• Home  / 
  • DELIBERATION 03-029

DELIBERATION 03-029

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie pour avis par le ministère de l'économie, des finances et de l'industrie d'un projet d'arrêté "portant création à la direction générale des douanes et droits indirects d'un système informatisé concourant au dispositif de lutte contre les fraudes" (SI LCF), que complètent les autres documents inclus dans la demande d'avis du ministère,

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données,

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les articles 34 et 39, ensemble le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des dispositions de la loi précitée,

Vu le code des douanes communautaire,

Vu le code des douanes, notamment les articles 65 A bis, 350, 392 et suivants et 464,

Vu le code général des impôts, notamment l'article 1649 quater A,

Vu le livre des procédures fiscales, notamment les articles L. 80 J et L. 83 A,

Vu l'arrêté du 23 avril 1993 relatif au Fichier national informatisé de documentation de la direction générale des douanes et droits indirects,

Après avoir entendu Monsieur Jean-Pierre de LONGEVIALLE, commissaire, en son rapport et Madame Charlotte-Marie PITRAT, commissaire du Gouvernement, en ses observations,

FORMULE LES OBSERVATIONS SUIVANTES :

Le système d'information SI LCF développé par la direction générale des douanes et droits indirects (DGDDI) est appelé à remplacer, au terme d'une période d'expérimentation, l'actuel fichier national informatisé de documentation (FNID) qui a donné lieu à deux avis de la CNIL en date des 5 février 1980 et 17 mars 1992. Il a la même finalité générale - apporter une aide à la bonne exécution des missions de recherche, de constatation, de poursuite et de répression des fraudes qui sont confiées à la douane, notamment dans le cadre de ses compétences en matière économique, fiscale et de protection de l'espace national et communautaire - et sensiblement le même périmètre.

Par rapport au FNID, le nouveau système d'information national vise à améliorer, d'une part, la saisie des données relatives aux fraudes constatées - qui sera directement effectuée par les services de contrôle dans les cinq jours suivant la constatation - et des éléments susceptibles de permettre la détection des risques de fraude - dont certains n'étaient pas jusqu'à présent traités sur support informatique -, d'autre part, leur exploitation par un plus grand nombre d'agents des douanes, notamment ceux des services spécialisés dans l'analyse des risques de fraude et le traitement du renseignement qui contribuent à l'orientation des contrôles douaniers. Une plus grande efficacité dans la recherche des infractions que la douane est habilitée à constater en est attendue.

La CNIL considère qu'une telle centralisation d'informations nominatives et leur mise à la disposition d'un grand nombre de destinataires potentiels appellent nécessairement à la vigilance et à la reconnaissance de garanties sérieuses destinées à prévenir :

- tout fichage de personnes non contrôlé, erroné ou abusif,

- toute utilisation d'un tel traitement à des fins étrangères à celles qui ont légalement été prévues,

- toute mise à la disposition d'un agent des douanes d'informations dont il n'a pas à connaître pour l'accomplissement des missions qui lui sont dévolues,

- toute transmission d'informations à des tiers qui serait dépourvue d'un fondement juridique ou qui serait excessive au regard des dispositions légales.

1. Sur l'alimentation du système d'information

1.1. Les personnes concernées

Le projet d'arrêté transmis à la CNIL énumère à l'article 2 les différentes catégories de personnes pour lesquelles des informations directement ou indirectement nominatives peuvent être enregistrées.

1.1.1. La catégorie la plus importante en nombre est celle des personnes impliquées dans une ou plusieurs fraudes constatées par la douane, pour lesquelles des "fiches de constatations réalisées" sont directement saisies dans le SI LCF, que les actes de poursuite ultérieurs incombent ou non à la douane. Parmi celles-ci, il y a lieu de distinguer :

1° Les personnes dont la participation dans la fraude a été directement constatée lors des contrôles physiques de la douane ou à partir des déclarations en douane effectuées, y compris sur le fondement de présomptions légales, telles que les détenteurs des marchandises de fraude, les capitaines de navires, les commandants d'aéronefs, les signataires des déclarations, les commissionnaires en douane agréés et les soumissionnaires.

La CNIL fait observer que ne peuvent être inscrits à ce titre dans le SI LCF que des noms tirés des déclarations en douane ou figurant dans un acte de procédure se présentant sous la forme d'un procès verbal de constatation ou de saisie régulièrement établi ou de tout autre acte de constatation ou de règlement transactionnel pouvant être assimilé à des procès verbaux.

