Pérennisation d'un traitement de données à caractère expérimental – Éléments accompagnant une saisine pour avis – Rapport d'évaluation

Délibération n° 2022-028 du 3 mars 2022 portant avis sur un projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) (demande d’avis n° 22003455) - 2022-028 - Avis

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, et notamment son article 8-I-4° a) ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement, Emet l’avis suivant :
La Commission nationale de l’informatique et des libertés (ci-après " la Commission ") a été saisie le 14 février 2022, en urgence, sur le fondement de l’article 8-I-4° a) de la loi du 6 janvier 1978 modifiée, des articles 13 et 31 d’un projet de loi d’orientation et de programmation du ministère de l’intérieur (ci-après " le projet de loi ").
Le projet d’article 13 vise à modifier la loi n° 2018-697 du 3 août 2018 relative à l’harmonisation de l’utilisation des caméras mobiles par les autorités de sécurité publique en vue, notamment, de pérenniser la possibilité pour les personnels de l’administration pénitentiaire de recourir au port de caméras mobiles.
Le projet d’article 31 vise à modifier les articles L. 232-1 et suivants du code de la sécurité intérieure (CSI) concernant les traitements automatisés de données recueillies à l’occasion de déplacements internationaux, pour permettre le traitement de données de voyage relatives aux " membres d’équipage ", " personnels de bord ", et " gens de mer ".
La Commission regrette d’avoir à se prononcer dans des conditions d’urgence sur de telles évolutions, compte tenu notamment des enjeux associés à la pérennisation du dispositif prévu par la loi du 3 août 2018 susvisée et à l'extension des catégories de personnes dont les données pourront faire l’objet de traitements sur le fondement des dispositions du CSI précitées, et en particulier de l'impact sur la vie privée des personnes concernées qui pourrait en résulter.
De manière plus générale, et indépendamment des deux articles dont elle est saisie, la Commission rappelle la nécessité de prévoir rapidement un cadre juridique cohérent, complet et suffisamment protecteur des droits des personnes en matière de vidéoprotection. En effet, de nombreuses dispositions du CSI, qui constituent le cadre juridique général en la matière, sont obsolètes depuis l’évolution de la réglementation en matière de protection des données à caractère personnel intervenue en 2018. Elles ne permettent donc pas aux responsables de traitement de connaître l’état réel de leurs obligations en la matière ni aux personnes concernées de savoir de quelle manière exercer leurs droits.
Sur la modification de l’article 2 de la loi n° 2018-697 du 3 août 2018 relative à l’harmonisation de l’utilisation des caméras mobiles par les autorités de sécurité publique (article 13 du projet de loi) La loi n° 2018-697 du 3 août 2018 ouvre, en son article 2, la possibilité pour les personnels de l’administration pénitentiaire de recourir au port de caméras mobiles à titre expérimental. Les conditions de cette expérimentation, d’une durée de trois ans, ont été fixées par le décret n° 2019-1427 du 23 décembre 2019 relatif aux conditions de l'expérimentation de l'usage des caméras individuelles par les personnels de surveillance de l'administration pénitentiaire dans le cadre de leurs missions, pris après avis de la Commission.
Dans la continuité de cette expérimentation, le projet de loi dont la Commission est saisie entend :
pérenniser le dispositif déployé à titre expérimental ;
préciser que " les caméras sont équipées de dispositifs techniques permettant de garantir l’intégrité des enregistrements jusqu’à leur effacement et la traçabilité des consultations lorsqu’il y est procédé dans le cadre de l’intervention ", ce qui constitue une garantie juridique supplémentaire ; et réduire la durée de conservation des enregistrements, fixée à six mois dans le cadre de l’expérimentation, à trois mois.
La Commission prend acte de ce qu’un décret en Conseil d’Etat portant création d’un traitement de données " caméras mobiles " pérenne prévoyant les autres caractéristiques du traitement sera adopté après avis de la Commission.
Sur la pérennisation du dispositif A titre liminaire,
la Commission souligne que, pour pouvoir se prononcer sur la pérennisation d’un traitement de données à caractère personnel expérimental, il est nécessaire de disposer avec la saisine d’une évaluation des bénéfices tirés du dispositif expérimental, pour les comparer à l’atteinte à la vie privée qu’implique une généralisation du dispositif. En l’espèce, à sa demande, le ministère a transmis un rapport d’évaluation de l’expérimentation.
