La Commission nationale de l’informatique et des libertés,

Saisie par le Centre national de la recherche scientifique (CNRS) d’une demande d’avis concernant un projet de traitement automatisé de données à caractère personnel nécessaire à la réalisation d’une recherche sur les comportements et les attitudes liées au développement du djihadisme en France depuis le début des années 1990 ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;

Vu le code du patrimoine, notamment son article L. 213-3 ;

Vu le code de procédure pénale, notamment son article 801-1 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment le 6° de son article 44 ;

Vu le décret n° 82-993 du 24 novembre 1982 portant organisation et fonctionnement du Centre national de la recherche scientifique, notamment son article 2 ;

Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l’application de la loi

n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment son article 116 ;

Vu la délibération n° 2017-012 du 19 janvier 2017 modifiée portant adoption d’une recommandation relative aux mots de passe ;

Vu la délibération n° 2020-040 du 2 avril 2020 portant avis sur un projet de traitement automatisé de données à caractère personnel nécessaire à la réalisation d’une recherche sur les comportements et les attitudes liées au développement du djihadisme en France depuis le début des années 1990 ;

Sur la proposition de M^me Anne DEBET, commissaire, et après avoir entendu les observations de M^me Benjamin TOUZANNE, commissaire du Gouvernement,

Émet l’avis suivant :

La Commission relève que le traitement envisagé a pour finalité de produire une analyse empirique et cumulative des comportements et attitudes liées au développement du djihadisme en France depuis le début des années 1990 jusqu’en 2020. Le traitement dont le responsable est le Centre national de la recherche scientifique (CNRS) sera mis en œuvre par le Centre de recherches Sociologiques sur le Droit et les Institutions Pénales (CESDIP). La recherche projetée vise à constituer, à partir des archives papiers des dossiers de procédure pénale relatifs au djihadisme, correspondant aux affaires correctionnelles ou criminelles définitivement jugées en première comme en seconde instance, archivés par le ministère de la Justice, la base de données la plus complète possible sur ces profils, les réseaux, les environnements et les contenus djihadistes.

Cette base de données devrait également permettre, grâce à sa mise à disposition via le Centre d’accès sécurisé aux données (CASD), la production d’une connaissance large des phénomènes de radicalisation terroriste, fondée sur des données considérées comme objectives par le responsable de traitement et la constitution d’un outil d’information et de décryptage qui puisse participer à la définition de politiques pénales en matière d’antiterrorisme.

Le traitement projeté, qui poursuit des finalités déterminées, explicites et légitimes dans le domaine de la recherche scientifique, relève du champ d’application du règlement (UE) 2016/679 du 27 avril 2016 susvisé (ci-après le « RGPD ») et est mis en œuvre sur le fondement de l’article 6-1-e) du RGPD, à savoir " l’exécution d’une mission d’intérêt public ".

Dans la mesure où il porte sur des données sensibles au sens de la réglementation, le traitement projeté doit faire l’objet d’un avis préalable de la Commission conformément aux dispositions de l’article 44-6 de la loi du 6 janvier 1978 modifiée, sans préjudice de l’obligation de formaliser le cas échéant la création du traitement par un acte réglementaire spécifique.

La Commission rappelle qu’elle devra être tenue informée et saisie de toute modification substantielle affectant les caractéristiques du traitement et que l’analyse d’impact relative à la protection des données (AIPD) transmise devra le cas échéant faire l’objet d’une mise à jour.

La Commission relève que cette demande d’avis a été présentée par le CNRS à la suite de la délibération n°2020-040 du 2 avril 2020 susvisée, et est relative au même projet de recherche que celui visé par la délibération susvisée. Elle observe que la présente demande d’avis vise à tenir compte d’un certain nombre d’observations formulées dans le cadre de la délibération n°2020-040 du 2 avril 2020.

Dans ces conditions, le traitement projeté appelle les observations suivantes.

Sur les données collectées et traitées

En premier lieu, la Commission prend acte que seront traitées les données issues de la consultation de dossiers de procédure pénale et non des seuls jugements et arrêts. Interrogé sur le périmètre exact des données collectées, le CNRS a indiqué que le traitement de collecte concernerait uniquement les données à caractère personnel des personnes vivantes et décédées, condamnées en dernier ressort et après épuisement des voies de recours, dans le cadre des procédures pénales relatives au djihadisme contenant les qualifications NATINF suivantes : homicide volontaire, terrorisme, association de malfaiteurs, apologie de crime ou de délit. Elle rappelle qu’il reviendra au CNRS de mettre en œuvre l’ensemble des mesures permettant de s’assurer que seules les données issues de ces dossiers seront effectivement traitées sur la période des années 1990 à 2020.

Ainsi que précisé par le CNRS, la Commission relève que la mise à disposition des dossiers de procédure pénale aura nécessairement pour effet, en l’absence de tout dispositif d’occultation ou d’anonymisation des données relatives aux personnes mentionnées dans lesdits documents et autres que les personnes condamnées, de permettre leur consultation par l’équipe de recherche. Sont ainsi potentiellement concernés, et de manière non exhaustive, les victimes, les témoins, les experts ainsi que les professionnels de justice, mais aussi les autres personnes mentionnées par les précédentes. La Commission rappelle que tant l’extraction que la consultation constituent des traitements de données à caractère personnel au sens du 2 de l’article 4 du RGPD. Elle considère par ailleurs que d’autres données que les seules données d’identification directe, et notamment des données considérées comme sensibles au sens de l’article 9 du RGPD, sont susceptibles de figurer dans les dossiers de procédure pénale s’agissant notamment des victimes et des témoins. A cet égard, la Commission rappelle qu’il appartient au CNRS d’une part de tirer toutes les conséquences de la mise en œuvre ces traitements vis-à-vis des personnes concernées précitées, et d’autre part, dans la mesure où les données sont issues en partie des jugements et arrêts, de concilier les obligations prévues par le RGPD avec le cadre juridique propre à l’accès aux décisions de justice.

En deuxième lieu, si la Commission prend acte de ce que le CNRS n’entend plus traiter les données relatives à la " trajectoire de l’individu « ainsi que le » nom du conjoint ", elle relève que, s’agissant des personnes condamnées, seront traitées de nombreuses données à caractère personnel. Outre les données d’identification, les habitudes de vie, la situation familiale, la situation professionnelle, la scolarité et la formation, les revenus et la situation financière, les données concernées la santé (nombre et conclusion des expertises psychiatriques le cas échéant) le CNRS entend ainsi collecter plusieurs variables sociodémographiques relatives à la « vie personnelle » et à la « vie professionnelle » telles que le nombre d’enfants, de frères et sœurs, la position dans la fratrie, le fait d’avoir grandi dans une famille monoparentale, l’existence d’une prise en charge par l’aide sociale à l’enfance, la maitrise de la langue arabe et/ou d’une autre langue, la date d’apprentissage de ces langues, le nombre de partenaires connus, l’existence d’un mariage civil et/ou d’un ou plusieurs mariage(s) religieux, l’utilisation d’un pseudonyme, le pays de naissance des parents, la date d’arrivée en France pour les personnes concernées nées à l’étranger, la date de la naturalisation le cas échéant.

En troisième lieu, la Commission relève que si certaines des données traitées relèvent de la catégorie des données dites « sensibles » au sens de l’article 9 du RGPD, d’autres relèvent de la catégorie des données relatives aux condamnations pénales et aux infractions au sens de l’article 10 du RGPD. À cet égard, la Commission considère, au vu des missions octroyées au CNRS par le décret n° 82-993 susvisé, que ce dernier peut se prévaloir de l’exception prévue à l’article 46-1 de la loi n° 78-17 du 6 janvier 1978 modifiée pour traiter de telles données pour la finalité envisagée.

En dernier lieu, la Commission prend acte des précisions apportées par le CNRS selon lesquelles le traitement projeté ne fera l’objet d’aucune interconnexion, rapprochement ou toute autre forme de mise en relation.

Sur la nécessaire conciliation avec les dispositions du code du patrimoine

La Commission relève qu’indépendamment de ce qui précède, les archives publiques que constituent les dossiers de procédure pénale d’où seront issues les données, sont communicables de plein droit à l’issue de délais fixés à l’article L. 213-2 du code du patrimoine. L’article L. 213-3 de ce code prévoit que l’administration des archives peut octroyer aux personnes qui en font la demande l’autorisation de consulter des documents d’archives avant l’expiration de ces délais " dans la mesure où l’intérêt qui s’attache à la consultation de ces documents ne conduit pas à porter une atteinte excessive aux intérêts que la loi a entendu protéger « et » après accord de l’autorité dont émanent les documents ". Invité à préciser s’il avait obtenu une telle autorisation, le CNRS a indiqué que l’autorisation des archives visée à l’article précité nécessitait l’avis préalable de la Commission. Le CNRS a également précisé que le Parquet général de la Cour d’appel de Paris se proposait d’autoriser l’équipe de recherche à formuler la demande d’accès dérogatoire auprès des archives nationales, et souhaitait ainsi mettre à disposition des chercheurs le corpus des dossiers de procédure pénale. Pour ce qui relève de sa compétence et sans se prononcer sur la levée de secrets que pourraient éventuellement couvrir certaines données à caractère personnel et les intérêts que la loi a entendu protéger, la Commission rappelle que l’autorisation des archives devra être obtenue par le CNRS avant la mise en œuvre du traitement.

S’agissant des données telles que la mention d’un enregistrement dans le Fichier des personnes recherchées (FPR) en tant que « fiché S », d’un enregistrement dans le FSPRT, d’un enregistrement dans le Fichier national automatisé des empreintes génétiques (FNAEG) et/ou dans le traitement d’antécédents judiciaires (TAJ), ainsi que les dates de ces enregistrements, la Commission rappelle que l’accès ou la possibilité d’être rendu destinataire de ces données via ces fichiers sont strictement encadrés par les dispositions relatives à ces différents traitements spécifiques relevant pour la plupart d’entre eux de la responsabilité du ministère de l’intérieur. Elle relève que, dans ces dispositions, le CNRS ne figure ni à titre d’accédant ni à titre de destinataire des données des fichiers susmentionnés.

La Commission observe en outre que l’autorisation de l’administration des archives, si elle porte sur toutes les données contenues dans les dossiers de procédure pénale, y compris l’existence et la date d’une mention au FPR, l’existence et la date d’une mention au FSPRT, la mention d’une mention au FNAEG ou au TAJ, aura pour effet de permettre à l’équipe de recherche et, par la voie du droit d’accès, aux personnes concernées elles-mêmes d’avoir connaissance des données précitées qui font l’objet d’un encadrement spécifique. Elle rappelle que certaines des dispositions encadrant ces fichiers prévoient l’exercice indirect des droits par les personnes concernées et qu’à ce titre les données les concernant peuvent ne pas leur être communiquées. A cet égard, la Commission s’interroge sur les modalités de la conciliation des dispositions du code du patrimoine avec le cadre juridique relatif à la protection des données personnelles, et en particulier pour les données issues de ce type de fichiers. La Commission rappelle en tout état de cause le caractère particulièrement sensible des données figurant dans ces traitements, a fortiori ceux dispensés de publication ou intéressant la sûreté de l’Etat.

Sur les durées de conservation

Il résulte des précisions apportées par le CNRS que les données seront conservées en base active pendant une durée de deux ans après la collecte et que sera mise en œuvre à l’issue de cette période une procédure d’archivage dans le respect du code du patrimoine.

La Commission considère que les données collectées sont conservées pendant une durée qui n’excède pas la durée nécessaire compte-tenu des finalités pour lesquelles elles sont collectées et traitées, conformément aux dispositions de l’article 5-1-e) du RGPD.

Sur les destinataires des données

En premier lieu, la Commission relève que les destinataires de l’ensemble des données, y compris des données d’état-civil, d’identité et d’identification, seront les membres de l’unité de recherche du Centre de recherches Sociologiques sur le Droit et les Institutions Pénales (CESDIP). La Commission prend note des précisions du CNRS selon lesquelles l’accès à cette catégorie de données est nécessaire à l’ensemble de l’équipe de recherche, soit quatre personnes au maximum, pour l’analyse des trajectoires.

En deuxième lieu, la Commission prend acte des précisions du CNRS selon lesquelles une mise à disposition des données sera organisée via le CASD. À cet égard, la Commission demande, conformément à l’article 14 du RGPD, que l’ensemble des catégories de destinataires, notamment la communauté scientifique via des réseaux de diffusion, apparaisse dans les informations délivrées, publiquement le cas échéant, aux personnes concernées.

En troisième lieu, la Commission prend acte des précisions apportées par le CNRS selon lesquelles les données seront agrégées au stade de la diffusion des résultats de recherche, qui ne comportera donc pas de données à caractère personnel. La Commission rappelle que l’agrégation devra permettre d’anonymiser les données au sens de l’avis 05/2014 du Groupe de travail « Article 29 » sur la protection des données. A cet égard, s’agissant du " numéro unique d’anonymisation « , qui fait partie de la liste des » variables sociodémographiques " retenues par le CNRS, la Commission rappelle que l’anonymisation, qui ne doit pas être confondue avec la pseudonymisation, est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible, au sens de l’avis précité.

Sur les droits des personnes

S’agissant en premier lieu du droit à l’information des personnes concernées, la Commission relève que ces dernières ne feront pas l’objet d’une information individuelle. A cet égard, elle estime que l’incarcération de certaines des personnes concernées ne constitue pas, en soi, un élément de nature à rendre cette information impossible. Si le CNRS considère qu’une information individuelle aux personnes concernées apparait disproportionnée au regard de l’utilité de la démarche, la Commission rappelle que, conformément aux articles 14.5-b) du RGPD et 79 de la loi du 6 janvier 1978 modifiée, il peut être dérogé à l’information individuelle des personnes notamment si la fourniture de ces informations exige des efforts disproportionnés, sous réserve des garanties visées à l’article 89.1 du RGPD et moyennant la mise en place de mesures appropriées pour protéger les droits et libertés de la personne concernée. Elle prend acte de l’engagement du CNRS de diffuser une information publique sur son site web et rappelle qu’il revient au responsable du traitement de mettre en œuvre une information accessible au public compte-tenu des contraintes qui caractérisent la situation des personnes détenues.

S’agissant en deuxième lieu du droit d’opposition, la Commission estime qu’il peut être limité conformément aux prévisions de l’article 21.6 du RGPD, le traitement de recherche étant nécessaire à l’exécution d’une mission d’intérêt public.

S’agissant en troisième lieu du droit d’accès et du droit de rectification, la Commission prend acte des indications du CNRS selon lesquelles les personnes concernées disposeront de ce droit pour le traitement à finalité de recherche réalisé par le CNRS à partir de la consultation des dossiers de procédure pénale, notamment dans l’hypothèse d’une erreur de saisie ou d’une demande de répercussion d’une modification d’une donnée extraite depuis un dossier de procédure pénale et pourront l’exercer via une adresse mail générique.

S’agissant en quatrième lieu des droits à l’effacement et à la limitation, la Commission rappelle qu’il appartient au CNRS de démontrer que des dérogations à ces droits s’imposent, conformément aux articles 17 à 18 du RGPD, 49.3 et 78 de la loi du 6 janvier 1978 modifiée et 116 du décret n° 2019-536 du 29 mai 2019 susvisé. A défaut, le responsable de traitement doit permettre aux personnes concernées de faire valoir leurs droits à l’effacement et à la limitation.

Sur les mesures de sécurité

La Commission relève tout d’abord que le traitement projeté, qui inclut notamment des données sensibles relatives à des personnes vulnérables, a fait l’objet d’une AIPD. Elle estime que cette AIPD devra être revue s’agissant de l’estimation de la gravité des risques en cas d’accès illégitime aux données. En effet, si la vraisemblance du risque peut être considérée comme négligeable au regard des mesures de sécurité mises en œuvre, aucune n’apparait de nature à limiter la gravité des risques encourus en cas d’accès illégitime aux données, eu égard aux nombreuses données sensibles traitées.

La commission prend acte de ce que la base de données utilisée pour réaliser la recherche sera pseudonymisée. Elle recommande que cette pseudonymisation soit réalisée en attribuant un numéro d’ordre non signifiant et qu’aucune table de correspondance ne soit conservée.

La Commission prend ensuite acte que les données seront traitées sur des postes de travail mobiles du responsable de traitement, ainsi que sur un serveur de fichier externalisé, et que des mesures de sécurité seront mises en place afin de garantir la confidentialité des données échangées sur des réseaux publics.

Elle prend également acte de ce que les logiciels utilisés seront régulièrement mis à jour.

Concernant les mesures de chiffrement des données, la Commission relève de ce que tant les postes de travail que les serveurs et les supports de stockage feront l’objet de mesures de chiffrement afin de prévenir toute atteinte à la sécurité des données en cas de perte ou d’intrusion. Elle rappelle toutefois que les algorithmes utilisés ainsi que les tailles de clés doivent être à l’état de l’art utilisés et que les modalités de génération et de conservation des clés de chiffrement doivent faire l’objet d’une attention particulière.

Concernant par ailleurs les modalités d’accès aux données, la Commission prend acte de ce que des profils d’habilitation seront définis et que les personnes seront individuellement habilitées à accéder aux données. Elle constate que les modalités d’authentification des utilisateurs habilités à accéder aux traitements sont conformes à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d’une recommandation relative aux mots de passe dans sa version actuellement en vigueur.

Concernant la traçabilité des opérations sur les données, la Commission relève que les opérations de création et de modification portant sur les données seront tracées. Elle recommande d’une part que les opérations de consultation des données soient également tracées, et d’autre part que ces traces soient conservées pendant une durée de 6 mois.

Enfin la Commission prend acte de ce que les actions de sensibilisation des personnes habilitées seront mises en place afin de s’assurer de leur bonne compréhension des besoins de sécurité associés à l’étude réalisée par le responsable de traitement.

La Présidente

Marie-Laure DENIS