Il est précisé par la direction générale des douanes qu'aucune information ne doit être saisie dans le SI LCF lorsque les agents des douanes se contentent de procéder à la retenue provisoire des personnes aux fins de mise à disposition d'un officier de police judiciaire sur le fondement du signalement dont elles font l'objet dans le système d'information Schengen ou dans un fichier du ministère de l'intérieur ou du signalement d'une marchandise dont elles sont détentrices.

2° Les personnes autres que celles déjà mentionnées qui sont réputées par la loi pénalement responsables d'une fraude constatée, telles que, pour ce qui concerne les seuls délits douaniers, les personnes "intéressées à la fraude" au sens de l'article 399 du code des douanes, notamment celles ayant un intérêt direct à la fraude.

La CNIL fait observer que ne peuvent être inscrites à ce dernier titre que des personnes ayant eu conscience de coopérer à une opération irrégulière pouvant aboutir à une fraude dont les noms figurent dans les pièces de procédure rédigées par la douane.

1.1.2. Le SI LCF permet la collecte d'informations sur des personnes qui sont seulement soupçonnées de fraude.

La CNIL considère qu'aucune personne ne doit faire l'objet d'un avis de fraude ou d'une enquête sur la base d'un simple soupçon ou d'une dénonciation malveillante ou non étayée. Le dispositif conçu par la douane est de nature à garantir le respect de ces conditions, dès lors que le projet d'arrêté qui lui est soumis précise que :

- seules les personnes à l'encontre desquelles existent une ou plusieurs raisons plausibles de leur implication dans une fraude peuvent faire l'objet d'une fiche de risque de fraude ou d'une demande d'enquête ;

- seules des informations enrichies puis validées par un service national ou régional, spécialisé dans l'analyse du risque et le traitement du renseignement peuvent faire l'objet d'une enquête ou d'un avis de fraude consultable par les services investis d'une mission de contrôle, notamment les services de surveillance et les services de contrôle des opérations commerciales et des contributions indirectes.

La catégorie des personnes détentrices d'une marchandise qui a fait l'objet, au cours d'un contrôle, d'un prélèvement d'échantillons aux fins d'analyse et d'expertise par un laboratoire des douanes peut être rapprochée de celle des personnes à l'égard desquelles existent des risques de fraude.

1.1.3. Les autres informations nominatives ne sont liées à aucune fraude constatée ou soupçonnée. Elles concernent, outre les différentes catégories d'agents des douanes mentionnées à l'article 2 :

- les personnes qui ont déclaré à la douane, en application de l'article 464 du code des douanes, un transfert de sommes, titres ou valeurs à destination ou en provenance de l'étranger, effectué sans l'intermédiaire d'un établissement de crédit ou assimilé,

- les personnes autres que celles déjà mentionnées, qui sont tenues solidairement pour le paiement des droits et taxes éludés, pénalités et autres sommes dues par les personnes responsables d'une fraude.

La CNIL estime que le regroupement dans un même système d'information de données se rapportant à des catégories de personnes aussi diverses n'est pas, par elle-même, contraire à la loi du 6 janvier 1978, si l'enregistrement des informations les concernant est adéquat, pertinent et non excessif au regard de l'une ou l'autre des finalités précises du traitement, si la durée de leur conservation sous forme nominative est elle-même chaque fois pertinente au regard des finalités qui en ont justifié la saisie, si la consultation de chaque catégorie de signalements n'est ouverte qu'aux seules personnes dûment habilitées pour en connaître, et si tout risque de confusion sur le motif de l'enregistrement est écarté chez les utilisateurs des informations. C'est notamment au regard de ces règles que la CNIL a examiné la conformité du projet de la DGDDI à la loi du 6 janvier 1978.

1.2. Les catégories d'informations traitées :

Les informations relatives aux fraudes constatées se rapportent aux éléments matériels de la fraude, aux personnes impliquées, à la nature de la fraude et à la qualification de l'infraction. Elles sont enregistrées par le service ayant effectué les constatations, puis complétées par des données relatives au suivi du dossier contentieux, notamment en cas de procédures juridictionnelles, et aux opérations de recouvrement, saisies ultérieurement par les services contentieux des directions régionales des douanes et par les recettes des douanes.

Par dérogation, les constatations d'infraction auxquelles l'administration décide de ne pas donner de suites contentieuses ne se traduiront que par la conservation d'informations non nominatives, à moins que les nécessités du recouvrement ultérieur des droits et taxes dus n'imposent de disposer de l'identité des redevables.

La CNIL prend acte que le SI LCF ne doit comporter aucune indication sur les condamnations pénales prononcées à l'encontre des auteurs d'infraction, à l'exception des condamnations pécuniaires dont le produit est recouvré par la douane, ni aucune donnée sensible au sens de l'article 31 de la loi du 6 janvier 1978.