Ce rapport doit ainsi permettre d’apprécier si le traitement mis en œuvre à titre expérimental a permis de répondre aux finalités fixées par la loi, à savoir " la prévention des incidents et des évasions, le constat des infractions et la poursuite de leurs auteurs par une collecte de preuves ainsi que la formation et la pédagogie des agents ", et d’évaluer la proportionnalité du dispositif.
En premier lieu , la Commission observe que cette expérimentation s’est inscrite dans le cadre de missions de surveillance de personnes détenues placées en quartiers spécifiques (tels que les quartiers pour mineurs), d’interventions en établissements pénitentiaires, d’unités hospitalières et de missions extérieures aux établissements pénitentiaires.
La Commission rappelle avoir pris acte, dans sa délibération n° 2019-140 du 5 décembre 2019 portant avis sur un projet de décret relatif à la mise en œuvre du traitement expérimental, de ce que les établissements pour mineurs étaient exclus de l’expérimentation. Elle souligne ainsi que le traitement de données relatives aux mineurs doit faire l’objet de justifications et de précautions particulières, être strictement nécessaire aux objectifs poursuivis et assorti de garanties, et regrette de ne disposer d’aucune indication en ce sens.
En deuxième lieu , la Commission observe que le rapport destiné au Parlement qui lui a été transmis dresse un bilan mitigé de l’expérimentation conduite entre octobre 2020 et juillet 2021.
Durant cette période, des caméras individuelles ont été remises 64 478 fois à des agents volontaires, 2564 déclenchements ont été comptabilisés, et seules 30 vidéos ont été exploitées pour les besoins de poursuites disciplinaires ou judiciaires et à des fins pédagogiques.
D’une part, et sans remettre en cause la compétence des personnalités choisies pour composer le comité d’évaluation, la Commission observe qu’il aurait pu être enrichi par la présence d’autres profils, ce qui aurait été de nature à permettre une évaluation plus complète du dispositif.
D’autre part, il apparaît que le bilan de l’expérimentation a été en partie établi sur la base de questionnaires remis aux agents, en vue d’apprécier le ressenti de ces derniers au regard tant d’aspects matériels (taux de pannes, par exemple) que de l’efficacité du dispositif pour prévenir des incidents. A cet égard, la Commission s’interroge sur les raisons ayant conduit à ne pas inclure, parmi les indicateurs retenus, l’évaluation de la perception du dispositif par les personnes détenues. Elle regrette ce choix dans la mesure où une telle approche aurait notamment permis de mieux mesurer l’effet dissuasif du dispositif.
La Commission relève que le recours au dispositif n’a pas été majoritairement perçu par les agents comme améliorant leurs conditions de travail, ni comme facilitant l’exercice de leurs missions. L’utilisation du dispositif ne semble, au regard du ressenti des utilisateurs, pas avoir un impact positif sur la résolution de l’incident ou de la situation qui justifie de commencer l’enregistrement. En revanche, le dispositif a démontré son utilité lorsque des poursuites sont déclenchées à la suite de l’incident (à des fins de preuve notamment), ainsi qu’en matière de formation des agents et de pédagogie.
Par ailleurs, il ressort des éléments du rapport que l’efficacité du dispositif serait amoindrie par le manque d’acculturation des agents concernés. Tout en prenant note de ce que des actions de formation et de sensibilisation ont accompagné le déploiement du dispositif, la Commission invite le ministère, dans l’hypothèse où le traitement serait pérennisé, à adapter le contenu de ces actions de manière à sensibiliser les opérateurs aux risques et bénéfices de l’utilisation de caméras mobiles.
Enfin, la Commission constate que parmi les trente enregistrements exploités au cours de l’expérimentation, vingt-quatre l’ont été à des fins pédagogiques. Elle relève ainsi que les captations d’images et de sons permettent le développement de supports pédagogiques novateurs et, ainsi, de répondre aux finalités fixées par la loi.
En dernier lieu , la Commission observe que le traitement projeté est assorti de garanties, s’agissant notamment de l’information des personnes. Elle souligne néanmoins que l’article 2 de la loi précitée prévoit qu’" un signal visuel spécifique indique si la caméra enregistre " et que " le déclenchement de l'enregistrement fait l'objet d'une information des personnes enregistrées, sauf si les circonstances l'interdisent ". En parallèle, l’article L. 241-1 du CSI prévoit un dispositif analogue s’agissant de l’enregistrement audiovisuel, au moyen de caméras individuelles, des interventions des agents de la police nationale et des militaires de la gendarmerie nationale. Or le Conseil constitutionnel, dans sa décision n° 2021-817 DC du 20 mai 2021, a relevé que si la disposition précitée permet que le déclenchement de l'enregistrement puisse, par exception, ne pas faire l'objet de cette information lorsque " les circonstances l'interdisent ", ces circonstances recouvrent les seuls cas où cette information est " rendue impossible pour des raisons purement matérielles et indépendantes des motifs de l'intervention ". Dans ces conditions, la Commission invite le ministère à limiter les hypothèses dans lesquelles l’enregistrement peut être réalisé à l’insu de la personne concernée aux seuls cas conformes à la décision précitée.
Dans ce contexte, la Commission relève que si le dispositif trouve son utilité pour certaines finalités (notamment à des fins pédagogiques et de formation, à des fins de constatation d’infractions et de poursuite de leurs auteurs), elle rappelle néanmoins que, dès lors que le traitement est susceptible de porter sur des données relatives aux mineurs, il conviendra de prévoir des garanties appropriées, s'agissant notamment de l’information, dans des termes simples et adaptés, de la personne concernée.
Sur la durée de conservation des enregistrements Le projet de loi réduit la durée de conservation des enregistrements audiovisuels de six à trois mois. La Commission rappelle que, pour le dispositif analogue que constitue l’utilisation de caméras individuelles par les agents de la police nationale et les militaires de la gendarmerie nationale, la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure a réduit la durée de conservation des enregistrements à un mois.
Si la Commission s’est initialement interrogée sur la durée de trois mois retenue par le ministère, elle prend acte des précisions apportées relatives aux impératifs de fonctionnement des établissements pénitentiaires, pour permettre notamment d’assurer la tenue et la régularité des procédures disciplinaires diligentées à l’encontre des personnes détenues. Dans ces conditions, elle estime que cette durée n’est pas excessive au regard des finalités poursuivies.
Sur la modification des dispositions législatives du CSI relatives aux traitements automatisés de données recueillies à l’occasion de déplacements internationaux (article 31 du projet de loi) Les articles L. 232-1 à L. 232-7-1 du CSI actuellement en vigueur autorisent la mise en œuvre de différents traitements automatisés de données à caractère personnel de passagers, recueillies à l’occasion de déplacements internationaux :
afin d’" améliorer le contrôle aux frontières et de lutter contre l'immigration clandestine ", " de prévenir et de réprimer des actes de terrorisme ainsi que des atteintes aux intérêts fondamentaux de la Nation " s’agissant des secteurs aérien, maritime et ferroviaire (pour ce qui concerne les traitements mentionnés aux articles L.232-1 à L.232-6, sur le fondement desquels a été créé le fichier SETRADER) ;
"pour les besoins de la prévention et de la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs " s’agissant des secteurs aérien (articles L.232-7, sur ce fondement duquel a été créé le fichier "API-PNR France") et maritime (article L.232-7-1) A titre liminaire, la Commission rappelle que les articles L. 232-1 à L. 232-7 du CSI transposent la directive n°2004/82/CE du Conseil du 29 avril 2004 concernant l’obligation pour les transporteurs de communiquer des données relatives aux passagers (ci-après " la directive API ") ainsi que la directive (UE) 2016/681 du Parlement européen et du Conseil du 27 avril 2016 relative à l'utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière (ci-après " la directive PNR "). La directive API, qui ne prévoit que le traitement de données relatives aux passagers, précise dans l’un de ses considérants que ses dispositions ne portent pas atteinte à la liberté des Etats membres d’imposer des obligations supplémentaires aux transporteurs. La directive PNR, qui prévoit également le traitement des seules données relatives aux passagers, ne comporte, en revanche, pas de dispositions excluant expressément le traitement de données relatives à d’autres catégories de personnes, telles que celles portant sur les membres d’équipage.
La modification envisagée par l’article 31 du projet de loi entend élargir les traitements en cause aux données relatives aux " membres d’équipage ", " personnels de bord ", et " gens de mer ". Il en irait de même pour le traitement prévu à l’article L. 232-7-1 du CSI (secteur maritime).
