CNIL, Délibération du 1er octobre 2020, n° 2020-094

La Commission nationale de l’informatique et des libertés,

Saisie par le ministre de l’intérieur d’une demande d’avis concernant un projet de décret portant modification du décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l’intérieur (direction générale de la gendarmerie nationale) d’un traitement automatisé de données à caractère personnel d’aide à la rédaction des procédures (LRPGN) ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l’égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Vu le décret n° 2011-110 du 27 janvier 2011 portant création d’un traitement automatisé de données à caractère personnel dénommé LRPPN 2 ;

Vu le décret n° 2019-536 du 29 mai 2019 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2010-119 du 6 mai 2010 portant avis sur un projet de décret en Conseil d’Etat portant création d’un traitement de données à caractère personnel relatif à l’aide à la rédaction des procédures et des écrits dénommé ICARE ;

Vu la délibération n° 2012-365 du 11 octobre 2012 portant avis sur un projet de décret modifiant le décret n° 2011-110 du 27 janvier 2011 portant création d’un traitement automatisé de données à caractère personnel dénommé LRPPN 2 ;

Après avoir entendu M^me Sophie LAMBREMON, commissaire en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,

Emet l’avis suivant :

Le logiciel de rédaction des procédures de la gendarmerie nationale (LRPGN) permet de faciliter et d’homogénéiser la rédaction des procédures judiciaires et administratives ainsi que de transmettre les informations qui en sont issues aux autorités compétentes. Ce logiciel, sur lequel la Commission s’est prononcée dans sa délibération n° 2010-119 du 6 mai 2010, constitue également un vecteur d’alimentation d’autres fichiers, en ce qu’il permet la remontée d’informations vers des traitements à finalité judiciaire, administrative ou statistique. A cet égard, le ministère a précisé que ces mises en relation poursuivent un double objectif : celui d’alimenter d’autres traitements au regard de leurs finalités (comme par exemple le traitement d’antécédents judiciaires), d’une part, et celui d’enregistrer au sein du LRPGN des données issues d’autres fichiers, considérées comme utiles à la conduite des procédures (par exemple, informations relatives aux infractions relatives au code de la route enregistrées au sein du système national des permis de conduire) d’autre part.

D’emblée, la Commission souligne que le LRPGN, en ce qu’il permet la rédaction de procédures de natures variées, ainsi que l’alimentation d’autres fichiers, poursuit nécessairement des objectifs opérationnels très étendus et emporte par conséquent des difficultés tenant au périmètre précis de ses finalités.

Les évolutions envisagées du traitement s’inscrivent dans un cadre général de dématérialisation de l’intégralité de la procédure pénale impliquant à cet égard une restructuration des systèmes d’information de la gendarmerie nationale. A ce titre, le LRPGN a vocation à être remplacé par un nouveau traitement dénommé LRPGN-NG au premier trimestre 2022, dont la Commission devra être saisie, dans les conditions de l’article 31 de la loi du 6 janvier 1978 modifiée.

Les évolutions actuellement envisagées par le ministère doivent permettre l’expérimentation de la procédure pénale numérique grâce à la mise en relation du traitement LRPGN et de l’application de numérisation des procédures pénales. Il a par ailleurs précisé qu’une phase d’expérimentation devait être menée dans deux départements, ayant pour objectif notamment de tester les modalités de transmission des procédures nativement numériques des forces de sécurité à une juridiction, ainsi que la signature électronique des actes établis par les enquêteurs dans le cadre d’une procédure.

Outre cette expérimentation, les évolutions envisagées portent notamment sur le périmètre du traitement ainsi que le régime juridique qui lui est applicable, les catégories de données collectées (et notamment les informations issues d’autres fichiers), les durées de conservation, ainsi que les droits des personnes concernées, conséquence de l’évolution du régime juridique.

