CE3 juin 2022CE, Section, 3 juin 2022, Conseil national des barreaux, n° 452798, Re c., points 14-15(source)
Traitement ayant pour finalités de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irrégulier en France – Contenu du décret – 1) Rappel des principes du RGPD – Absence – 2) Modalités de délivrance de l’information aux personnes concernées – Absence
1) Dans le cadre d'un traitement automatisé autorisé par la loi et ayant pour finalité de garantir le droit au séjour des ressortissants étrangers en situation régulière et de lutter contre l’entrée et le séjour irrégulier en France, un décret se bornant à apporter à ce traitement les modifications nécessaires pour les besoins du téléservice n'a pas à rappeler les principes relatifs au traitement des données à caractère personnel énoncés par l'article 5 du RGPD, ni les obligations du responsable de traitement fixées par l'article 24 du même règlement.
2) Le droit d'information n'impose pas que l'acte portant création du traitement automatisé de données à caractère personnel, ni l'acte modifiant ses caractéristiques, fixe les modalités d'une telle information.
CE13 avril 2021CE, 10-9 chambres réunies, Ligue des droits de l'homme, 13 avril 2021, n° 439360, I nédit., points 8, 14-15(source)
Exploitation ultérieure de données dans d’autres traitements – Obligation d’indiquer la nature et l’objet des traitements ultérieurs concernés
Le décret n°2020‑151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) autorise le ministre de l’intérieur à mettre en œuvre un traitement automatisé de données à caractère personnel dénommé GendNotes.
L’une des finalités du traitement est de « faciliter le recueil et la conservation en vue de leur exploitation ultérieure dans d’autres traitements de données » notamment par le biais d’un système de pré‑renseignement des données collectées.
Le Conseil d’État annule ledit décret au motif que le traitement ne satisfait pas à l’exigence « déterminée, explicite et légitime ». En effet, dès lors qu’un décret prévoit, au titre des finalités du traitement, sa mise en relation avec d’autres traitements, il doit comporter des indications quant à la nature ou à l’objet des traitements concernés ou aux conditions d’exploitation, dans ces autres traitements, des données collectées par le traitement initial, afin de satisfaire à l’exigence d’une finalité « déterminée, explicite et légitime » énoncée au 2° de l’article 4 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
CE5 février 2020CE, 1-4 chambres réunies, 5 février 2020, Uni cef France et autres, n° 428478, T., point 23(source)
Acte créant le traitement – Obligation d'information des personnes concernées – Application sans que l'acte n'ait à le rappeler
L'obligation de fournir aux personnes dont certaines données à caractère personnel sont collectées une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples, en particulier pour toute information destinée spécifiquement à un enfant » prévue au 1 de l'article 12 du RGPD s'impose sans que l'acte créant le traitement n'ait à le rappeler.
CE13 février 2018CE, Section sociale, 13 février 2018, Avis, n° 394140, Projet de décret pris pour l'application de l'article L. 3131-9-1 du code de la santé publique(source)
Fichier « Système d'information d'identification unique des victimes » – Acte réglementaire – Obligation de prévoir des du rées de conservation
L'article L. 3131-9-1 du code de la santé publique, introduit par l'article 60 de la loi n°2016-1827 du 23 décembre 2016 de financement de la sécurité sociale pour 2017, a posé le cadre d'un Système d'information unique permettant l'identification et le suivi de la prise en charge des victimes dans le cadre d'une situation sanitaire exceptionnelle.
Il prévoit notamment que « les informations strictement nécessaires à l'identification des victimes et à leur suivi, notamment pour la prise en charge de leurs frais de santé, sont recueillies dans un système d'identification unique des victimes » et qu'« un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés, précise la nature des données recueillies et fixe les modalités de cette transmission dans le respect des règles garantissant la protection de la vie privée ».
Le projet de décret présenté par le Gouvernement, pris pour l'application de ces dispositions, ne contenait pas de dispositions limitant dans le temps la conservation des données collectées et traitées. Le Conseil d'État (section sociale) a estimé que la limitation de la durée de conservation de ces données était une mention indispensable puisqu'en vertu de l'article 6 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, les données à caractère personnel ne peuvent être conservées que pendant la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées. Il a donc introduit une telle limitation à l'article 2 du projet.