Tout en reconnaissant que le périmètre des traitements autorisés par les articles L. 232-1 à L. 232-7 du CSI est plus large que ceux imposés par les directives précitées, la Commission relève que les modifications projetées entraîneraient un changement de nature des traitements déjà autorisés sur le fondement des dispositions légales en vigueur. Les traitements mis en œuvre en application du CSI ont en effet pour objet l’utilisation de données API (" Advance Passenger Information ", qui correspond aux données d’enregistrement et d’embarquement) et de données PNR (" Passenger Name Record ", qui recouvre les données fournies par les voyageurs au stade de la réservation commerciale) des passagers recueillies par les transporteurs à l’occasion de déplacements internationaux. L’ajout du traitement des données relatives aux " membres d’équipage ", " personnels de bord ", et " gens de mer " présente des caractéristiques différentes des passagers : si les personnes concernées sont beaucoup moins nombreuses, et si leurs déplacements s’inscrivent dans le cadre de leur activité professionnelle, les déplacements en question sont particulièrement fréquents (parfois quotidiens) et les données collectées sur ces personnes seront donc structurellement plus nombreuses et précises que pour un passager.
Dans cette perspective, la Commission souligne que les modifications projetées des traitements précités, dont elle a déjà relevé l’ampleur et l’atteinte qu’ils pouvaient porter au droit au respect de la vie privée et à la protection des données personnelles (v. p.ex. la délibération n° 2014-308 du 17 juillet 2014 portant avis sur un projet de décret relatif à la création d’un traitement de données à caractère personnel dénommé " système API-PNR France "), sont susceptibles d’augmenter le volume des données traitées et du nombre de personnes concernées et par conséquent d’engendrer des risques supplémentaires pour la protection des droits et libertés.
Une telle extension du périmètre des traitements ne saurait, par conséquent, être admise que si elle apparaît strictement nécessaire aux objectifs visés par les articles L. 232-1 et suivants du CSI et qu’elle présente des garanties suffisantes au regard du respect des principes fondamentaux du droit à la protection des données à caractère personnel.
Sur la modification des articles L. 232-1 et L. 232-4 du CSI (dispositions sur lesquelles se fondent le traitement SETRADER) Le projet de loi modifie les articles L. 232-1 et L. 232-4 du CSI relatifs à la transmission et au traitement de données relatives aux passagers dans les secteurs aérien, ferroviaire, et maritime. Ces traitements peuvent être mis en œuvre en vue d’améliorer le contrôle aux frontières et de lutter contre l’immigration clandestine, ainsi qu’à des fins de prévention et de répression des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation.
S’agissant, en premier lieu , de la nécessité de traiter les données relatives aux " membres d’équipage ", " personnels de bord ", et " gens de mer " aux fins de prévention et de répression des actes de terrorisme et des atteintes aux intérêts fondamentaux de la Nation, la Commission relève que la modification projetée répond, selon le ministère, à un besoin opérationnel des forces de sécurité intérieure au regard de cas avérés de personnels d’équipage présentant un risque pour la sécurité publique suite à une radicalisation, et qui serait le même pour tous les modes de transport. Au vu des éléments produits, elle ne remet pas en cause cette appréciation.
En deuxième lieu , s’agissant du traitement de données relatives aux membres d’équipage, personnels de bord et gens de mer en vue d’améliorer le contrôle aux frontières et de lutter contre l’immigration clandestine, le ministère fait valoir que les déclarations contenant les données relatives à l’équipage, transmises en amont des déplacements, devraient permettre, par mise en relation avec d’autres bases de données ayant des finalités analogues, d’identifier des cas suspects. Il souligne que ces personnes font l’objet de contrôles allégés, notamment en application du règlement (UE) 2016/399 du 9 mars 2016 concernant un code de l’Union relatif au régime de franchissement des frontières par les personnes (code frontières Schengen). La Commission ne remet pas en cause l’intérêt opérationnel que revêt le dispositif projeté mais souligne que des normes tant européennes qu’internationales permettent le traitement, dans certains cas, de données relatives aux membres d’équipage et de gens de mer. Elle invite le ministère à s’assurer qu’il n’y a pas de redondance dans les dispositifs mis en place et à s’assurer que le principe de minimisation des données est bien respecté. Eu égard au temps qui lui a été imparti pour rendre son avis, elle n’a pu procéder à cet examen.
