Exclusion du droit d’opposition (art. 23 RGPD) – 1) Autorités pouvan t écarter le droit d'opposition – Collectivités territoriales et établissements publics – Inclusion – 2) Conditions et garanties

Délibération n° 2023-015 du 16 février 2023 portant avis sur un projet de décision relatif à la création d’un fichier central des titres permanents du permis de chasser - 2023-015 - Avis

Date de l’avis : 16 février 2023 N° de la délibération : n° 2023-015 N° de demande d’avis : 2226835 Texte concerné : projet de décision relatif à la création d’un fichier central des titres permanents du permis de chasser Thématiques : Office français de la biodiversité, permis de chasser, agriculture Fondement de la saisine : article 8.I.2°.e) de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés L’essentiel :
L’Office français de la biodiversité (OFB) crée un fichier central des titres permanents des permis de chasser afin d’organiser l’examen de ce permis et la délivrance des titres.
L’OFB envisage d’exclure le droit d’opposition. La CNIL estime cette exclusion possible au titre de l’article 23 du RGPD, l’OFB agissant en qualité d’établissement public dans le cadre de l’exécution de ses missions et au titre de son pouvoir réglementaire. La CNIL rappelle que la publicité et la précision de l’acte doivent être suffisantes afin de garantir les droits des personnes concernées.
La CNIL recommande de réaliser une analyse d’impact relative à la protection des données.
LA COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après loi "informatique et libertés"), notamment son article 8.I.2°.e) ;
Sur la proposition de M. Alain DRU, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement, ADOPTE LA DÉLIBÉRATION SUIVANTE :
I. La saisine A. Le contexte Le droit de chasser est conditionné à la détention de trois éléments :
le titre permanent du permis de chasser, obtenu par la réussite d’un examen et délivré à vie ;
la validation du permis de chasser, qui consiste en une demande administrative et une cotisation à renouveler chaque année auprès de la fédération départementale compétente ; et la souscription d’une assurance chasse.
L’article L. 423-4 du code de l'environnement crée un fichier national du permis de chasser constitué :
du fichier central des titres permanents du permis de chasser géré par l'Office français de la biodiversité (OFB) ; et du fichier central des validations et autorisations de chasser géré par la Fédération nationale des chasseurs.
B. L’objet de la saisine La CNIL a été saisie pour avis le 1 er juillet 2022 par l’OFB d’un projet de décision relatif à la création du fichier central des titres permanents du permis de chasser .
Ce fichier vise à organiser l’inscription à l’examen du permis de chasser et la délivrance des titres permanents. Il a pour finalités l’analyse de la recevabilité des dossiers d'inscription à l'examen du permis de chasser et des demandes de duplicata des titres perdus, détruits ou détériorés.
L’OFB est le responsable de ce traitement, qu’il met en œuvre sur la base de l’exécution d’une mission d’intérêt public.
II. L’avis de la CNIL A. Sur les données collectées L’article 2 du projet de décision prévoit la collecte d’un certificat médical d’aptitude, attestant de l’absence d’affections médicales et infirmités rendant dangereuse la pratique de la chasse, prévues par les textes [1] . Sa présentation est obligatoire pour l’inscription à l’examen du permis de chasser [2] . Ce certificat constitue une donnée relative à la santé dont le traitement doit être permis par l’une des exceptions de l’article 9 du RGPD.
La CNIL prend acte de la mobilisation par l’OFB de l’article 9.2.g du RGPD, justifiant du traitement de cette donnée sensible en vertu du motif important de sécurité publique.
Par ailleurs, l’article 2 du projet de décision prévoit les mentions " retrait ou suspension du permis de chasser (oui/non) " et " inscription au FINIADA (oui/non) ", qui constituent des motifs d’interdiction de la délivrance du permis de chasser conformément à l’article L. 423-11 du code de l’environnement. Ces décisions – provenant d’une autorité judicaire – constituent des données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté au sens de l’article 10 du RGPD, dont le traitement doit être permis par l’une des exceptions de l’article 46 de la loi "informatique et libertés" .
La Commission prend acte de la mobilisation par l’OFB de l’article 46.1 de la loi "informatique et libertés" pour traiter ces données en tant que personne morale gérant un service public et agissant dans le cadre de ses attributions légales.
En outre, elle accueille favorablement la minimisation des données collectées à celles strictement nécessaires pour assurer la compatibilité de la situation juridique des personnes avec le port d’une arme.
