L'article 116 de la loi n° 2016‑731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale a introduit, dans le code de la défense, un article L. 2381‑1. Le I de cet article prévoit que, dans le cadre d'une opération mobilisant des capacités militaires se déroulant sur un théâtre d'opérations extérieures, des membres des forces armées et des formations rattachées pourront procéder à des relevés signalétiques ou à des prélèvements biologiques destinés à établir, dans certaines hypothèses, l'identification de personnes décédées ou capturées au cours des combats. Le II du même article a pour objet de permettre à l'autorité militaire, sur ces mêmes théâtres d'opérations extérieures, lors des enquêtes préalables à une décision de recrutement ou d'accès à une zone protégée, de consulter les données collectées en application du I. Le législateur a renvoyé à un décret en Conseil d'État le soin de fixer la liste des enquêtes qui donneront lieu à cette consultation ainsi que les modalités d'information des personnes concernées.
Saisi d'un projet de décret relatif à ces enquêtes administratives, le Conseil d'État (section de l'administration) souligne que le II de l'article L. 2381‑1 du code de la défense ne permet pas aux autorités militaires de pratiquer, lors de telles enquêtes, des prélèvements d'empreintes biologiques ; cette disposition se bornant à autoriser l'autorité militaire à consulter les données collectées sur le fondement du I. Les cas dans lesquels il est permis de pratiquer des prélèvements d'empreintes génétiques sont définis de manière limitative à l'article 16‑11 du code civil. Par ailleurs, le Conseil d'État rappelle que si le pouvoir réglementaire peut, même dans le silence de la loi, imposer pour les besoins des enquêtes des relevés signalétiques, notamment la prise d'empreintes digitales, la Commission nationale de l'informatique et des libertés doit alors être préalablement saisie et rendre un avis motivé et publié.
Une telle disposition réglementaire aurait en effet pour objet et pour effet d'autoriser un traitement « de données à caractère personnel mis en œuvre pour le compte de l'État qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes » au sens du 2 du I de l'article 27 de la loi n° 78‑17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
CNIL17 octobre 2024CNIL, FR, 17 octobre 2024, Sanction, Ministère de l'intérieur et des Outre-Mer et ministère de la justice, no SAN-2024-017, publié
Acte réglementaire régissant un traitement au nom de l'Etat – 1) Compétence de la formation restreinte à l'égard de toutes les administrations de l'Etat intervenant dans le traitement – Existence – 2) Application au TAJ
1) S'agissant des traitements de l'État, lorsqu'un Acte réglementaire le régissant désigne le ou les ministères exerçant la responsabilité de traitement au nom de l'État, cela ne fait pas obstacle à la compétence de la CNIL pour contrôler et, le cas échéant, prononcer une injonction à l'égard des autres administrations de l'État à qui l'acte réglementaire confie un rôle dans la mise en œuvre du traitement.
2) S'agissant du traitement des antécédents judiciaires (TAJ), l'article R. 40-23 du code de procédure pénale dispose que le ministère de l'Intérieur exerce la responsabilité de traitement. Cependant, la responsabilité du traitement relevant, in fine, de l'État, la formation restreinte estime qu'elle est compétente pour adresser un rappel aux obligations et une injonction aux administrations de l'État qui ne relèvent pas du ministre de l'Intérieur auxquelles le code de procédure pénale confie un rôle dans la mise en œuvre du traitement. Elle s'estime donc compétente pour prononcer ces mesures à l'égard du ministère de la Justice, à qui les articles 230-8, 230-9 et R. 40-31 et suivants du code de procédure pénale confient, au sein de l'État, un rôle pour assurer le respect par le traitement des règles fixées par la loi Informatique et Libertés.
CNIL16 février 2023CNIL, SP, 16 février 2023, Avis sur projet de décision, Création d'un fichier central des titres permanents du permis de chasser, n° 2023-015, publié, point 16(source)
Exclusion du droit d'opposition par une « mesure législative » (art. 23 RGPD) – 1) Autorités pouva nt écarter le droit d'opposition par voie réglementaire – Collectivités territoriales et établissements publics – Inclusion – 2) Conditions et garanties
1) L'article 23 du RGPD permet de limiter ou d'écarter le droit d'opposition à un traitement, à certaines conditions, par une « mesure législative ». Le considérant 41 du RGPD précise que cette « mesure législative » n'est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque État membre. En France, il peut en particulier s'agir d'un acte réglementaire. La CNIL estime que, s'agissant des traitements participant à l'exécution d'une mission d'intérêt public, tant l'État que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s'ils disposent d'un pouvoir réglementaire, limiter ou exclure le droit d'opposition.
2) Cependant, l'exercice de cette faculté est soumis à une double limite : d'une part, s'agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l'article 34 de la Constitution ; d'autre part, veiller à ce que les conditions prévues à l'article 23 soient respectées. Dans ses lignes directrices 10/2020 du 13 octobre 2021 sur l'article 23, le Comité européen pour la protection des données a notamment rappelé l'obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l'objectif poursuivi. Il a également souligné que l'acte écartant l'opposition doit faire l'objet d'une publicité suffisante et être accessible.
CE3 juin 2022CE, Section, 3 juin 2022, Conseil national des barreaux, n° 452798, Re c., points 14-15(source)
Traitement ayant pour finalités de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irrégulier en France – Contenu du décret – 1) Rappel des principes du RGPD – Absence – 2) Modalités de délivrance de l’information aux personnes concernées – Absence
1) Dans le cadre d'un traitement automatisé autorisé par la loi et ayant pour finalité de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irrégulier en France, un décret se bornant à apporter à ce traitement les modifications nécessaires pour les besoins du téléservice n'a pas à rappeler les principes relatifs au traitement des données à caractère personnel énoncés par l'article 5 du RGPD, ni les obligations du responsable de traitement fixées par l'article 24 du même règlement.
2) Le droit d'information n'impose pas que l'acte portant création du traitement automatisé de données à caractère personnel, ni l'acte modifiant ses caractéristiques, fixe les modalités d'une telle information.
CE13 avril 2021CE, 10-9 chambres réunies, Ligue des droits de l'homme, 13 avril 2021, n° 439360, I nédit., points 8, 14-15(source)
Exploitation ultérieure de données dans d’autres traitements – Obligation d’indiquer la nature et l’objet des traitements ultérieurs concernés
Le décret n°2020‑151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l’intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.
L’une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d’autres traitements de données » notamment par le biais d’un système de pré‑renseignement des données collectées.
Le Conseil d’État annule ledit décret au motif que le traitement ne satisfait pas à l’exigence « déterminée, explicite et légitime ». En effet, dès lors qu’un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d’autres traitements, il doit comporter des indications quant à la nature ou à l’objet des traitements concernés ou aux conditions d’exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire à l’exigence d’une finalité « déterminée, explicite et légitime » énoncée au 2° de l’article 4 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
CE5 février 2020CE, 1-4 chambres réunies, 5 février 2020, Uni cef France et autres, n° 428478, T., point 23(source)
Acte créant le traitement – Obligation d'information des personnes concernées – Application sans que l'acte n'ait à le rappeler
L'obligation de fournir aux personnes dont certaines données à caractère personnel sont collectées une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant » prévue au 1 de l'article 12 du RGPD s'impose sans que l'acte créant le traitement n'ait à le rappeler.
CE13 février 2018CE, Section sociale, 13 février 2018, Avis, n° 394140, Projet de décret pris pour l'application de l'article L. 3131-9-1 du code de la santé publique(source)
Fichier « Système d'information d'identification unique des victimes » – Acte réglementaire – Obligation de prévoir des du rées de conservation
L'article L. 3131-9-1 du code de la santé publique, introduit par l'article 60 de la loi n°2016-1827 du 23 décembre 2016 de financement de la sécurité sociale pour 2017, a posé le cadre d'un Système d'information unique permettant l'identification et le suivi de la prise en charge des victimes dans le cadre d'une situation sanitaire exceptionnelle.
Il prévoit notamment que « les informations strictement nécessaires à l'identification des victimes et à leur suivi, notamment pour la prise en charge de leurs frais de santé, sont recueillies dans un système d'identification unique des victimes » et qu'« un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise la nature des données recueillies et fixe les modalités de cette transmission dans le respect des règles garantissant la protection de la vie privée ».