En troisième lieu, s’agissant de l’ensemble des finalités poursuivies, la Commission souligne que le dispositif envisagé conduira à ce que l’intégralité des données relatives aux déplacements des personnes concernées fasse l’objet d’un traitement, que ces déplacements s’inscrivent ou non dans le cadre de leur activité professionnelle. Elle invite donc le ministère à s’assurer régulièrement de la proportionnalité d’un tel dispositif, qui dépend de la démonstration qu’il y a bien un besoin opérationnel avéré au regard des cas d’attentats advenus ou déjoués d’une part, et de l’amélioration des contrôles aux frontières et de la lutte contre l’immigration irrégulière d’autre part.
En quatrième lieu , la Commission estime que les données relatives aux membres d’équipage, personnels de bord et gens de mer ne devraient pas être traitées selon les mêmes modalités que les données relatives aux passagers, s’agissant notamment des durées de conservation et des catégories de données traitées.
Sur la modification des articles L. 232-7 et L. 237-7-1 du CSI Les articles L. 232-7 et L. 232-7-1 du CSI autorisent le ministre de l'intérieur, le ministre de la défense, le ministre chargé des transports et le ministre chargé des douanes à mettre en œuvre des traitements automatisés de données à caractère personnel relatives aux passagers de transporteurs aériens (L. 232-7) ou maritimes (L. 232-7-1) " pour les besoins de la prévention et de la constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs ". Le projet de loi modifie ces dispositions en vue de permettre la transmission et le traitement des données d’enregistrement relatives aux membres d’équipage et gens de mer. Le champ infractionnel couvert par ces articles est en revanche inchangé.
De manière générale, la Commission considère que le traitement ne peut apparaître nécessaire et proportionné que si un besoin opérationnel justifie une telle évolution et uniquement dans l’hypothèse où des contrôles de sécurité effectués dans le cadre de l’exercice de l’activité professionnelle des membres d’équipage et gens de mer, ne sont pas suffisants pour répondre aux finalités précitées.
En l’espèce, les traitements prévus par ces dispositions visent à permettre, à des fins de prévention et de constatation de certaines infractions, du rassemblement des preuves de ces infractions ainsi que de la recherche de leurs auteurs, le traitement de données relatives aux membres d’équipage ou gens de mer. Si ces personnels sont déjà susceptibles de faire l’objet de contrôles de sécurité dans le cadre de leur activité professionnelle, au regard par exemple des enquêtes administratives prévues par les articles L. 114-2 du CSI et L. 6342-3 du code des transports, le ministère souligne qu’il n'existe pas d’assurance comparable pour les personnels employés par des transporteurs étrangers, qui ne seraient pas directement soumis à ces dispositions. La Commission prend également acte des précisions apportées sur les dispositions au titre desquelles les membres d’équipage font d'ores et déjà l’objet d’une collecte de données à caractère personnel pour les mesures de sûreté et la délivrance d’habilitation et des titres de circulation sur certaines zones aéroportuaires.
Au regard de ces éléments, sans remettre en cause l’utilité opérationnelle du dispositif, elle invite le ministère à évaluer régulièrement les bénéfices supplémentaires pouvant être apportés par l’extension projetée, en vue de répondre aux finalités précitées.
Au-delà des modifications prévues par le projet de loi, la Commission rappelle enfin qu’elle devra le cas échéant être saisie du projet de décret en Conseil d’Etat pris en application de l’article L.232-7-1 du CSI.
Sur les modalités concrètes de mise en œuvre des traitements
La Commission observe que les modifications projetées conduiront, pour les catégories de personnes visées par le projet de loi, au traitement de leurs données, d’une part en leur qualité de membres d’équipage, personnels de bord ou gens de mer lors de déplacements professionnels, et, d’autre part, en tant que passagers à l’occasion de déplacements internationaux effectués en dehors de l’exercice de leurs fonctions. La Commission s’interroge ainsi sur les mesures à prendre pour qu’une demande de rectification ou d’effacement puisse être prise en compte s’agissant des données recueillies à ces deux titres différents. Elle invite le ministère à prendre les mesures nécessaires pour assurer le plein respect des droits des personnes.
Au regard des observations qui précèdent, la Commission estime que si le ministère entendait entériner les évolutions projetées, des dispositions règlementaires spécifiques devraient être créées pour prendre en compte la particularité des déplacements des catégories de personnes concernées et prévoir des garanties appropriées en vue d’assurer un équilibre entre les objectifs visés et la protection de la vie privée des personnes concernées, par exemple en différenciant les durées ou les modalités de conservation des données. Si de telles modalités particulières de traitement devront être définies par voie règlementaire, la Commission considère que le projet de loi devrait en prévoir le principe.
La Présidente Marie-Laure DENIS