Enfin, la Commission relève que selon le ministère, le traitement LRPGN est mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces au sens de la directive 2016/680 susvisée, et intéresse également en partie la sûreté de l’Etat. Il résulte de l’évolution du cadre juridique relatif à la protection des données à caractère personnel que les dispositions applicables au traitement des données figurant au sein de ce dispositif et intéressant la sûreté de l’Etat sont exclues du champ d’application de la directive 2016/680 et relèvent spécifiquement des articles 1 à 41 et 115 à 124 de la loi du 6 janvier 1978 modifiée. Enfin, dans la mesure où des données mentionnées au I de l’article 6 de cette même loi sont susceptibles d’être enregistrées, la modification du traitement LRPGN doit faire l’objet d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission.

Le projet de décret soumis pour avis à la Commission appelle les observations suivantes.

Sur la modification des finalités du traitement

L’article 1^er du projet de décret vise à modifier les dispositions encadrant le LRPGN, afin de détailler ses finalités, d’une part, et envisager la poursuite de nouvelles finalités d’autre part. A cet égard il prévoit que le traitement a pour finalités :

• de permettre aux unités de gendarmerie d’assurer la clarté et l’homogénéité de la rédaction des procédures judiciaires et administratives dans l’exercice de leurs missions de police ;
• d’en réaliser l’archivage ;
• de permettre la collecte des informations issues de ces procédures, en vue de leur diffusion et de leur exploitation ;
• de permettre la mise en relation avec des traitements de données relatives aux procédures judiciaires et administratives.

A titre liminaire, la Commission relève que le projet de décret précise que le traitement doit dorénavant permettre de réaliser l’archivage des procédures visées par le fichier LRPGN. Si de manière générale cette finalité n’appelle pas d’observation particulière, elle estime néanmoins qu’elle mériterait d’être explicitée et ce, dans la mesure où elle vise davantage une opération de traitement que la finalité pour laquelle elle est réalisée. Elle invite dès lors le ministère à préciser le projet de décret sur ce point, en mentionnant explicitement l’objectif poursuivi par cette opération (par exemple, la réouverture ultérieure d’une procédure judiciaire).

L’article 1^er du projet de décret prévoit que le LRPGN permet la collecte des informations issues de ces procédures, en vue de leur diffusion et de leur exploitation ainsi que la mise en relation avec des traitements de données relatives aux procédures judiciaires et administratives .

La Commission souligne que dans leur rédaction actuelle, les dispositions relatives au LRPGN visent uniquement la transmission d’informations qui en sont issues vers le traitement mentionné à l’article 4 , soit le système judiciaire d’exploitation (JUDEX). A cet égard, l’article 4 du décret n° 2011-111 du 27 janvier 2011 est remplacé par les dispositions suivantes : conformément à la finalité prévue au 4° de l’article 1^er, le traitement mentionné au même article peut être mis en relation avec d’autres traitements de données à caractère personnel intéressant les procédures judiciaires et administratives mises en œuvre par les unités de gendarmerie ou par les services de police .

Le projet d’annexe prévoit également qu’au titre des éléments enregistrés dans le cadre d’une procédure judiciaire ou administrative, peuvent être collectées les données et informations nécessaires à la conduite des investigations, issues de la consultation des traitements de données intéressant les procédures judiciaires et administratives mises en œuvre par les unités de gendarmerie ou par les services de police .

La Commission relève que le projet de décret vise ainsi à encadrer la collecte de données issues d’autres fichiers au sein du LRPGN ainsi que la possibilité de transmettre les informations y figurant aux fins d’enregistrement dans d’autres traitements. Elle prend acte des précisions apportées par le ministère selon lesquelles la diffusion des informations correspond à la transmission à l’autorité judiciaire ou administrative et que l’exploitation de ces données vise l’utilisation des informations fournies aux fins de résolution de l’enquête.

A titre liminaire et de manière générale, la Commission souligne qu’il importe de s’assurer que seuls les traitements comportant des données pertinentes, adéquates et nécessaires au regard des finalités du traitement LRPGN puissent être consultés, dans le strict respect des dispositions encadrant l’ensemble de ces fichiers. De la même manière, elle estime qu’une attention particulière devra impérativement être portée aux modalités de collecte des données, qui sont susceptibles d’entraîner des risques particuliers pour les personnes concernées, tenant par exemple à une collecte erronée de données et ce, en raison par exemple d’un enregistrement manuel dans un traitement consulté. En outre, elle considère que, compte tenu du caractère particulièrement sensible de certains de ces traitements, des mesures ad hoc devront impérativement être développées afin d’assurer la mise à jour effective des données ainsi consultées et importées dans le LRPGN.

