L’essentiel :

Le CNRS a saisi la CNIL pour avis sur un traitement de données à caractère personnel nécessaire à la réalisation d’une recherche relative à la cartographie des caractéristiques socio-démographiques et des motivations des auteurs de violences de l’été 2023. Les finalités poursuivies par ce traitement sont légitimes.

La CNIL émet des observations sur les garanties méthodologiques à mettre en œuvre, au regard de la sensibilité de l’objet de la recherche et de la vulnérabilité des personnes concernées et s’interroge sur la compatibilité de l’article L. 213-3 du code du patrimoine avec certaines dispositions du code de procédure pénale.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (loi « informatique et libertés ») ;

Après avoir entendu le rapport de M^me Aminata Niakaté, commissaire, et les observations de M. Damien Milic commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le traitement projeté est mis en œuvre dans le cadre d’un projet de recherche scientifique en sciences sociales conduit par le centre national de recherche scientifique (CNRS).

Ce projet vise à cartographier les caractéristiques socio-démographiques et les motivations des auteurs de violences de l’été 2023. Il repose sur une analyse des propriétés sociodémographiques et des raisons d’agir des personnes impliquées dans la participation aux émeutes au cours de la période comprise entre le 27 juin et le 7 juillet 2023.

Il est piloté par le centre de recherche sociologique sur le droit et les institutions pénales (CESDIP), en tant qu’unité de recherche rattachée au CNRS. Il s’inscrit dans le cadre d’une lettre de mission interministérielle du 31 juillet 2023.

La méthodologie de l’enquête consistera en une consultation d’un échantillon de dossiers de procédures pénales des affaires jugées en première instance relatives aux violences urbaines de l’été 2023 avec l’autorisation des responsables de juridiction et l’avis favorable préalable du Comité d’accès aux données (COMDAC) du ministère de la justice et de l’institut des études et de la recherche sur le droit et la justice (IERDJ). Les modalités de réalisation de la recherche sont encadrées par une convention tripartite entre l’IERDJ, l’IHEMI et le CESDIP.

B. L’objet de la saisine

La CNIL a été saisie par le CNRS pour avis sur un traitement de données à caractère personnel nécessaire pour réaliser cette recherche. Dans la mesure où le traitement porte sur des données sensibles au sens de l’article 9 du RGPD, il doit faire l’objet d’un avis préalable de la CNIL conformément aux dispositions de l’article 44.6° de la loi « informatique et libertés ».

S’agissant de la base légale, le traitement s’inscrit dans le cadre de l’exercice d’une mission d’intérêt public à des fins de recherche scientifique, dans le cadre des missions du CNRS et des laboratoires qui lui sont rattachés (art. R. 322-1 à R. 322-33 du code de la recherche).

II. L’avis de la CNIL

A. Sur les finalités du traitement

Il ressort de la lettre interministérielle précitée que la recherche vise à permettre la production de profils et de mobiles des " délinquants interpellés à l’occasion de l’épisode de violences urbaines (27 juin-7 juillet 2023) « . A cet égard, le traitement a pour objectif de » déterminer les caractéristiques socio-démographiques des émeutiers impliqués dans les événements qui se sont déroulés du 27 juin au 7 juillet 2023 et étudier leurs motivations, leur rapport aux institutions, ainsi que les raisons de leur engagement dans les violences " (convention tripartite, précitée).

Les finalités du traitement répondent aux besoins publics de connaissance générale sur ces situations. Cependant, au regard de la sensibilité de l’objet de la recherche, l’exploitation des résultats pourrait présenter des risques pour les droits et libertés des personnes, y compris des personnes tierces à la recherche.

Sans remettre en cause la légitimité de la finalité et pour limiter ces risques, la CNIL recommande que l’exploitation des résultats de la recherches soit entourée de garanties méthodologiques appropriées. Une bonne pratique pourrait être la consultation d’un comité d’éthique, par exemple.

B. Sur les données traitées

a. Sur la licéité de la collecte

Le CNRS a indiqué que les chercheurs auront accès aux dossiers de procédure pénale en se fondant sur l’autorisation préalable, prévue à l’article L. 213-3 du code du patrimoine, des juridictions de consulter ces dossiers en tant qu’archives publiques.

La CNIL s’interroge sur l’articulation de cet article avec :

• l’article 11 du code de procédure pénale relatif au secret de la procédure au cours de l’enquête et de l’instruction, qui prohibe la communication d’informations relatives à des procédures non clôturées ;
• l’article L. 322-10 du code de procédure pénale concernant les dossiers uniques de personnalité des personnes mineures dont l’accès est limité à la liste de personnes fixée par cette disposition.

En outre, certaines informations issues des dossiers de procédure pénales sont susceptibles d’être couvertes par l’obligation du secret professionnel, à laquelle sont astreintes certaines professions.

