Inscription
7 jours d’essai gratuit.
Inscription en moins d’une minute. Pas de carte de crédit requise.
CNIL, Délibération du 11 avril 2019, n° 2019-049
CNIL 11 avril 2019

Arguments

Le contenu a été généré à l’aide de l’intelligence artificielle. Pensez à vérifier son exactitude.

Signaler une erreur.
  • Accepté
    Conformité avec la législation sur la protection des données

    La Commission a constaté que le projet d'arrêté doit être conforme aux dispositions légales en matière de protection des données, notamment en ce qui concerne la collecte, la conservation et l'accès aux données.

  • Autre
    Nécessité de la collecte de nouvelles catégories de données

    La Commission a souligné que la collecte de données supplémentaires doit être justifiée par des finalités précises et proportionnées aux objectifs de sécurité publique.

  • Accepté
    Protection des droits des personnes concernées

    La Commission a insisté sur l'importance d'informer clairement les personnes concernées de leurs droits et des modalités d'exercice de ceux-ci.

Résumé de la juridiction

Délibération n° 2019-049 du 11 avril 2019 portant avis sur un projet d’arrêté modifiant l’arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés « fichiers des résidents des zones de sécurité » créés à l’occasion d’un évènement majeur.

(demande d’avis n° 19004176) (Avis RU-015)

Commentaire0

Augmentez la visibilité de votre blog juridique : vos commentaires d’arrêts peuvent très simplement apparaitre sur toutes les décisions concernées. 

Sur la décision

Référence :
CNIL, délib. n° 2019-049, 11 avr. 2019
Numéro : 2019-049
Nature de la délibération : Avis
État : VIGUEUR
Identifiant Légifrance : CNILTEXT000038467993

Texte intégral

La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet d’arrêté modifiant l’arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommé fichiers des résidents des zones de sécurité créés à l’occasion d’un évènement majeur ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2019-219 du 21 mars 2019 portant application de l’article L. 211-11-1 du code de la sécurité intérieure au sommet du G7 de Biarritz ;

Vu l’arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés fichier des résidents des zones de sécurité créés à l’occasion d’un événement majeur ;

Vu la délibération n° 2011-106 du 28 avril 2011 portant avis sur un projet d’arrêté du ministère de l’intérieur, de l’outre-mer, des collectivités locales et de l’immigration autorisant la mise en œuvre de traitements de données à caractère personnel dénommées fichiers des résidents des zones de sécurité instaurés à l’occasion d’événements majeurs ;

Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,

Émet l’avis suivant :

1.La Commission a été saisie pour avis par le ministre de l’intérieur d’un projet d’arrêté modifiant l’arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés fichiers des résidents des zones de sécurités créés à l’occasion d’un évènement majeur. Elle souligne que la présente saisine s’inscrit dans la perspective plus particulière de la tenue du G7 à Biarritz en août 2019, constitutif d’un grand évènement aux termes du décret n° 2019-219 du 21 mars 2019 susvisé.

2.Les traitements pouvant être mis en œuvre conformément à l’arrêté du 2 mai précité ont pour finalité la gestion des titres permettant l’accès des personnes ou des véhicules aux zones à l’intérieur desquelles sont apportées des restrictions à la libre circulation et à l’exercice de certaines activités, afin de prévenir les troubles à l’ordre public et garantir la sécurité d’un événement majeur .

3.Les zones de sécurité définies à l’occasion d’événements majeurs délimitent un périmètre dont l’accès est contrôlé par les forces de police et de gendarmerie nationales, afin d’interdire notamment aux éventuels manifestants violents de se rapprocher du lieu du sommet et de perturber le déroulement de l’événement. Ces zones sont définies par arrêté préfectoral et seules y ont accès les personnes physiques : y ayant leur domicile, y exerçant une activité professionnelle, ou ayant un motif légitime pour s’y rendre (p. ex. un médecin, des soins à domicile). Les fichiers des résidents des zones de sécurité doivent ainsi permettre la fabrication, par un prestataire conventionné, de titres d’accès (cartes individuelles personnelles pour les personnes physiques ou macarons pour les véhicules). Pendant le déroulement de l’événement en question, ces fichiers sont utilisés aux fins de contrôler les accès des personnes physiques aux zones sécurisées.

4.La Commission relève que le ministère entend modifier l’arrêté du 2 mai 2011 précité afin de prévoir la collecte de nouvelles catégories de données. Elle rappelle à cet égard qu’elle s’est prononcée sur la mise en œuvre de ce dispositif dans sa délibération du 28 avril 2011 susvisée et relève que les caractéristiques générales du dispositif sont pour la plupart inchangées.