La Commission souligne que le ministère a indiqué ne pas être en mesure de dresser la liste exhaustive des traitements susceptibles d’être interrogés et ayant vocation à alimenter le LRPGN ou être alimenté par lui, compte tenu de leur nombre important et des spécificités de chaque enquête, rendant par nature, impossible d’en dresser une liste pertinente. A cet égard, elle considère que cette impossibilité a pour conséquence de priver la Commission de l’ensemble des informations relatives aux modalités de mise en œuvre des interconnexions, mises en relation, et rapprochements susceptibles d’être mis en œuvre.

Si elle souligne que la mention des interconnexions, rapprochements et mises en relation n’est pas exigée par les dispositions de l’article 35 de la loi du 6 janvier 1978 modifiée, elle estime que, dans la mesure où le ministère a lui-même choisi de faire de l’alimentation de ces différents fichiers une finalité intrinsèque du LRPGN expressément mentionnée à l’article 1^er du projet de décret, et non une simple fonctionnalité technique au service d’autres finalités, les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec ce fichier auraient dû être précisés dans le projet de décret. Elle rappelle à cet égard que l’article 4-2° de la loi du 6 janvier 1978 modifiée impose que les finalités du traitement soient déterminées et explicites.

Elle estime en outre que tant l’article 4 du projet de décret, qui prévoit la mise en relation avec d’autres traitements de données à caractère personnel intéressant les procédures judiciaires et administratives, que son annexe permettant, au titre des données collectées, l’enregistrement d’informations issues d’autres fichiers, ne permettent pas d’appréhender, la nature ou le périmètre des fichiers susceptibles d’être visés.

Elle considère qu’une telle évolution conduit à un changement d’échelle significatif du LRPGN, dans la mesure où, en l’état actuel du projet de décret, le traitement est susceptible d’être alimenté par n’importe quel fichier. Dans ces conditions, la Commission estime qu’à défaut pour le ministère d’être en mesure de détailler les traitements susceptibles d’être interrogés, au titre des finalités du traitement, ou de l’article 4 du projet de décret, elle ne peut être que très réservée quant aux modifications projetées.

Elle estime en outre que cette exigence de précision quant au périmètre du traitement est d’autant plus nécessaire que l’article 1^er du décret n° 2011-111 précise que l’enregistrement de données sensibles au sens de l’article 6 de la loi du 6 janvier 1978 modifiée est permis dans la stricte mesure où ces données sont nécessaires à la poursuite des finalités définies au présent article .

Sur le régime juridique applicable au traitement

Le ministère considère, compte tenu des finalités poursuivies par le traitement, que celui-ci relève des dispositions du titre III ainsi que du titre IV de la loi du 6 janvier 1978 modifiée. A cet égard, il a indiqué que le traitement LRPGN étant l’unique outil de rédaction de l’ensemble des procédures réalisées par la gendarmerie nationale, il est susceptible de permettre la rédaction de procédures judiciaires et administratives concernant le terrorisme, et plus largement à toutes les atteintes aux intérêts fondamentaux de la Nation telles que définies par le titre 1^er du livre IV du code pénal.

A titre liminaire, la Commission rappelle que la détermination du régime juridique applicable doit être effectuée au regard de la finalité du traitement et des conditions de mise en œuvre de celui-ci et non au regard de la nature des données. Si elle souligne que le traitement LRPGN a en effet vocation à porter sur des procédures de natures très diverses, dont certaines considérées comme particulièrement sensibles, elle estime néanmoins que le traitement permet, en tout état de cause, la poursuite d’infractions pénales, par l’intermédiaire des procédures diligentées et à tout le moins pour celles qui revêtent un caractère judiciaire. Elle relève que les finalités poursuivies par le traitement LRPGN permettent principalement la rédaction des procédures judiciaires et administratives, et que dès lors, l’objectif poursuivi par le traitement n’est pas susceptible d’intéresser la sûreté de l’Etat. A ce titre, elle considère que seules les dispositions des titres I et III de la loi du 6 janvier 1978 modifiée devraient s’appliquer au traitement LRPGN.