Il résulte des principes généraux de licéité et de loyauté des traitements prévus à l’article 5.1.a du RGPD que le chercheur ne peut recueillir des informations dont la transmission serait contraire à des textes.

b. Sur les catégories de données

Le CNRS collectera des informations relatives aux caractéristiques sociodémographiques (genre, âge, nationalité, commune de naissance, commune de résidence, commune de commission des faits, niveau d’étude, type d’activité, position socioprofessionnelle, antécédents judiciaires mentionnés dans les dossiers selon les codes NATAF mobilisées lors du rapport des missions IGA et IGJ sur cet épisode de violence urbaine, motivations exprimées dans les verbatim d’audience et d’audition). Lors de la consultation des dossiers, les chercheurs pourraient avoir accès à plus de données que nécessaires, en particulier à des données sensibles concernant des personnes mineures.

Les chercheurs collecteront uniquement les données à caractère personnel correspondant à la grille de critères sur lesquels portera l’étude, à l’exclusion de toute autre donnée.

De manière générale, certaines données traitées relèvent de la catégorie des données relatives aux condamnations pénales et aux infractions au sens de l’article 10 du RGPD. À cet égard, au vu des missions octroyées au CNRS par les articles R322-2 et R322-3 du code de la recherche, ce dernier peut se prévaloir de l’exception prévue à l’article 46-1 de la loi n° 78-17 du 6 janvier 1978 modifiée pour traiter de telles données pour la finalité envisagée (CNIL, SP, 24 septembre 2020 avis sur un projet de recherche, n° 2020-093, publié).

Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités annoncées, conformément à l’article 5-1-c du RGPD. A cet égard,

• la CNIL accueille favorablement la mise en œuvre d’une grille de données sur lesquelles portera l’étude, favorisant la bonne application du principe de minimisation ;
• au regard de la sensibilité des données collectées (données d’infraction) et de la vulnérabilité des personnes concernées (mineurs), elle préconise de prévoir, avec les juridictions, un encadrement des modalités précises de consultation des dossiers par les chercheurs ;
• elle prend acte des indications du CNRS selon lesquelles les informations relatives au code postal et à la commune ne sont pas nécessaires et invite le responsable de traitement à ne pas traiter ces données.

C. Sur les modalités de conservation des données

Le CNRS indique que les données permettant une identification des personnes seront conservées :

• au maximum une semaine sur les ordinateurs des chercheurs ;
• puis douze mois sur un disque dur au CNRS, avant leur suppression définitive.

Ces durées n’appellent pas d’observation. En revanche, la CNIL souligne que :

• les données devront faire l’objet d’une minimisation et d’une généralisation la plus forte possible, dans la mesure compatible avec les objectifs de la recherche (donner une tranche d’âge plutôt qu’un âge exact par exemple) ;
• l’accès aux données sera limité aux chercheurs qui en auront l’usage et soumis à des conditions de confidentialité et de déontologie strictes.

D. Sur les droits des personnes

Une information individuelle doit être faite conformément à l’article 14 du RGPD, sauf à démontrer que la fourniture de cette information exigerait des efforts disproportionnés ou risquerait de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement (article 14-5 b) du RGPD. La CNIL prend acte de ce que le CNRS a indiqué procèdera à une information générale sur son site internet dans la mesure où les données de contact ne sont pas collectées lors de la consultation des dossiers de procédure pénale.

Dans la mesure où le traitement concerne en grande partie des personnes mineures, la CNIL souligne l’importance de mettre à disposition de ces personnes une information simple et pédagogique, adaptée à la tranche d’âge. Cette information devra expliquer clairement, en particulier :

• l’objectif poursuivi par le traitement ;
• comment les données ont été recueillies ;
• qui sont les accédants et les destinataires du traitement.

Enfin, l’AIPD devrait préciser les modalités concrètes d’exercice des droits (précision des droits applicables, des modalités d’exercice du droit à l’effacement, de l’adresse de contact, etc.).

E. Sur les mesures de sécurité

Le traitement projeté, qui inclut notamment des données sensibles relatives à des personnes vulnérables, a fait l’objet d’une AIPD.

Les données seront collectées sur des postes de travail sous la responsabilité du CNRS. Ceux-ci seront sans connexion internet et sans ports utilisables.

Les données seront supprimées des postes de collecte après avoir été copiées sur un disque dur chiffré du CNRS, au plus tard une semaine après la collecte. La consultation, la manipulation du versement des données et l’analyse des données seront réalisées sur ce disque dur, par un unique chercheur dûment habilité y accédant via un poste de travail coupé de tout réseau.

Les données devront être chiffrées avec des algorithmes et des procédures de gestion de clés conformes à l’annexe B1 du référentiel général de sécurité, tant au niveau des bases de données que des sauvegardes. Les postes de travail devront mettre en œuvre un verrouillage automatique de session, disposer d’un antivirus et de logiciels régulièrement mis à jour.

Il appartient au responsable de traitement de procéder à une réévaluation régulière des risques pour les personnes concernées et une mise à jour, le cas échéant, de ces mesures de sécurité.

Les autres dispositions du projet de recherche n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis