LA COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;

Après avoir entendu le rapport de M. Claude CASTELLUCCIA, commissaire, et les observations de M. Damien MILIC commissaire du Gouvernement,

ADOPTE LA DÉLIBÉRATION SUIVANTE :

I. La saisine

A. Le contexte

Le projet d’enquête sur les « Expériences de la Prison et Réinsertion Sociale à la Sortie » (ExPReSS), porté par l’Institut national d’études démographiques (INED), vise à évaluer les capacités de réinsertion des personnes ayant été détenues et permettra de contribuer à la réflexion des pouvoirs publics sur la réinsertion et le risque de récidive.

Il s’agit d’un projet de recherche scientifique en sciences sociales qui s’articule autour de quatre objectifs principaux :

• enrichir la connaissance statistique de la population carcérale en se focalisant sur les sortants de prison ;
• caractériser les différentes expériences de l’incarcération et leur impact sur les personnes ;
• recueillir les éléments prospectifs sur ce qui attend la personne à sa sortie ;
• étudier la récidive des personnes enquêtées.

B. L’objet de la saisine

La CNIL a été saisie pour avis sur les traitements de données à caractère personnel nécessaires pour mener l’enquête ExPreSS. Dans la mesure où ces traitements portent sur des données sensibles au sens de la réglementation, le traitement doit faire l’objet d’un avis préalable de la CNIL conformément aux dispositions de l’article 44.6° de la loi « informatique et libertés ».

L’INED est le responsable de ce traitement, qu’il met en œuvre sur la base de l’exécution d’une mission d’intérêt public (article 6.1.e du RGPD).

L’enquête comportera plusieurs phases :

a. l’enquête quantitative sur un échantillon estimé à environ 500 personnes détenues qui comporte deux étapes :

i. l’identification de la base de sondage de personnes détenues à partir de données issues du traitement de données à caractère personnel relatif à la gestion nationale des personnes détenues en établissement pénitentiaire (Genesis) ;

ii. la collecte de données complémentaires via un questionnaire portant notamment sur les conditions de vie en détention, le parcours pénal, les activités et ressources, la santé, la représentation de la prison, la préparation et les conditions de la sortie ;

b. les post-enquêtes qualitatives sur environ une cinquantaine de personnes sélectionnées sur la base des réponses qu’elles auront données au questionnaire. L’objectif est d’aborder de façon plus approfondie le ressenti de l’expérience carcérale et son impact sur la vie des personnes ;

c. L’appariement au Casier judiciaire national (CJN) ou à Cassiopée affaires terminées (Cassiopée) avec les données issues de l’enquête quantitative. Les données extraites du CJN sont relatives aux condamnations et décisions de justice des personnes enquêtées. Elles permettront d’étudier la récidive de ces personnes dans un délai de cinq ans après leur sortie.

II. L’avis de la CNIL

A. Sur l’accès aux traitements Genesis, Cassiopée et au CJN

L’INED a indiqué réaliser la base de sondage à partir du traitement Genesis. L’extraction des données sera effectuée, selon les critères de sélection fixés par l’INED, par les greffiers des trois établissements pénitentiaires participant à l’enquête. L’INED a par ailleurs indiqué procéder à un appariement de ces données au CJN ou au traitement Cassiopée afin d’examiner les cas de récidive cinq ans après les enquêtes quantitatives et qualitatives.

La CNIL rappelle qu’elle considère que, lorsqu’un traitement public fait l’objet d’un encadrement légal ou réglementaire, le responsable de traitement est légitime à effectuer, dans le respect de son champ de compétence, des études, notamment statistiques, à partir des données traitées, sans qu’il soit besoin que la loi ou l’acte réglementaire le précise (CNIL, pl énière, 20 octobre 2022, avis sur le décret " SIROCCO, n° 2022-105) . Le responsable de traitement peut utiliser les données de ces traitements à des fins de recherche scientifique sans que cette finalité soit précisée dans l’acte encadrant le traitement si :

• D’une part, cette utilisation est en lien avec les finalités du traitement ; et
• D’autre part, elle relève des missions qui lui sont confiées.

Dans le cas où un tiers souhaite utiliser les données à des fins de recherche sans que la recherche soit faite pour le compte du responsable de traitement, cela n’est en principe possible qu’à la condition que ce tiers soit autorisé par l’acte réglementaire à être rendu destinataire de ces données.

La CNIL relève que l’INED n’est pas le responsable des traitements concernés et ne relève d’aucune des catégories d’accédant ou de destinataire des données des fichiers susmentionnés, ce qui pourrait constituer un obstacle à son accès à ces données à des fins de recherche scientifique

Sauf à modifier la réglementation relative aux fichiers considérés, trois voies alternatives existent pour les chercheurs, pour accéder aux données contenues dans ces traitements :

• les archives publiques que constituent les documents d’où sont issues les données nécessaires pour l’enquête, sont communicables de plein droit à l’issue des délais fixés à l’article L. 213-2 du code du patrimoine. L’article L. 213-3 de ce code prévoit que l’administration des archives peut octroyer aux personnes qui en font la demande l’autorisation de consulter des documents d’archives avant l’expiration de ces délais " dans la mesure où l’intérêt qui s’attache à la consultation de ces documents ne conduit pas à porter une atteinte excessive aux intérêts que la loi a entendu protéger ".
• L’article R. 170 du code de procédure pénale (CPP) permet la transmission à des tiers de copies de certaines décisions, dont celles rendues par les juridictions d’instruction, ainsi que de copies des autres actes ou pièces d’une procédure pénale sur autorisation du procureur de la République ou du procureur général.

• Une réutilisation des données peut éventuellement être possible à des fins statistiques. L’accès aux données peut alors notamment avoir lieu via le Centre d’accès sécurisé aux données (CASD) mais uniquement à des fins statistiques, c’est-à-dire que le résultat du traitement ne constitue pas des données à caractère personnel mais uniquement des données agrégées, au sens du considérant 162 du RGPD. Le traitement à des fins statistiques doit être conforme à la loi n°51-711 du 7 juin 1951 sur l’obligation, la coordination et le secret en matière de statistiques. En l’espèce, les résultats de la recherche n’étant pas agrégés, cette voie n’apparait pas adaptée.

Concernant les traitements Cassiopée et Genesis, la CNIL observe que la procédure d’accès aux archives publiques (article L. 213-3 du code du patrimoine) permettrait à l’INED d’accéder aux données issues de ces traitements, sous réserve d’en obtenir l’autorisation des administration concernées. Elle estime par ailleurs que l’article R. 170 du CPP pourrait aussi constituer une voie d’accès. Elle s’interroge toutefois sur l’articulation de cette disposition avec l’article 11 du même code relatif au secret de la procédure au cours de l’enquête et de l’instruction, qui prohibe la communication d’informations relatives à des procédures non clôturées.

Concernant en particulier l’accès aux données du CJN, s’agissant des procédures clôturées, la voie d’accès aux archives publiques prévue par le code du patrimoine pourrait permettre à l’INED d’accéder aux données de ce traitement, sous réserve d’en obtenir l’autorisation. La CNIL considère que l’article R.170 du CPP ne devrait pas permettre à l’INED d’avoir accès au relevé intégral des fiches du casier judiciaire applicables à la même personne (dénommé bulletin n°1), au regard de l’article 774 du même code prévoyant que le bulletin n°1 n’est délivré qu’aux autorités judiciaires.

Enfin, la CNIL s’interroge sur la possibilité de procéder à l’appariement projeté au regard de l’article 777-3 du CPP, lequel prohibe les interconnexions entre le CJN et tout autre fichier ou traitement de données personnelles détenus par une personne quelconque ou par un service de l’Etat ne dépendant pas du ministère de la justice.

B. Sur les catégories de données collectées

L’INED a précisé que la très grande majorité des questions appellent des réponses fermées. Certaines sont ouvertes pour saisir des verbatim, concernant, par exemple, les raisons à l’origine des violences subies par les personnes détenues.

La CNIL considère cette possibilité légitime, en raison notamment de la très grande diversité des réponses attendues. L’INED précise que les réponses à des questions fermées pseudonymisées seront codées pour être traitées de manière quantitative. La CNIL prend acte de ce que les enquêteurs seront sensibilisés à la nécessité d’éviter une collecte excessive de données dans le cadre de ces verbatim et suggère à l’INED, si cette mesure compatible avec son protocole de recherche, de supprimer immédiatement les réponses après le recodage. Elle appelle son attention sur la nécessité qu’un nombre strictement limité de personnes soient habilitées à accéder aux données directement identifiantes.

L’INED a indiqué que les données issues du CJN sont relatives aux condamnations et décisions de justice des personnes faisant l’objet de l’enquête permettant de qualifier la récidive dans un délai de cinq ans.

Interrogé sur l’étendue des données permettant de qualifier la récidive, l’INED a indiqué ne pas avoir, au stade de la saisine, identifié sur quelles données issues du CJN (ou de Cassiopée) portera l’étude de la récidive des personnes détenues.

De manière générale, la CNIL rappelle que les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités annoncées, conformément à l’article 5-1-c du RGPD.

C. Sur les durées de conservation

Le « fichier de production et de recherche » – contenant des données issues du questionnaire ainsi que d’autres variables (profession, diplôme, pays de naissance, nationalité, …) sera mis à disposition de la communauté scientifique sur le réseau Quetelet-Progedo-Diffusion ainsi que des chercheurs de l’INED grâce à une copie archivée conservée sur un serveur sécurisé de l’INED pour une durée indéterminée. L’INED a par ailleurs précisé que le fichier est présenté « avec un plus faible risque de réidentification », sans pour autant que les données soient anonymisées.

La CNIL rappelle que la diffusion des données devra être réalisée conformément aux articles 78 de la loi « informatique et libertés » et 116 du décret n°2019-536 du 29 mai 2019. En particulier, les données doivent être préalablement anonymisées pour être diffusées et non seulement pseudonymisées, sauf si l’intérêt des tiers à cette diffusion prévaut sur les intérêts ou libertés et droits fondamentaux de la personne concernée. En pratique, l’exigence de productibilité des résultats présentés par une recherche scientifique implique souvent que les données d’étude soient en partie conservées (y compris des données pseudonymisées).

Dans le cas mentionné précédemment où l’intérêt des tiers à cette diffusion prévaut, la CNIL insiste pour que la pseudonymisation soit la plus forte possible et que l’accès aux données soit limité aux chercheurs qui souhaiteraient en faire usage et en étant soumis à des conditions de confidentialité et de déontologie strictes. Elle rappelle que dans le cas de diffusion de données pseudonymisées, il est indispensable de fixer une durée de conservation, ces données ne pouvant rester disponibles pour une durée illimitée.

Concernant la conservation d’une copie archivée de l’ensemble des fichiers utilisés lors de la recherche sur un serveur sécurisé de l’INED, la CNIL s’interroge sur la nécessité de conserver une telle copie alors que ces fichiers seront conservés aux Archives de France conformément au code du patrimoine. En tout état de cause, la CNIL rappelle que ces archives ne peuvent être conservées de manière indéfinie si elles ne sont pas anonymisées et qu’il est indispensable que le responsable de traitement leur fixe une durée de conservation.

D. Sur les droits des personnes

L’INED a précisé, concernant l’enquête qualitative, qu’en amont du contact avec le répondant, une plaquette d’information est transmise à l’ensemble des individus sélectionnés. Au début de l’entretien, l’enquêteur procède à une nouvelle information verbale et écrite.

La CNIL recommande à l’INED à procéder à une information dynamique (par exemple sur un site web mis à jour régulièrement) entre les phases d’entretiens et l’appariement effectif au CJN ou à Cassiopée, compte tenu des années qui se seront écoulées depuis l’enquête quantitative.

Les enquêtés pourront s’opposer à l’appariement de leurs réponses avec le CJN via une adresse électronique qui figure dans les documents d’information qui leur seront transmis. La CNIL invite l’INED à prévoir :

• une information claire et pédagogique quant à la portée de l’appariement au CJN ou à Cassiopée, en particulier au moment de la phase d’entretiens ;
• un mécanisme d’opposition facile et accessible à toute personne, y compris celles ne disposant pas de matériel informatique et/ou ne maîtrisant pas les outils informatiques.

S’agissant des modalités d’exercice des droits, l’INED a précisé que les personnes qui souhaitent exercer leurs droits seront retrouvées avec leur identifiant qui leur sera communiqué en début d’entretien via la note « Informations et Droits » ou leur numéro d’écrou. À défaut, l’INED pourra leur poser quelques questions afin de retrouver le questionnaire qui les concerne.

La CNIL relève que ces modalités d’exercice des droits reposent sur des informations qui pourraient être utilisées par une autre personne, en cas de perte ou de vol par exemple, et sur une très longue période (au regard des cinq ans entre la phase de questionnaires et l’appariement au CJN ou à Cassiopée). Elle invite, au regard de la sensibilité des données traitées, à la plus grande précaution pour éviter toute usurpation d’identité visant à accéder aux données d’un tiers. Elle demande également à l’INED d’envisager des solutions combinant des informations connues uniquement de l’INED transmises à la personne objet de l’enquête (par exemple, lors de l’information sur ces droits) avec des questions d’identification reposant sur les données collectées.

E. Sur les mesures de sécurité

Le responsable de traitement a réalisé et transmis à l’appui de la demande d’avis une analyse d’impact relative à la protection des données spécifique au traitement envisagé.

Compte tenu de la sensibilité des données collectées, la CNIL recommande que l’ensemble des mesures de sécurité, en particulier les espaces de stockage et travail utilisés pour mener l’étude au sein de l’INED, soient conformes à l’état de l’art et notamment à des mesures de sécurité équivalentes aux exigences mentionnées dans le référentiel « entrepôt de données dans le domaine de la santé ». À cet égard, la CNIL recommande une surveillance automatique ou manuelle de tout export de données hors de ces espaces, afin d’en vérifier systématiquement le caractère anonyme.

La CNIL note que la plateforme du CASD sera utilisée afin de réaliser les étapes de l’étude nécessitant un appariement aux données issues ou relatives au CJN, dont les mesures de sécurité sont adaptées aux risques pouvant peser sur les données.

Différents identifiants pseudonymes sont attribués aux participants. Ceux-ci devront être distincts pour les différents flux de données. La CNIL note que des identifiants séquentiels et pseudo-aléatoires seront générés pour certaines étapes du traitement. Elle recommande que des identifiants pseudo-aléatoires uniquement soient générés pour les différents participants pendant toutes les étapes du traitement.

Les échanges de données sont réalisés via des canaux de communication chiffrés et assurant l’authentification de la source et du destinataire. La CNIL considère que la nature des données de l’étude exige que celles-ci fassent l’objet de mesures de chiffrement conformes à l’annexe B1 du référentiel général de sécurité, tant au niveau des bases de données, des tables de correspondance que des sauvegardes. Les tables de correspondance devront notamment être stockées dans des conteneurs chiffrés avec une clé de chiffrement distincte du reste des données, accessibles uniquement par des utilisateurs et administrateurs disposant de profils d’habilitation spécifiques. Les tables de correspondance sont supprimées dans les meilleurs délais après consolidation des bases et la génération de nouveaux pseudonymes.

Etant donné la sensibilité des données collectées, la CNIL estime également qu’une authentification forte multifacteur, disposant au moins de deux facteurs d’authentification différents, devrait être mise en place pour l’accès aux données de l’étude lors des différentes étapes du traitement.

La CNIL rappelle qu’il appartient au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

F. Sur les transferts de données

L’INED a précisé que les données issues du « fichier de production et de recherche » seront mises à la disposition de ses chercheurs grâce à une copie sur son serveur sécurisé.

La CNIL appelle l’attention de l’INED sur le fait que la consultation de son système de stockage par une personne se situant sur le territoire d’un État tiers à l’Union européenne constitue un transfert de données hors de l’Union européenne qui doit être réalisé conformément au chapitre V du RGPD.

La Présidente

Marie-Laure DENIS