N° de demande d’avis : 25018419	Thématiques : enquêtes administratives, défense, mises en relation
Organisme(s) à l’origine de la saisine : ministère des armées et des anciens combattants	Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

1. Le traitement projeté vise à faciliter et à améliorer l’efficacité d’enquêtes administratives diligentées par la direction du renseignement et de la sécurité de la défense (DRSD) du ministère des armées ou pour son compte. Son fonctionnement repose sur une mise en relation avec plusieurs traitements afin de vérifier si la personne concernée par une enquête figure ou non dans l’un d’eux.

2. La CNIL estime que les finalités du traitement sont légitimes et que les données collectées sont pertinentes et nécessaires pour y répondre.

3. Il conviendrait néanmoins de modifier le projet de décret pour davantage expliciter les finalités et préciser certaines catégories de destinataires.

4. Au regard de la diversité des données susceptibles d’être traitées, de la sensibilité de certaines d’entre elles et de l’impact de leur traitement pour les personnes faisant l’objet d’une enquête, la CNIL considère que des mesures devront être mises en place pour garantir la minimisation et l’exactitude des données.

___________________

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre IV et son article 31 ;

Après avoir entendu le rapport de M^me Sophie Lambremon, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

1. La saisine

A. Le contexte

La direction du renseignement et de la sécurité de la défense (DRSD) est le service de renseignement dont dispose le ministère des armées pour assumer ses responsabilités en matière de sécurité du personnel, des informations, du matériel et des installations sensibles. Parmi ses missions figure la réalisation des enquêtes administratives prévues à l’article L. 114-1 du code de la sécurité intérieure (CSI) et à l’article L. 4123-9-1 du code de la défense (art. D. 3126-5 et s. du même code).

Au regard de l’augmentation du nombre de demandes, et de la diversité des motifs qui fondent les enquêtes administratives, la DRSD a identifié le besoin de recourir à un traitement analogue au dispositif « automatisation de la consultation centralisée de renseignements et de données » (ACCReD) mis en œuvre par le ministère de l’intérieur (v. décret n° 2017-1224 du 3 août 2017). En effet, le ministère des armées ne dispose pas d’outils lui permettant d’interroger directement et simultanément les traitements nécessaires à la réalisation des enquêtes administratives relevant de sa compétence afin de rationaliser ces dernières et d’en réduire la durée.

La CNIL a été consultée à plusieurs reprises sur le dispositif ACCReD du ministère de l’intérieur. A chaque occasion, elle a rappelé que la réalisation d’enquêtes administratives, lesquelles impliquent le traitement de données à caractère personnel sur un nombre de plus en plus important de personnes, doivent s’accompagner de garanties fortes pour assurer que l’atteinte portée aux droits des personnes n’est pas excessive (CNIL, SP, 18 mai 2017, avis sur projet de décret, ACCReD, n° 2017-152, publié ; CNIL, SP, 11 juillet 2019, avis sur projet de décret, ACCReD, n° 2019-096 ; publié ; CNIL, SP, 23 novembre 2023, avis sur projet de décret, ACCReD, n° 2023-122 ; publié).

B. L’objet de la saisine

La CNIL est saisie par le ministère des armées d’une demande d’avis sur un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « Automatisation de la consultation centralisée de renseignements et de données du ministère de la défense » (ACCReD MINDEF). Il en fixe le périmètre et les modalités de mise en œuvre.

Ce traitement a pour objet de rationaliser et d’accélérer le travail d’enquête de la DRSD et, pour le compte de cette dernière, des formations spécialisées de la gendarmerie nationale, en permettant des mises en relation avec les traitements qui apparaissent pertinents au regard des besoins de l’enquête.

Au regard de ses caractéristiques, et dans la mesure où il facilite la réalisation d’enquêtes administratives en vue d’assurer la sûreté de l’Etat et la défense, le traitement « ACCReD MINDEF » relève des dispositions du titre IV de la loi « informatique et libertés ».

En outre, la CNIL a été saisie d’un projet de décret modifiant l’article R. 841-2 du CSI pour soumettre le traitement à la formation spécialisée du Conseil d’Etat qui traite le contentieux des fichiers intéressant la sûreté de l’Etat – ce qui n’appelle pas d’observation particulière.

2. L’avis de la CNIL

A. Sur les finalités du traitement

Le projet de décret prévoit que le traitement a pour finalité de faciliter la réalisation d’enquêtes administratives en application de l’article L. 114-1 du CSI et de l’article L. 4123-9-1 du code de la défense et d’exploiter les informations recueillies dans ce cadre.

D’une part, s’agissant des enquêtes administratives visées à l’article L. 114-1 du CSI, le ministère précise que le traitement sera mis en œuvre dans le cadre des enquêtes par et pour le compte de la DRSD, notamment celles :

— ayant pour finalité de donner accès à un lieu, tel qu’une zone protégée (2° de l’art. R. 114-4 du CSI), un point d’importance vitale (3° de l’art. R. 114-4 du CSI), ou encore une zone militaire placée sous le contrôle de l’autorité militaire (1° de l’art. R. 114-4 du CSI) ;

— ayant pour finalité de délivrer une autorisation ou une habilitation ou de recruter une personne. A titre d’illustration, il pourrait s’agir du recrutement de militaires ou agents civils du ministère des armées (j) et o) du 3° de l’art. R. 114-2 du CSI), ou encore d’une habilitation à accéder aux informations et supports protégés au titre du secret de la défense nationale (a) du 1° de l’art. R. 114-2 du CSI).

D’autre part, les enquêtes relevant de l’article L. 4123-9-1 du code de la défense concernent les personnes accédant aux données à caractère personnel de militaires, aux fins d’identifier si elles constituent une menace pour la sécurité des militaires concernés.

La CNIL estime que ces finalités sont légitimes, au regard tant des missions de la DRSD que du besoin croissant de disposer d’outils permettant d’assurer l’efficacité des enquêtes, du fait de l’augmentation de leur nombre.

Elle invite néanmoins le ministère à mentionner plus précisément, dans le décret, les enquêtes administratives concernées.

B. Sur les mises en relation projetées

Le projet de décret énumère les traitements pouvant être mis en relation avec ACCReD MINDEF, en distinguant :

— les traitements pouvant faire l’objet d’une consultation automatique et, le cas échéant, simultanée ;

— ceux pouvant faire l’objet d’une interrogation non automatisée ;

— et, enfin, le traitement « SOPHIA » faisant l’objet d’une interconnexion avec ACCReD MINDEF.

En premier lieu, la CNIL observe qu’ACCRED MINDEF pourra procéder à l’interrogation automatique de cinq fichiers : le traitement d’antécédents judiciaires, le fichier des personnes recherchées, le traitement « FSPRT », le traitement automatisé des données relatives aux objets et véhicules volés (FOVeS), et le casier judiciaire national automatisé. La CNIL estime que ces mises en relation sont légitimes au regard des missions de la DRSD et du périmètre des enquêtes administratives concernées.

En deuxième lieu, les mises en relation sous la forme d’interrogation non automatisée concernent quatre fichiers intéressant la sûreté de l’Etat ou la défense et pouvant être interrogés par les seuls agents de la DRSD.

La CNIL prend acte de ce que la nécessité de consulter chacun de ces fichiers sera appréciée au cas par cas, selon les besoins de l’enquête.

En troisième lieu, ACCReD MINDEF fera l’objet d’une interconnexion avec le traitement « SOPHIA », lequel permet de transmettre et de suivre les dossiers relatifs aux enquêtes dont la DRSD a la charge, enquêtes qui sont ensuite réalisées grâce à d’autres traitements. SOPHIA a vocation à être alimenté par des données figurant dans ACCReD MINDEF.

La CNIL rappelle que lorsque des traitements sont encadrés par des actes réglementaires, leur mise en relation doit respecter les dispositions régissant chacun des traitements concernés. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés (v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).

Enfin, elle attire l’attention du ministère sur la nécessité de veiller à ce que les données issues d’ACCReD MINDEF qui seraient, le cas échéant, versées dans d’autres fichiers, notamment ceux présentant une sensibilité particulière, y soient conservées pour la seule durée pertinente et nécessaire à la finalité ayant justifié leur transmission.

C. Sur les données collectées

Le projet de décret énumère les catégories de données pouvant être enregistrées dans le traitement.

De manière générale, la CNIL estime que ces données sont adéquates et pertinentes au regard des finalités pour lesquelles elles sont traitées.

Elle relève néanmoins la diversité des catégories de données susceptibles d’être traitées, la sensibilité de certaines d’entre elles, et observe que leur traitement, réalisé dans le cadre d’enquêtes administratives préalables à une décision, peut avoir un fort impact sur les droits et libertés des personnes concernées.

D’une part, des mesures devront être mises en place pour garantir que seules les données nécessaires à la réalisation d’une enquête sont enregistrées, conformément au principe de minimisation. Ainsi :

il conviendra d’assurer une collecte sélective des données eu égard à la nature de l’enquête réalisée ;

s’agissant en particulier de la catégorie relative aux "éléments issus des vérifications complémentaires opérées dans le cadre de l’enquête administrative […]", il conviendra de s’assurer, par exemple via une sensibilisation spécifique des agents, que ces informations se limiteront aux seules données strictement nécessaires pour apprécier que le comportement de la personne concernée n’est ni incompatible avec l’accès ou les fonctions envisagés, ni de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l’Etat.

D’autre part, dans la mesure où les données du traitement sont issues de différents fichiers et que la prise en compte d’informations erronées, ou non à jour, pourrait avoir des conséquences importantes pour les personnes concernées, il conviendra de prendre toutes les mesures nécessaires pour assurer l’exactitude des données enregistrées dans ACCReD MINDEF.

D. Sur les accédants et les destinataires

En premier lieu, le projet de décret prévoit que les catégories d’accédants au traitement sont, d’une part, les agents de la DRSD et, d’autre part, les personnels des formations spécialisées de la gendarmerie nationale relevant de la gendarmerie maritime, de la gendarmerie de l’air et de l’espace et de la gendarmerie de l’armement.

La CNIL prend acte de ce que l’accès des personnels des formations spécialisées de la gendarmerie nationale sera accordé dans le cadre de la réalisation d’enquêtes administratives pour le compte de la DRSD (pour les autorisations d’accès aux enceintes militaires, par exemple).

En second lieu, le projet de décret prévoit, parmi les destinataires des données du traitement, "tout agent d’un service du ministère de la défense, chargé d’effectuer une des enquêtes administratives mentionnées à l’article 1^er , pour les seules données relatives au sens de l’avis ou de la décision".

Dans la mesure où les catégories de destinataires doivent être désignées avec une précision suffisante, la CNIL recommande que le projet de décret, dans la mesure compatible avec les finalités du traitement et la sensibilité des missions des services, précise cette catégorie de destinataires.

E. Sur les mesures de sécurité

La CNIL prend acte de la mise en œuvre d’une gestion fine des droits et des habilitations dans la limite du droit d’en connaitre.

Par ailleurs, elle prend acte de la mise en œuvre d’une authentification multifacteur des accédants au traitement.

S’agissant de la journalisation, le ministère rappelle le fait que l’ensemble des actions réalisées sur l’application sont tracées et enregistrées dans un puits de logs.

La CNIL rappelle néanmoins sa recommandation sur le déploiement d’une mesure technique de surveillance active des journaux applicatifs, en vue de permettre la détection immédiate d’actions malveillantes au sein du traitement.

Elle souligne que cette exigence s’impose d’autant plus que le traitement ACCReD MINDEF traite des données à caractère personnel dont la divulgation serait susceptible d’avoir d’importantes conséquences sur la sécurité des personnes concernées.

Enfin, la CNIL rappelle qu’il conviendra de réactualiser régulièrement les mesures de sécurité encadrant le traitement, afin qu’elles soient continuellement proportionnées aux risques.

La présidente,

M.-L. Denis