La CNIL recommande à la douane d'être tout spécialement vigilante à l'égard du contenu des zones de commentaires qui sont surtout développées pour les risques de fraude. L'avant-dernier alinéa de l'article 3 du projet d'arrêté dispose que ces zones de texte libre ne comportent pas d'autres catégories d'information que celles énumérées au même article.

La CNIL prend acte que la DGDDI diffusera une instruction rappelant notamment que ces zones ne doivent, en aucun cas, intégrer de données mentionnées aux articles 18 et 31 de la loi du 6 janvier 1978. Le dispositif de validation systématique par un service spécialisé de la plupart des informations enregistrées, notamment des données sur les constatations réalisées et les signalements de fraude, permet d'assurer le respect de ces dispositions.

2. Sur la mise à jour des informations enregistrées

Aux termes de l'article 37 de la loi du 6 janvier 1978, un fichier nominatif doit être complété ou corrigé même d'office lorsque l'organisme qui le tient acquiert la connaissance de l'inexactitude ou du caractère incomplet d'une information qui y figure. Il appartient au responsable du traitement d'organiser les circuits d'informations et les mécanismes de surveillance qui lui permettront de donner toute sa portée à cette disposition.

Il convient d'abord que la douane rappelle aux administrations et organismes qui lui transmettent des informations qu'ils doivent porter à sa connaissance toute mise à jour ou actualisation des informations communiquées dont ils seraient informés.

Par ailleurs, le projet d'arrêté prévoit l'effacement pur et simple de l'ensemble des informations relatives aux personnes bénéficiant d'une mesure d'amnistie ou d'une décision de justice définitive ne retenant pas leur responsabilité dans la commission des infractions initialement relevées à leur encontre.

Cependant, les conditions de mise à jour des informations pour tenir compte des décisions de justice se présentent différemment selon que les informations conservées dans le SI LCF se rapportent à des fraudes poursuivies et réprimées par la douane ou à des fraudes dont la poursuite ne relève pas de ses missions.

Lorsque les services du contentieux des directions régionales de la douane sont en charge des poursuites - en présence de contraventions ou délits douaniers ou de délits concernant les contributions indirectes ou les réglementations assimilées -, il leur appartiendra de mettre à jour ou de supprimer sans délai les informations enregistrées sur la base des décisions de justice devenues définitives, tout particulièrement des décisions de relaxe ou d'acquittement et des décisions de non-lieu, ainsi que de s'assurer de la concordance entre la qualification juridique des faits qui figure dans le SI LCF et celle retenue par la juridiction.

Lorsque le rôle de la DGDDI se limite normalement à transmettre la procédure au parquet territorialement compétent et, s'il y a lieu, à d'autres autorités administratives désignées par la loi, les services de la douane risquent de ne pas être informés des suites judiciaires réservées aux fraudes constatées qui sont enregistrées dans le SI LCF.

C'est pourquoi il a paru nécessaire de prévoir, pour les fraudes dont la poursuite n'incombe pas à la douane, la mise en place d'une procédure spéciale, annuelle, d'actualisation des informations nominatives à partir de données obtenues des autorités judiciaires, dont l'organisation suppose en conséquence la coopération des parquets. En l'absence de réponse de ces derniers, le projet d'arrêté dispose, à la demande de la CNIL, que les informations directement ou indirectement nominatives sont effacées au terme d'un délai de 18 mois à compter de leur dernière actualisation. La CNIL considère que la mise en oeuvre effective de ce dispositif est seule de nature à assurer le respect des prescriptions de l'article 37 de la loi du 6 janvier 1978. Elle demande donc à être informée annuellement des diligences accomplies par la DGDDI pour assurer la mise à jour et l'apurement des informations nominatives conservées dans le SI LCF. Le projet d'arrêté devra être complété sur ce point.

3. Sur la durée de conservation des informations

Le projet d'arrêté prévoit que les informations nominatives relatives aux fraudes constatées ne peuvent pas être conservées au-delà d'un délai de dix ans à compter de l'année de la constatation. Cette durée est réduite à cinq ans pour les informations relatives à des contraventions ayant donné lieu à une amende, recouvrée par la douane, inférieure à 1000 euros.

Cependant, pour les personnes récidivistes, la durée de conservation la plus longue calculée sur la base des règles précitées est appliquée à l'ensemble des informations relatives aux fraudes dont elles sont responsables. Il convient cependant que cet allongement de la durée de conservation soit sans incidence sur les délais appliqués aux signalements dont font l'objet les co-responsables des mêmes fraudes lorsque aucune nouvelle infraction ne leur est imputée.