5.Outre la modification précitée, la Commission relève que le ministère entend également prévoir de nouvelles modalités de remise des badges aux résidents des zones visées. Les titres pourront ainsi être adressés par voie postale à une adresse différente de celle du lieu de résidence de la personne dans la zone visée par l’événement. Elle prend acte que les plis seront remis sur présentation d’une pièce d’identité par la personne concernée et que, de ce fait, une autre adresse postale que celle se trouvant dans la zone concernée par l’évènement majeur, pourra faire l’objet d’une collecte dans le traitement.

6.Dans la mesure où le traitement a pour finalité la protection de la sécurité publique ainsi que la prévention des troubles à l’ordre public, celui-ci doit dès lors faire l’objet d’un arrêté, pris après avis motivé et publié de la Commission. L’arrêté examiné constitue un acte réglementaire unique, en référence duquel des engagements de conformité seront adressés à la Commission préalablement à chaque mise en œuvre d’un fichier de résidents d’une zone de sécurité, conformément aux dispositions de l’article 26-IV de la loi du 6 janvier 1978 modifiée. Enfin, compte-tenu de l’évolution du cadre juridique relatif à la protection des données à caractère personnel résultant notamment de la prise en compte des dispositions de la directive (UE) 2016/680 du 27 avril 2016 susvisée, la Commission considère que le projet d’arrêté qui lui est soumis doit faire l’objet d’un examen au regard de ces dispositions, et plus particulièrement des articles 70-1 et suivants de la loi du 6 janvier 1978 modifiée.

7.Le projet appelle de la part de la Commission les observations suivantes.

Sur les données collectées

8.A titre liminaire, la Commission rappelle que le ministère a précisé que toutes les données seront collectées directement auprès des personnes concernées sur la base du volontariat, à l’exception des personnes se déclarant mineures ou incapables majeures, qui ne disposent pas de la capacité juridique pour renseigner eux-mêmes le formulaire. Aucun autre fichier ne sera consulté pour l’alimentation du traitement, les fichiers des résidents des zones de sécurité ne permettant aucun rapprochement avec d’autres traitements automatisés de données à caractère personnel.

9.Ces éléments rappelés, la Commission relève que l’article 2 de l’arrêté du 2 mai 2011 susvisé prévoit la collecte des données à caractère personnel suivantes : le nom, le prénom, la date et le lieu de naissance ; l’adresse postale et électronique, les coordonnées téléphoniques ; le numéro de la carte nationale d’identité, du permis de conduire, du passeport ou du titre de séjour (au choix du déclarant) ; la date et l’heure d’entrée et de sortie de la zone sécurisée, ainsi que le motif de l’accès à la zone sécurisée. Elle rappelle par ailleurs que les informations qui seront mentionnées et visibles sur les titres d’accès sont : le nom, le prénom, le numéro de la pièce d’identité, le numéro d’ordre du titre d’accès, le numéro de la zone et le sigle (par exemple : G7 ).

10.En premier lieu, la Commission relève que l’article 1er du projet d’arrêté prévoit que le justificatif de résidence dans la zone pourra être collecté. A cet égard, elle prend acte que ces documents sont conservés au format papier dans une armoire sécurisée et détruits à l’issue de l’évènement.

11.Si la Commission ne remet pas en cause la nécessité de vérifier que le domicile de la personne se situe dans le périmètre concerné par le dispositif, elle estime cependant que la collecte et la conservation d’un tel justificatif doivent être encadrées de garanties strictes. A cet égard, elle prend acte que les modalités de suppression de ces documents sont identiques à celles prévues pour les données conservées au format numérique. La Commission estime en conséquence qu’il revient au responsable de traitement de dresser un procès-verbal de destruction à l’issue de la durée de conservation prévue par l’arrêté de 2011, adressé à la Commission.

12.En deuxième lieu, le projet d’arrêté prévoit que le numéro du titre d’accès fait l’objet d’une collecte dans le traitement. La Commission relève que ce numéro, qui a vocation à figurer sur le badge délivré aux personnes concernées est identique à celui qui est mentionné sur la fiche navette. Elle prend acte que son traitement a pour unique finalité d’éviter les doublons d’adresses et ainsi limiter les risques d’usurpation d’identité.

13.En troisième lieu, la Commission rappelle l’attention particulière qui doit être portée au traitement de données relatives à des personnes mineures, au regard de la philosophie générale de la réglementation européenne et notamment du considérant 50 de la directive 2016/680 susvisée qui précise que les mesures prises par le responsable de traitement devraient comprendre l’établissement et la mise en œuvre de garanties spécifiques destinées au traitement de données à caractère personnel relatives aux personnes physiques vulnérables telles que les enfants .

14.Elle observe que lors de sa saisine en 2011, le ministère avait précisé entendre collecter les données personnelles de l’ensemble des mineurs résidents des zones de sécurité, sans distinction d’âge, dans la mesure où cette attribution individuelle était rendue nécessaire afin de permettre aux mineurs, même relativement jeunes, se déplaçant sans leurs parents, d’accéder aux zones où ils résident. La Commission rappelle à cet égard qu’elle avait estimé, dans sa délibération n° 2011-106 précitée, que la délivrance d’un badge d’accès à l’ensemble des mineurs, sans aucune distinction d’âge, et à tout le moins à de très jeunes enfants, ne paraissait pas nécessaire à l’accomplissement des finalités poursuivies par les fichiers de résidents dès lors qu’un adulte porteur d’un badge accompagne le mineur.

15.Ces éléments rappelés, la Commission prend acte des précisions apportées par le ministère selon lesquelles les données des personnes mineures âgées de moins de 13 ans ne seront pas collectées. Elle relève que ces dernières devront toutefois être accompagnées d’une personne munie d’un badge d’accès, lors des contrôles.

Sur les destinataires

16.La Commission observe que l’arrêté du 2 mai 2011 susvisé prévoit que seuls ont accès à tout ou partie des données, à raison de leurs attributions et dans la limite du besoin d’en connaître :

  • les agents individuellement désignés et spécialement habilités chargés de l’enregistrement des données collectées et de l’établissement des titres d’accès ;

  • les agents de la police nationale et les militaires de la gendarmerie nationale affectés au contrôle des accès aux zones de sécurité.

17.En outre, peuvent être rendues destinataires de tout ou partie des données, les personnes chargées de la fabrication des titres d’accès . La Commission rappelle que seules les données strictement nécessaires à l’établissement des titres doivent leur être communiquées. A cet égard, elle prend acte que seules les données présentes sur le titre d’accès seront transmises à ces personnes.

18.La Commission relève par ailleurs que dans le cadre de l’envoi sécurisé par voie postale des badges et macarons, le titre est expédié sous pli sécurisé et remis sur présentation par la personne concernée au préposé de la Poste, d’une pièce d’identité. Dans ce contexte, elle observe que si la Poste est chargée d’adresser ces plis aux personnes concernées, elle ne pourra toutefois pas être rendue destinataire des informations enregistrées dans le traitement.

19.Enfin, elle prend acte que les services chargés de la prévention des menaces pour la sécurité publique pourront être destinataires d’informations enregistrées dans le traitement dans l’unique hypothèse de l’ouverture d’une procédure judiciaire, et au titre de leur qualité de tiers autorisé dans ce cadre, ce qui n’appelle pas d’observation.

Sur la durée de conservation des données

20.L’article 3 de l’arrêté du 2 mai 2011 prévoit que les données sont conservées pendant un délai de trois mois à compter de la fin de l’évènement, et précise que leur consultation au-delà de trois jours n’est possible que dans le cadre d’une procédure judiciaire. La Commission rappelle qu’elle s’est montrée particulièrement attentive à ce que les fichiers de résidents dont elle a eu précédemment à connaître, qui constituent des fichiers de population , soient détruits à bref délai. A cet égard, elle prend acte de l’obligation à la charge du responsable de traitement de dresser un procès-verbal de destruction pour chaque fichier de résidents dont la durée de conservation est expirée, devant être adressé à la Commission.

21.Sans remettre en cause les justifications opérationnelles conduisant à retenir une telle durée de conservation, qu’elle considère comme proportionnée au regard des finalités du traitement, elle estime toutefois que l’établissement d’un procès-verbal de destruction, transmis à la Commission à l’issue de cette durée est une garantie importante, qui pourrait utilement être mentionnée dans le projet d’arrêté.

Sur les droits de personnes concernées

22.L’article 3 du projet d’arrêté prévoit que les droits d’information, d’accès, de rectification et d’effacement prévus aux articles 70-18 à 70-20 de la loi du 6 janvier 1978 s’exercent directement auprès du service gestionnaire du fichier .