Le projet de décret présenté par le Gouvernement, pris pour l'application de ces dispositions, ne contenait pas de dispositions limitant dans le temps la conservation des données collectées et traitées. Le Conseil d'État (section sociale) a estimé que la limitation de la durée de conservation de ces données était une mention indispensable puisqu'en vertu de l'article 6 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel ne peuvent être conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées. Il a donc introduit une telle limitation à l'article 2 du projet.
CE17 janvier 2017CE, Section de l'intérieur, 17 janvier 2017, Avis, n° 392228, Projet de décret pris pour l'application des articles L. 744‑6 et L. 744‑7 du code de l'entrée et du séjour des étrangers et du droit d'asile et par conséquent création du traitement automatisé de données à caractère personnel(source)
Renvoi de l'acte réglementaire à un arrêté ministériel pour préciser la nature des données susceptibles d'être enregistrées – Exclusion
L'acte réglementaire créant un traitement de données à caractère personnel ne peut en principe, en ce qui concerne la nature des données à caractère personnel susceptibles d'être enregistrées, renvoyer à un arrêté ministériel. Mais le Conseil d'État constate que la CNIL a pu, dans le cadre de l'avis qu'elle a rendu sur le projet de décret, prendre naissance du contenu de l'arrêté auquel renvoyait le projet. Il estime dès lors qu'il était possible de mentionner dans le décret lui‑même les catégories de données prévues, et qu'elles seront précisées par un arrêté ministériel.
CEDate non renseignéeCE, 10ème/9ème SSR, 18 novembre 2015, Mme T… et Mme M…, n° 372111, Rec., point 6(source)
Durée de conservation des empreintes digitales relevées lors d'une demande de carte nationale d'identité – Durée illimitée faute de dispositions expresses la régissant – Illégalité
Fait de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.
CEDate non renseignéeCE, 10ème/9ème SSR, 9 novembre 2015, Conseil national de l'ordre des médecins, n° 383313, Inédit., point 8(source)
Conservation des données pour une durée de huit ans pour une finalité non précisée par le décret (conduite éventuelle de contentieux) – Conséquence – Absence de limitation de l'accès à ces données au seul besoin d'en connaître au regard de cette finalité – Illégalité – Existence
Décret créant un traitement nominatif relatif aux détenus comportant notamment des données relatives à leurs antécédents médicaux ayant pour finalité l'exécution des sentences pénales et des décisions de justice s'y rattachant, la gestion de la détention des personnes placées sous main de justice et écrouées, la sécurité des personnes détenues et des personnels et la mise en œuvre du « parcours pluridisciplinaire de la personne détenue ». Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57‑9‑21 à compter de la date de levée d'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.
CNIL20 octobre 2022CNIL, P, 20 octobre 2022, A vis sur projet de décret, « Système Informatisé de Recoupement, d'Orientation et de Coordination des procédures de Criminalité Organisée » (SIROCCO), n° 2022-105, publié, point 33(source)
Accédants au traitement – Formule à privilégier dans l'acte réglementaire
Lorsque l'acte réglementaire désigne les personnes qui opèrent le traitement sous l'autorité du responsable de traitement, dites « accédants au traitement », la Commission invite le ministère, pour éviter toute ambiguïté, à ne pas utiliser une formule indiquant « qu'ils accèdent à tout ou partie des données », dès lors qu'ils sont généralement également appelés à enregistrer ou effacer des données. Elle invite le gouvernement à utiliser une autre formule, par exemple en indiquant qu'ils « accèdent au traitement ».
CNIL21 avril 2022CNIL, P, 21 avril 2022, Avis sur projet de décret, n° 2022-051, non publié
Traitements publics encadrés par un acte réglementaire – 1) Obligation d'inscrire l'archivage intermédiaire dans l'acte réglementaire – Appréciation d'espèce – 2) Obligation d'inscrire l'archivage définitif dans l'acte réglementaire – Absence
Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.
1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l'écart entre la durée d'utilisation opérationnelle des données et le délai de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.
2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.