Sur la durée de conservation des données

L’article 3 du projet de décret prévoit que les données à caractère personnel et informations mentionnées à l’article 2 sont conservées six ans à compter de la transmission de la procédure à l’autorité judiciaire ou administrative compétente .

A titre liminaire, la Commission rappelle qu’elle avait souligné dans sa délibération n° 2010-119 du 6 mai 2010 qu’elle accueillait favorablement la disposition selon laquelle les données relatives aux personnes faisant l’objet d’une procédure étaient effacées dès la clôture de celle-ci et sa transmission aux autorités compétentes. Elle avait également pris acte qu’une fois la procédure clôturée, il était impossible, même en cas de nouvelle pièce rédigée sous le même numéro de procédure, de retrouver ces informations.

La Commission relève que le ministère entend modifier ces dispositions afin de permettre la conservation de ces données pour une durée de six ans afin de faciliter la réouverture d’une enquête durant le délai de prescription de l’action publique en matière délictuelle. Si elle relève que la procédure est archivée à compter de la date de sa clôture, cette dernière est qualifiée de courante par le ministère et permettra en pratique à l’ensemble des militaires de l’unité au sein de laquelle la procédure a été établie d’accéder à ces procédures par l’intermédiaire d’une fonction de gestion électronique des documents (GED). Elle considère dès lors que cette disposition revient à fixer la durée de conservation des données pour une durée de six années, et ce, en l’absence de mesures encadrant l’archivage définitif de ces procédures.

La Commission souligne que le LRPGN, qui a vocation à concerner l’ensemble des procédures relevant de la compétence de la gendarmerie nationale, porte, par essence, sur des procédures très variées, qui ne sont pas toutes susceptibles de porter sur des infractions de nature délictuelle. Elle relève également que le ministère n’a pas entendu moduler cette durée s’agissant de la nature des infractions concernées ni s’agissant des données collectées dans le cadre de procédures administratives. Il a en effet précisé que la durée projetée doit permettre de pouvoir répondre aux sollicitations complémentaires de l’autorité dont la décision serait contestée, et ce, dans la mesure où elles font régulièrement l’objet de recours contentieux.

De manière générale, la Commission estime que la durée de conservation des données ne saurait être fixée, par principe, au regard de la seule durée de prescription de l’action publique, sans considération des finalités pour lesquelles elles sont traitées, et dans le respect des dispositions de l’article 4-5° de la loi du 6 janvier 1978 modifiée.

Plus spécifiquement, elle souligne que le ministère n’a pas démontré, d’une part, le besoin de conserver ces données au-delà de leur transmission à l’autorité compétente, et d’autre part, pour une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées. Dans ce contexte, elle est réservée quant à l’opportunité de conserver à titre préventif ces données, et considère la durée fixée par le projet de décret comme disproportionnée.

En tout état de cause, et comme elle l’avait pointé dans son avis du 11 octobre 2012 portant sur le logiciel de rédaction des procédures de la police nationale, la Commission considère que, si le ministère entend archiver les données à l’issue de leur transmission à l’autorité compétente, le projet de décret devrait être modifié afin de préciser que l’accès, nécessairement limité, aux données dans ce délai, et dès lors que la procédure a été transmise à l’autorité compétente, ne pourra être effectué que de façon strictement encadrée.

Enfin, la Commission souligne que les données sont supprimées manuellement à l’issue du délai de six ans. A cet égard, le ministère a précisé qu’une fonctionnalité de rappel automatique a été intégrée le 1^er juillet 2020, pour signaler, de manière visuelle dans l’onglet traditionnel de gestion des procédures, la liste détaillée des procédures arrivées à échéance du délai de conservation, applicable aux procédures clôturées postérieurement à cette date. La Commission considère néanmoins que cette mesure est insuffisante pour assurer la suppression des données de façon systématique, au terme du délai de conservation, et considère qu’au vu de la nature du traitement et du volume de données à traiter, il apparaît nécessaire de mettre en place une procédure de suppression automatique des données. Dans l’intervalle, elle estime en tout état de cause que des mesures, notamment organisationnelles, permettant d’assurer la suppression effective des données doivent être mises en œuvre. A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles le commandant d’unité vérifie quotidiennement son registre de procédures, l’échelon hiérarchique immédiatement supérieur, qui détient une vision plus globale, contrôle et le cas échéant ordonne l’effacement, et enfin, en terme de contrôle interne, les référents informatique et libertés des groupements et régions de gendarmerie exercent également un contrôle sur la mise en œuvre effective de la procédure d’effacement. Elle estime ce protocole satisfaisant et appelle le ministère à assurer sa diffusion et son respect.