CE17 janvier 2017CE, Section de l'intérieur, 17 janvier 2017, Avis, n° 392228, Projet de décret pris pour l'application des articles L. 744‑6 et L. 744‑7 du code de l'entrée et du séjour des étrangers et du droit d'asile et par conséquent création du traitement automatisé de données à caractère personnel(source)
Renvoi de l'acte réglementaire à un arrêté ministériel pour préciser la nature des données susceptibles d'être enregistrées – Exclusion
L'acte réglementaire créant un traitement de données à caractère personnel ne peut en principe, en ce qui concerne la nature des données à caractère personnel susceptibles d'être enregistrées, renvoyer à un arrêté ministériel. Mais le Conseil d'État constate que la CNIL a pu, dans le cadre de l'avis qu'elle a rendu sur le projet de décret, prendre naissance du contenu de l'arrêté auquel renvoyait le projet. Il estime dès lors qu'il était possible de mentionner dans le décret lui‑même les catégories de données prévues, et qu'elles seront précisées par un arrêté ministériel.
CEDate non renseignéeCE, 10ème/9ème SSR, 18 novembre 2015, Mme T… et Mme M…, n° 372111, Rec., point 6(source)
Durée de conservation des empreintes digitales relevées lors d'une demande de carte nationale d'identité – Durée illimitée faute de dispositions expresses la régissant – Illégalité
Fait de dispositions expresses la régissant, la durée de conservation des empreintes digitales relevées sur le fondement de l'article 5 du décret du 22 octobre 1955 est illimitée. Une telle durée de conservation ne peut être regardée comme nécessaire aux finalités du fichier, eu égard à la durée de validité de la carte nationale d'identité et au délai dans lequel tout détenteur d'une carte nationale d'identité périmée peut en solliciter le renouvellement. Elle est donc illégale.
CEDate non renseignéeCE, 10ème/9ème SSR, 9 novembre 2015, Conseil national de l'ordre des médecins, n° 383313, Inédit., point 8(source)
Conservation des données pour une durée de huit ans pour une finalité non précisée par le décret (conduite éventuelle de contentieux) – Conséquence – Absence de limitation de l'accès à ces données au seul besoin d'en connaître au regard de cette finalité – Illégalité – Existence
Décret créant un traitement nominatif relatif aux détenus comportant notamment des données relatives à leurs antécédents médicaux ayant pour finalité l'exécution des sentences pénales et des décisions de justice s'y rattachant, la gestion de la détention des personnes placées sous main de justice et écrouées, la sécurité des personnes détenues et des personnels et la mise en œuvre du « parcours pluridisciplinaire de la personne détenue ». Eu égard à la finalité du fichier ayant notamment trait à la gestion des contentieux entre l'administration pénitentiaire et les personnes placées sous main de justice, la durée de conservation de deux ans prévue à l'article R. 57‑9‑21 à compter de la date de levée d'écrou n'est pas excessive. En revanche, la conservation ultérieure de ces données pour un délai de huit ans, qui poursuit, selon la garde des sceaux, la conduite éventuelle de contentieux, est dépourvue de fondement légal dès lors que cette finalité n'est pas explicitée par le décret attaqué et que la durée de conservation ainsi définie ne s'y rattache pas spécifiquement.
CNIL20 octobre 2022CNIL, P, 20 octobre 2022, A vis sur projet de décret, « Système Informatisé de Recoupement, d'Orientation et de Coordination des procédures de Criminalité Organisée » (SIROCCO), n° 2022-105, publié, point 33(source)
Accédants au traitement – Formule à privilégier dans l'acte réglementaire
Lorsque l'acte réglementaire désigne les personnes qui opèrent le traitement sous l'autorité du responsable de traitement, dites « accédants au traitement », la Commission invite le ministère, pour éviter toute ambiguïté, à ne pas utiliser une formule indiquant « qu'ils accèdent à tout ou partie des données », dès lors qu'ils sont généralement également appelés à enregistrer ou effacer des données. Elle invite le gouvernement à utiliser une autre formule, par exemple en indiquant qu'ils « accèdent au traitement ».
CNIL21 avril 2022CNIL, P, 21 avril 2022, Avis sur projet de décret, n° 2022-051, non publié
Traitements publics encadrés par un acte réglementaire – 1) Obligation d'inscrire l'archivage intermédiaire dans l'acte réglementaire – Appréciation d'espèce – 2) Obligation d'inscrire l'archivage définitif dans l'acte réglementaire – Absence
Cas d'un traitement de l'État permettant d'enregistrer des informations sur les ressortissants français et leurs ayants droit ainsi que documents relatifs à une situation de crise à l'étranger en vue d'en faciliter la gestion et d'informer et associer les personnes concernées.
1) Une fois que les données ne sont plus utilisées dans le cadre de la gestion opérationnelle liée à l'événement survenu à l'étranger ou pour réaliser les statistiques prévues, il est recommandé de mettre en place un archivage intermédiaire afin de limiter la consultation de ces données à des personnes spécifiquement habilitées. Eu égard à l'écart entre la durée d'utilisation opérationnelle des données et le délai de conservation en base intermédiaire (10 ans), le principe d'un tel archivage intermédiaire devrait, dans l'espèce, être inscrit dans le décret portant création du traitement, à titre de garantie apportée aux personnes concernées.
2) S'agissant de l'archivage définitif au titre de l'application des règles régissant les archives publiques issues du code du patrimoine, un acte réglementaire régissant un traitement public réserve toujours implicitement l'application des obligations du code du patrimoine et l'archivage définitif n'a pas besoin d'être expressément prévu par l'acte réglementaire.
CNIL17 février 2022CNIL, P, 17 février 2022, A vis sur projet de décret, CESE, n° 2022-023, publié, point 18(source)
Décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition – Système de journalisation permettant une traçabilité des opérations de consultation, création et modification des données prévu dans le texte – Obligation de mise en place par l'administration
Dans le cadre d'un décret précisant les modalités et les conditions de recevabilité de la saisine d'une institution par voie de pétition, définissant notamment les règles relatives à l'accès aux informations collectées, la mise en place d'un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données est indispensable, conformément à la délibération de la CNIL n° 2021‑122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation.
En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l'objet d'un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d'autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l'institution et la société.
Si aucune disposition du RGPD n'impose effectivement de prévoir un système de journalisation dans l'acte réglementaire créant le traitement, le fait de le prévoir dans le décret oblige l'administration à le mettre en place et constitue une garantie importante. Il est d'ailleurs à noter que de nombreux décrets et arrêtés réglementant des traitements de données à caractère personnel le prévoient.
CNIL13 janvier 2022CNIL, P, 13 janvier 2022, A vis sur projet de décret, C'améras installées sur des aéronefs circulant sans personne à bord, n° 2022-006, publié, points 26-27 Voir aussi: CNIL, P, 20 janvier 2022, A vis sur projet de décret, Titre IV du livre II du code de la sécurité intérieure, n° 2022-005, publié(source)
Notions d'accédants et de destinataires – Habilitations des accédants
Le terme « accédant », que n’utilise ni le RGPD, ni la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés mais qui a été créé par la doctrine, désigne, s’agissant d’un traitement automatisé de données mis en œuvre par une administration et encadré par un acte réglementaire, les personnes qui, au sein du responsable de traitement, seront appelées à effectuer les diverses opérations de traitement et, à ce titre, à accéder au système informatique en cause. Les habilitations des différents accédants peuvent être définies par l’acte réglementaire, et ne se limitent généralement pas à la seule consultation des données mais incluent aussi l’enregistrement, la correction ou l’effacement des données.
Par ailleurs, au sens de la réglementation, et notamment du RGPD, les « destinataires » sont les personnes à qui le responsable de traitement peut être amené à communiquer les données et sur lesquelles il doit fournir une information aux personnes concernées. En pratique, cette communication peut prendre plusieurs formes, qu’il s’agisse d’une transmission d’un extrait des données ou d’une simple faculté de consultation par un accès sécurisé au système informatique.
Lorsqu’un projet de décret mentionne des personnes comme « accédants aux données » alors qu’elles ne seront pas seulement chargées de consulter les données mais également de décider de leur recueil, ce point doit être précisé pour éviter toute ambiguïté.