Par ailleurs, si dans les délais précités, le paiement de la totalité des sommes dues au titre des droits, taxes, amendes et pénalités n'a pas pu être obtenu, les informations nécessaires au recouvrement des sommes restant dues sont conservées jusqu'à leur complet paiement.

Les informations nominatives relatives à l'existence d'un risque de fraude, à une demande d'enquête, à une demande d'analyse ou d'expertise d'une marchandise, ainsi qu'au respect de l'obligation déclarative des mouvements de sommes, titres ou valeurs ne sont pas normalement conservées au-delà de trois ans. Par exception, ce délai peut être renouvelé une fois pour autant que, s'agissant d'une demande d'enquête, les premières diligences aient été accomplies, ou que, pour les données relatives à un risque de fraude, des éléments objectifs nouveaux concernant la même personne aient été enregistrés.

Il ressort également du projet d'arrêté que les informations nominatives traitées par les services spécialisés d'enquête ne sont pas conservées après la conclusion de l'enquête qui a justifié leur recueil, à l'exception de celles qui sont reprises dans des fiches de constatations réalisées, qui en suivent le régime.

La CNIL considère que les durées de conservation appliquées à chacune des catégories d'informations précitées ne sont pas excessives, dès lors que les règles retenues tiennent compte de leur nature, des finalités qui en justifient l'enregistrement, de la qualification juridique des faits auxquels elles se rapportent, des conséquences qui leur sont attachées, ainsi que des antécédents de la personne concernée.

4. Sur l'utilisation du SI LCF et les destinataires des informations

4.1. L'utilisation du traitement par les agents des douanes

Le SI LCF est d'abord destiné à être utilisé au sein de la DGDDI au titre de la constatation des fraudes. Il doit permettre aux agents dûment habilités qui sont investis d'une mission de lutte contre la fraude, notamment à ceux des services de surveillance et des services de contrôle des opérations commerciales et des contributions indirectes, d'enregistrer les éléments matériels des constatations auxquelles ils ont procédé.

La CNIL rappelle que ces données devront exclusivement provenir de procès-verbaux de constatation ou de saisie, de documents établis à l'occasion d'un règlement transactionnel ou de tout autre acte de constatation également formalisé.

Les mêmes informations sont également destinées à être exploitées et complétées par les agents habilités des services du contentieux des directions régionales des douanes pour la gestion des transactions et des procédures juridictionnelles et le contrôle de l'exécution des décisions de justice. De même, les agents habilités des recettes des douanes compétentes pour procéder au recouvrement des droits et taxes éludés, des pénalités et autres sommes dues sont destinataires des informations y afférant et les complètent à ce titre.

Cependant, la finalité principale du SI LCF consiste, pour la DGDDI, dans la recherche des fraudes, qui constitue l'unique justification de la saisie d'un grand nombre d'informations.

Certaines de ces informations ne peuvent être consultées que par les agents habilités des services régionaux ou nationaux spécialisés dans l'analyse du risque et le traitement du renseignement, qui sont chargés de leur analyse et de leur enrichissement. Elles sont relatives non seulement aux signalements de risque de fraude, mais aussi aux déclarations de transfert de sommes, titres ou valeurs à destination ou en provenance de l'étranger, déposées en application de l'article 464 du code des douanes, qui sont susceptibles de fournir des indices de réseaux de blanchiment.

Ces informations restent réservées à ces services aussi longtemps qu'ils ne les ont pas reprises sous la forme de fiches d'enquête ou d'avis de fraude comportant éventuellement l'identité de personnes à contrôler. Par exception, les agents des services ayant signalé un risque de fraude ont toujours la possibilité d'accéder aux informations s'y rapportant.

D'autres informations peuvent être consultées, pour favoriser le ciblage des contrôles douaniers, par l'ensemble des agents investis d'une mission de lutte contre la fraude : il s'agit des avis de fraude validés par les services d'analyse des risques de fraude et des informations relatives aux éléments matériels et aux auteurs des fraudes antérieurement constatées.

Le traitement permet le suivi du déroulement des enquêtes, les agents dûment habilités des services d'enquête y enregistrant et y consultant les informations correspondant aux investigations qui leur ont été confiées. Les agents des autres services sont seulement informés qu'une personne fait l'objet d'une demande d'enquête.

Les agents habilités des laboratoires des douanes peuvent, en outre, consulter et compléter les informations relatives aux demandes d'analyse et d'expertise d'une marchandise.