Sur les modifications apportées aux autres conditions de mise en œuvre du traitement

Sur les catégories de données collectées

A titre liminaire, la Commission relève que

En premier lieu, l’annexe du projet de décret prévoit que peuvent être collectées, de manière indifférenciée, des données relatives aux personnes physiques victimes, mises en cause, témoins plaignants ou faisant l’objet d’une enquête ou instruction pour recherche des causes de la mort ou d’une disparition dans le cadre d’une procédure judiciaire.

L’article 6 de la directive 2016/680 susvisée prévoit que le responsable du traitement établit, le cas échéant et dans la mesure du possible, une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées , notamment afin de distinguer les données relatives aux personnes suspectées, condamnées, victimes, ou encore considérées comme tiers. A cet égard

, le ministère a indiqué qu’il considère que la distinction des données susceptibles d’être collectées selon le statut de la personne concernée (mis en cause, ou victime par exemple) n’est pas pertinente. La Commission estime néanmoins qu’outre le respect des dispositions de l’article précité, une telle distinction aurait permis d’assurer la minimisation des données pouvant être collectées s’agissant de chaque personne, à l’instar de ce qui est actuellement prévu s’agissant du logiciel de rédaction des procédures de la police nationale (LRPPN 2).

En tout état de cause, si la Commission relève que les dispositions encadrant le LRPGN prévoient d’ores et déjà la collecte de données relatives aux victimes, elle rappelle, compte tenu de l’évolution significative des données pouvant être collectées, qu’elle considère qu’il est indispensable que les critères relatifs à la nécessité de la collecte de ces catégories de données soient strictement respectés. Par ailleurs, dans la mesure où ces données ont vocation à être conservées pour la même durée que les informations relatives aux personnes mises en cause, elle souligne l’importance d’assurer un contrôle strict de ces durées et, plus spécifiquement, dans l’hypothèse de la collecte d’informations relatives à des mineurs.

En deuxième lieu, le point I-1° de l’annexe du projet de décret, qui encadre les données susceptibles d’être collectées, prévoit l’enregistrement de photographies.

A cet égard, la Commission relève que la collecte de cette donnée est uniquement prévue dans le cadre de procédures judiciaires et dans la mesure où elles peuvent, selon le ministère, être nécessaires à l’enquête, que ce soit par exemple dans le cadre d’atteintes aux personnes ou aux biens (traces de coups, photos du véhicule volé), ou pour permettre l’identification d’une personne décédée ou disparue.

La Commission relève en outre que le projet de décret ne prévoit pas la possibilité de recourir à un dispositif de reconnaissance faciale et rappelle en tout état de cause que, dans le cas où le traitement utiliserait un gabarit biométrique, celui-ci constituerait en lui-même une donnée relevant d’une catégorie distincte de celles listées dans le projet de décret, nécessitant la modification du décret encadrant le LRPGN, après saisine de la Commission, dans les conditions prévues à l’article 89 de la loi du 6 janvier 1978 modifiée.

En troisième lieu, l’annexe du projet de décret prévoit la possibilité de collecter la fiche dactyloscopique . A cet égard, le ministère a précisé que cette fiche doit constituer une aide pour l’enquêteur et qu’elle est utilisée afin de renseigner le relevé décadactylaire, pouvant être une composante du procès-verbal de signalement d’une personne physique. A cet égard, elle porte sur l’aspect de chaque doigt et doit permettre d’indiquer leur état (normal / abimé / bandé / coupé). Il a par ailleurs précisé que cette fiche ne correspondait pas au signalement transmis au FAED. A des fins de clarté, la Commission estime que cette catégorie de données pourrait être précisée dans le projet de décret.