23.En ce qui concerne l’information des personnes concernées, la Commission souligne qu’elle n’a pas été en mesure d’apprécier le contenu et la pertinence des informations fournies dans les fiches navette adressées aux personnes concernées, ce document ne lui ayant pas été communiqué. En tout état de cause, elle relève que les personnes concernées par le dispositif seront informées au moyen d’un affichage dans les locaux destinés au retrait des titres d’accès. Elle souligne cependant l’absence de délivrance de cette information dans l’hypothèse d’un choix d’envoi postal du titre et rappelle que l’information des personnes concernées doit être délivrée de manière claire et complète.

24.Ces observations formulées, la Commission estime que les autres modalités d’exercice des droits des personnes concernées n’appellent pas de remarques particulières.

Sur les mesures de sécurité

25.La Commission estime que les mesures de sécurité, qui demeurent inchangées, sont conformes à l’exigence de sécurité prévue par l’article 70-13 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, elle rappelle qu’il conviendra d’apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour de l’analyse d’impact.

La Présidente

M-L. DENIS

Décisions similaires

Citées dans les mêmes commentaires3

  • Candidat ·
  • Données de santé ·
  • Hébergeur ·
  • Accès ·
  • Commission ·
  • Agrément ·
  • Informatique ·
  • Personnel ·
  • Sécurité ·
  • Client
  • Directive (ue) ·
  • Information ·
  • Commission ·
  • Traitement de données ·
  • Service de renseignements ·
  • Blanchiment ·
  • Parlement européen ·
  • Parlement ·
  • Terrorisme ·
  • Soupçon
  • Retraite ·
  • Traitement de données ·
  • Commission ·
  • Fichier ·
  • Décret ·
  • Sécurité ·
  • Personne concernée ·
  • Dispositif ·
  • Durée de conservation ·
  • Caractère

Citant les mêmes articles de loi3

  • Traitement ·
  • Système de contrôle ·
  • Mise en relation ·
  • Commission ·
  • Personne concernée ·
  • Véhicule ·
  • Fichier ·
  • Infraction ·
  • Immatriculation ·
  • Mise à jour
  • Traitement ·
  • Données ·
  • Commission ·
  • Sécurité publique ·
  • Collecte ·
  • Décret ·
  • Enquête ·
  • Fichier ·
  • Sûretés ·
  • Information
  • Formation restreinte ·
  • Cnil ·
  • Sociétés ·
  • Données ·
  • Traitement ·
  • Mot de passe ·
  • Manquement ·
  • Caractère ·
  • Site web ·
  • Web
11 commentaires

De référence sur les mêmes thèmes3

  • Traitement ·
  • Arme ·
  • Commission ·
  • Décret ·
  • Finalité ·
  • Information ·
  • Personne concernée ·
  • Données d'identification ·
  • Enquête ·
  • Ministère
  • Juriste ·
  • Sanction ·
  • Service ·
  • Conformité ·
  • Innovation ·
  • Technologie ·
  • Plainte ·
  • Contrôle ·
  • Protection des données ·
  • Système d'information
  • Données de santé ·
  • Accès aux données ·
  • Plateforme ·
  • Finalité ·
  • Commission ·
  • Anonymisation ·
  • Traitement de données ·
  • Responsable du traitement ·
  • Informatique et libertés ·
  • Informatique

Sur les mêmes thèmes3

  • Juriste ·
  • Sanction ·
  • Service ·
  • Conformité ·
  • Innovation ·
  • Plainte ·
  • Technologie ·
  • Contrôle ·
  • Protection des données ·
  • Système d'information
  • Formation restreinte ·
  • Responsable du traitement ·
  • Sociétés ·
  • Personne concernée ·
  • Protection des données ·
  • Données personnelles ·
  • Information ·
  • Manquement ·
  • Responsable ·
  • Caractère
14 commentaires
  • Fraudes ·
  • Commission ·
  • Expérimentation ·
  • Contribuable ·
  • Traitement de données ·
  • Particulier ·
  • Finances publiques ·
  • Création ·
  • Personnes ·
  • Personnes physiques
1 commentaire

Textes cités dans la décision

  1. Directive Police-Justice - Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données
  2. Décret n°2005-1309 du 20 octobre 2005
  3. Loi n° 78-17 du 6 janvier 1978
  4. Décret n°2019-219 du 21 mars 2019
Extraits similaires à la sélection

Aucune décision de référence ou d'espèce avec un extrait similaire.

Inscrivez-vous gratuitement pour imprimer votre décision
CNIL, Délibération du 11 avril 2019, n° 2019-049
  1. Doctrine
  2. Décisions de justice
  3. 2019
  4. CNIL, délib. n° 2019-049, 11 avr. 2019
Contactez notre service commercial au 01 84 80 33 48