B. Sur les durées de conservation Le dossier de présentation indique que toutes les données collectées seront conservées pendant 99 ans. L’OFB précise que cette durée est nécessaire en cas de demande de délivrance de duplicata, ainsi que de sollicitation de la justice ou d’accident de chasse afin de vérifier que le permis a été délivré de manière régulière.
Cette durée particulièrement longue apparaît néanmoins justifiée, en son principe, par la délivrance à vie du permis de chasser.
La CNIL s’interroge cependant sur la pertinence de la conservation du certificat médical – donnée dite sensible au sens de l’article 9 du RGPD – pendant 99 ans. En effet, par ce document, le médecin atteste de la compatibilité, au moment de son inscription, de l’état de santé physique et psychique du candidat avec la détention d’une arme. Le dossier d’inscription étant validé une première fois par la fédération départementale de chasse, puis vérifié par l’OFB, la conservation de cette pièce n’apparaît pas justifiée au-delà de la durée nécessaire à la procédure d’inscription.
Au regard de la protection particulière requise pour le traitement d’une donnée sensible, la Commission recommande de réduire la durée de conservation du certificat médical et de limiter celle-ci au délai de prescription applicable à la contestation des résultats de l’examen. Elle accueille favorablement l’engagement de l’OFB à réduire cette durée à 1 an.
La CNIL prend également acte des évolutions de l’outil prévues afin de supprimer automatiquement les données à l’issue du délai retenu.
C. Sur le droit d’opposition L’OFB a précisé que le droit d’opposition est exclu pour ce traitement sur le fondement de l’article 23.1.h du RGPD, afin de garantir " la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces " .
L’article 23 du RGPD permet de limiter ou d’écarter le droit d’opposition à un traitement, à certaines conditions, par une " mesure législative ". Le considérant 41 du RGPD précise que cette " mesure législative " n’est pas nécessairement un acte adopté par le Parlement, mais doit être déterminée par le droit national de chaque Etat membre. En France, il peut en particulier s’agir d’un acte réglementaire. La CNIL estime que, s’agissant des traitements participant de l’exécution d’une mission d’intérêt public, tant l’Etat que les collectivités territoriales ou les établissements publics peuvent, dans leurs domaines de compétence respectifs et s’ils disposent d’un pouvoir réglementaire, limiter ou exclure le droit d’opposition. Cependant, l’exercice de cette faculté est soumis à une double limite : d’une part, s’agissant de la compétence, ne pas empiéter sur le domaine réservé à la loi en application de l’article 34 de la Constitution ; d’autre part, veiller à ce que les conditions prévues à l’article 23 soient respectées. Dans ses lignes directrices sur l’article 23 [3] , le Comité européen pour la protection des données (CEPD) a notamment rappelé l’obligation pour le responsable de traitement de veiller au caractère strictement nécessaire et proportionné de la limitation envisagée au regard de l’objectif poursuivi. Il a également souligné que l’acte écartant l’opposition doit faire l’objet d’une publicité suffisante et être accessible.
En l’espèce, la CNIL estime que l’OFB, en sa qualité d’établissement public, peut exclure le droit d’opposition, dès lors que, d’une part, cette exclusion est nécessaire et proportionnée aux objectifs d’intérêt public poursuivis et que, d’autre part, l’OFB s’est engagé à ce que le projet de décision, qui a une nature réglementaire, comprenne les garanties requises par le 2 de l’article 23.
La CNIL attire également l’attention de l’OFB sur la publicité de l’acte règlementaire adopté, qui devra être suffisante pour garantir l’accessibilité de celui-ci.
D. Sur la réalisation d’une analyse d’impact relative à la protection des données (AIPD) Le projet de traitement prévoit la collecte de données à caractère personnel à grande échelle, de données sensibles ou hautement personnelles (données de santé et données relatives à des condamnations) et de données de personnes dites vulnérables (mineurs et personnes âgées).
Au regard de ces éléments et des neuf critères établis par le Comité européen de la protection des données afin de déterminer si un traitement de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, la Commission recommande la réalisation d’une AIPD.
La CNIL prend acte de l’engagement de l’OFB d’effectuer une AIPD .
Les autres dispositions du projet de décision n’appellent pas d’observations de la part de la CNIL.
La Présidente Marie-Laure DENIS __________________________________ [1]
Article R. 423-25 du code de l’environnement [2]
Article L. 423-6 du code de l’environnement [3] Lignes directrices 10/2020 du 13 octobre 2021 sur les limitations prévues par l’article 23 du RGPD