CNIL27 mai 2021CNIL, SP, 27 mai 2021, Avis sur projet de décret, LRPGN, n° 2021-061, publié, point 28ème Voir aussi: CE, 10-9 chambres réunies, 13 avril 2021, Ligue des droits de l'homme et autres, n° 439360, Inédit.(source)
Logiciels de rédaction d'actes relatifs aux procédures de la gendarmerie nationale 1) Imprécision de la catégorie de données « éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire » – Admissibilité en l'espèce – 2) a) Mises en relation de traitements – Finalité propre et distincte ou unique – Obligation de mentionner l'objet de ces mises en relation – Conditions – b) Mention non obligatoire de toutes les interconnexions, rapprochements ou autres mises en relation – Recommandation aux responsables de traitement – c) Conditions de licéité des mises en relation
1) La catégorie de données éléments issus des constatations et investigations strictement nécessaires à la conduite et à la résolution de la procédure judiciaire est en principe trop imprécise pour fournir un encadrement satisfaisant à un traitement régi par un acte réglementaire. Néanmoins, dans le cas particulier d’un logiciel de rédaction d’actes relatifs aux faits les plus divers en lien avec toutes les procédures auxquelles participe la gendarmerie nationale, et eu égard à la difficulté particulière qui s’attache à l’énumération de toutes les catégories de données à caractère personnel pouvant être traitées dans un tel cadre, une telle formulation peut être admise. 2) a) Une mise en relation de traitements ne constitue pas en elle‑même une finalité d’un traitement, qui devrait alors figurer expressément dans l’acte réglementaire en autorisant la mise en œuvre, mais un moyen concourant à une finalité du traitement. Lorsque la mise en relation avec un autre traitement poursuit une finalité propre et distincte des finalités précisées dans l’acte autorisant la mise en œuvre du traitement en cause ou lorsque cette mise en relation constitue l’unique finalité de ce traitement, les articles 4 et 35 de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés imposent de mentionner l’objet de ces mises en relation dans l’acte réglementaire de manière suffisamment explicite et précise. b) Si la liste de toutes les interconnexions, rapprochements ou autres mises en relation ne doit pas nécessairement figurer dans l’acte autorisant la création d’un traitement, leur mention peut néanmoins constituer une bonne pratique dans certains cas particuliers, notamment lorsque ces mises en relation sont étroitement liées aux finalités du traitement concerné. À défaut d’une telle mention, il est recommandé aux responsables de traitements autorisés par acte réglementaire, en particulier pour les traitements correspondant à des bases de données importantes, de décrire sur leur site web l’ensemble des mises en relation réalisées avec d’autres bases de données. c) Lorsque des traitements mis en relation sont encadrés par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les traitements concernés, que cette mise en relation soit ou non mentionnée dans les actes autorisant la création de ces traitements. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. Pour être licite, le transfert de données d’une base vers une autre doit ainsi s’inscrire ou concourir aux finalités poursuivies par la base d’origine ou à celles associées aux transmissions à des destinataires ; les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d’origine.
CNIL15 juillet 2020CNIL, P, 15 juillet 2020, Mise en demeure, X, n° MED-2020-015, publié, points 45-48(source)
Traitements de données personnelles mis en œuvre pour la sécurité d'un traitement source – Absence d'obligation de figurer dans le décret – Mention dans l'analyse d'impact
Lorsqu'un utilisateur se connecte à l'application StopCovid France, l'adresse IP de l'ordinateur est collectée dans le cadre de la solution anti‑DDOS de la société ORANGE, la collecte de cette donnée à caractère personnel ayant comme seule finalité, en l'espèce, d'assurer la sécurité du dispositif.
Dans la mesure où la solution anti‑DDOS est une solution de sécurité du dispositif, qui n'a pas à figurer dans le décret du 29 mai 2020, les données traitées par cette solution n'ont pas non plus à figurer dans ce décret. La collecte des adresses IP dans ce cadre n'est donc pas irrégulière. En revanche, dès lors que cette solution de sécurité entraîne une collecte de données à caractère personnel, la description de cette opération de traitement doit apparaître dans l'analyse d’impact réalisée par le responsable de traitement.