Sur l’exercice des droits

L’article 7 du projet de décret encadre les modalités d’exercice des droits des personnes concernées, au regard tant des dispositions du titre III de la loi du 6 janvier 1978 modifiée que de celles de son titre IV.

En premier lieu, et sans méconnaître les précisions apportées par le ministère quant au régime juridique qu’il entend appliquer au traitement LRPGN, la Commission considère que seules les dispositions du titre III de la loi précitée ont vocation à s’appliquer s’agissant de l’exercice de leurs droits par les personnes concernées, dans la mesure où le fichier poursuit des finalités considérées comme ne relevant pas de la sûreté de l’Etat ou la défense.

En second lieu, concernant l’information des personnes concernées, la Commission prend acte qu’elle sera réalisée par la publication de l’acte réglementaire ainsi que de la liste de l’ensemble des traitements mis en œuvre par le ministère de l’intérieur sur son site web. A cet égard, elle regrette que l’information des personnes concernées ne soit pas réalisée directement auprès d’elles lorsque cela est matériellement possible.

Sur les mesures de sécurité

La Commission relève que l’accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d’en connaître. Ces utilisateurs seront authentifiés via un couple identifiant et mot de passe dans un premier temps, puis, une fois les cartes agents mises à la disposition des utilisateurs, par le biais de cette carte qui permet de réaliser une authentification forte. La Commission prend acte de ce que le ministère prévoit que les cartes professionnelles ne seront déployées qu’au moment de la mise en œuvre du futur traitement LRPGN-NG.

En ce qui concerne l’authentification par mot de passe, la Commission relève que les mesures prévues par le ministère apparaissent conformes à la délibération n° 2017- 012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe, en termes de longueur et de complexité. La Commission relève toutefois que le ministère ne prévoit pas de mettre en œuvre une temporisation d’accès au compte après plusieurs échecs, et/ou un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives et/ou un blocage du compte, et invite donc le ministère à prévoir des mesures complémentaires de ce type. Elle prend toutefois acte de ce que le ministère a précisé que l’authentification sur les terminaux utilisés pour le traitement LRPGN se fait au travers du réseau intranet de la gendarmerie et que les mesures de sécurité informatique de ce réseau permettent de se prémunir des soumissions automatisées et intensives de tentatives de connexions.

L’article 6 du projet de décret prévoit que les opérations de collecte, de consultation, de modification, de communication, de mise en relation, d’effacement des données et informations du traitement font l’objet d’un enregistrement comprenant l’identification de l’auteur, la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant six ans . La Commission rappelle qu’elle considère que le fait de conserver, pour des finalités de sécurité, ces traces pendant une durée excédant six mois, est en principe disproportionné, à moins que le ministère ne démontre que cette durée de conservation permet de réduire des risques pesant sur les personnes concernées et qui ne peuvent être traités par une autre mesure.

A cet égard, le ministère précise par ailleurs que la structure décentralisée du traitement, ainsi que la persistance de procédures papier rendent complexe la mise en œuvre d’outils d’analyse automatique des données de traçabilité. La Commission considère néanmoins que la mise en œuvre de telles mesures apparaît comme incontournable car seule à même de permettre de garantir une détection rapide et efficace des cas d’erreur ou d’usage détourné sur le traitement projeté.

La Commission rappelle enfin le besoin de mise en œuvre de solutions de chiffrement à l’état de l’art, tant des flux que des données stockées, et ce durant tout le cycle de vie de la donnée. En effet, ces mesures constituent la seule solution permettant d’assurer la confidentialité des données durant toutes les phases du traitement, depuis la saisie jusqu’à l’archivage. La Commission prend acte des éléments transmis par le ministère et confirmant la mise en œuvre de solution de chiffrement entre le serveur de l’unité et le serveur central et, de façon plus générale, dans le cadre des échanges mis en œuvre entre tous les systèmes.

Les autres mesures de sécurité n’appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues à l’article 99 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour régulière de l’AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

La Présidente

Marie-Laure DENIS