CNIL17 février 2022CNIL, P, 17 février 2022, A vis sur projet de décret, CESE, n° 2022-023, publié, point 18(source)
Décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition – Système de journalisation permettant une traçabilité des opérations de consultation, création et modification des données prévu dans le texte – Obligation de mise en place par l'administration
Dans le cadre d'un décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition, définissant notamment les règles relatives à l'accès aux informations collectées, la mise en place d'un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation.
En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l'objet d'un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d'autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l'institution et la société.
Si aucune disposition du RGPD n'impose effectivement de prévoir un système de journalisation dans l'acte réglementaire créant le traitement, le fait de le prévoir dans le décret oblige l'administration à le mettre en place et constitue une garantie importante. Il est d'ailleurs à noter que de nombreux décrets et arrêtés réglementant des traitements de données à caractère personnel le prévoient.
CNIL13 janvier 2022CNIL, P, 13 janvier 2022, A vis sur projet de décret, C'améras installées sur des aéronefs circulant sans personne à bord, n° 2022-006, publié, points 26-27 Voir aussi: CNIL, P, 20 janvier 2022, A vis sur projet de décret, Titre IV du livre II du code de la sécurité intérieure, n° 2022-005, publié(source)
Notions d'accédants et de destinataires – Habilitations des accédants
Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données.
Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique.
Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.
CNIL27 mai 2021CNIL, SP, 27 mai 2021, Avis sur projet de décret, LRPGN, n° 2021-061, publié, point 28ème Voir aussi: CE, 10-9 chambres réunies, 13 avril 2021, Ligue des droits de l'homme et autres, n° 439360, Inédit.(source)
Logiciels de rédaction d'actes relatifs aux procédures de la gendarmerie nationale 1) Imprécision de la catégorie de données « éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire » – Admissibilité en l'espèce – 2) a) Mises en relation de traitements – Finalité propre et distincte ou unique – Obligation de mentionner l'objet de ces mises en relation – Conditions – b) Mention non obligatoire de toutes les interconnexions, rapprochements ou autres mises en relation – Recommandation aux responsables de traitement – c) Conditions de licéité des mises en relation
1) La catégorie de données éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire est en principe trop imprécise pour fournir un encadrement satisfaisant à un traitement régi par un acte réglementaire. Néanmoins, dans le cas particulier d’un logiciel de rédaction d’actes relatifs aux faits les plus divers en lien avec toutes les procédures auxquelles participe la gendarmerie nationale, et eu égard à la difficulté particulière qui s’attache à l’énumération de toutes les catégories de données à caractère personnel pouvant être traitées dans un tel cadre, une telle formulation peut être admise. 2) a) Une mise en relation de traitements ne constitue pas en elle‑même une finalité d’un traitement, qui devrait alors figurer expressément dans l’acte réglementaire en autorisant la mise en œuvre, mais un moyen concourant à une finalité du traitement. Lorsque la mise en relation avec un autre traitement poursuit une finalité propre et distincte des finalités précisées dans l’acte autorisant la mise en œuvre du traitement en cause ou lorsque cette mise en relation constitue l’unique finalité de ce traitement, les articles 4 et 35 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés imposent de mentionner l’objet de ces mises en relation dans l’acte réglementaire de manière suffisamment explicite et précise. b) Si la liste de toutes les interconnexions, rapprochements ou autres mises en relation ne doit pas nécessairement figurer dans l’acte autorisant la création d’un traitement, leur mention peut néanmoins constituer une bonne pratique dans certains cas particuliers, notamment lorsque ces mises en relation sont étroitement liées aux finalités du traitement concerné. À défaut d’une telle mention, il est recommandé aux responsables de traitements autorisés par acte réglementaire, en particulier pour les traitements correspondant à des bases de données importantes, de décrire sur leur site web l’ensemble des mises en relation réalisées avec d’autres bases de données. c) Lorsque des traitements mis en relation sont encadrés par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les traitements concernés, que cette mise en relation soit ou non mentionnée dans les actes autorisant la création de ces traitements. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. Pour être licite, le transfert de données d’une base vers une autre doit ainsi s’inscrire ou concourir aux finalités poursuivies par la base d’origine ou à celles associées aux transmissions à des destinataires ; les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d’origine.