Le SI LCF doit enfin faciliter le pilotage des actions de la douane en matière de lutte contre la fraude. C'est à ce titre que les agents dûment habilités de l'administration centrale chargés de cette mission ont accès à l'ensemble des informations du SI LCF et que les autorités hiérarchiques des services peuvent accéder à l'ensemble des informations relatives à l'activité des services qui relèvent de leur compétence.

Par ailleurs, la CNIL prend acte des précisions apportées par l'administration selon lesquelles les agents des douanes habilités à effectuer des enquêtes judiciaires, dont les compétences sont fixées par l'article 28-1 du code de procédure pénale, n'ont pas directement accès au SI LCF.

4.2. Les utilisations externes des informations contenues dans le SI LCF

Une proportion non négligeable des informations nominatives enregistrées est susceptible d'être communiquée à des partenaires extérieurs, français, communautaires ou étrangers.

Cette perspective appelle à une vigilance particulière. En effet, toute cession d'informations, en particulier vers l'étranger, peut entraîner un risque de détournement de finalité ou de mise en péril des informations dont il s'agit.

Par ailleurs, le SI LCF constitue un fichier d'infractions. Or, la CNIL veille à ce que de tels fichiers, qui peuvent permettre de répertorier l'ensemble des procédures dans lesquelles une même personne a pu être mise en cause, ne soient pas utilisés comme des casiers judiciaires parallèles, alors même qu'ils n'offrent pas les mêmes garanties que le casier judiciaire en termes de certitude de la culpabilité et d'effacement des informations lorsque la loi le prévoit.

La CNIL prend acte de ce que les cessions d'informations aux partenaires de la douane dans le cadre de coopérations instituées sont, à la date de la présente délibération, celles prévues par le projet d'arrêté. Elles bénéficient :

- à la direction générale des impôts, pour les déclarations de transfert de sommes, titres ou valeurs à destination ou en provenance de l'étranger, les informations relatives aux sommes qui n'ont pas donné lieu au dépôt de la déclaration requise, ainsi que les informations destinées à prévenir les manquements aux règles de facturation dans les échanges intra communautaires,

- aux agents de la cellule Tracfin, pour les informations susceptibles d'être utilisées dans la lutte contre le blanchiment de capitaux,

- aux services habilités de la Commission européenne, pour les informations relatives aux constatations de fraude portant sur un montant de droits de douane supérieur à 10.000 euros et aux cas de fraude ou d'irrégularité concernant le FEOGA-Garantie lorsque les montants en jeu sont égaux ou supérieurs à 4000 euros.

Il ressort cependant du dossier que d'autres cessions d'informations sont envisagées à brève échéance, par exemple avec Europol. La CNIL rappelle que toute modification de l'actuel dispositif de transfert d'informations au bénéfice d'une administration, nationale ou communautaire, quel que soit le support utilisé, ne peut intervenir qu'après avoir fait l'objet d'une déclaration de modification.

Le projet d'arrêté prévoit, de manière générale, que des informations peuvent être cédées aux autorités étrangères des Etats et organismes intergouvernementaux liés à la France par un accord international ou un instrument communautaire leur permettant de connaître, dans la limite des dispositions prévues par ces textes, des informations recueillies par la DGDDI.

La CNIL prend acte, s'agissant des transferts d'informations à destination de services étrangers, que la DGDDI s'assurera de la pertinence des données demandées aux regard des accords conclus et de l'existence, à destination, de garanties équivalentes à celles du droit interne en matière de protection des données à caractère personnel. Elle note également qu'aucune transmission d'informations nominatives vers l'étranger ne sera réalisée sur le seul fondement du paragraphe 6 de l'article 65 du code des douanes.

La CNIL considère que les extractions de fichiers d'informations directement ou indirectement nominatives effectuées en vue de leur transmission à toute administration nationale, communautaire, étrangère ou internationale doivent être réalisées par l'intermédiaire et sous le contrôle du bureau de l'administration centrale chargé du pilotage de la lutte contre la fraude. Compte tenu du caractère évolutif et de la relative imprécision du dossier sur ce point, la CNIL ne peut émettre un avis favorable qu'à la condition de recevoir chaque année de la DGDDI la liste exhaustive des extractions effectuées et de leurs bénéficiaires. Le projet d'arrêté devra être modifié sur ce point.

Par ailleurs, les informations sont communicables aux parquets ainsi que, sous réserve qu'une enquête judiciaire soit diligentée, aux agents des douanes habilités pour mener des enquêtes judiciaires ou aux officiers de police judiciaire compétents, notamment à ceux des offices centraux de police judiciaire lorsque les textes qui les régissent le prévoient.

La CNIL fait observer que les seules informations qui peuvent être jointes aux dossiers de procédure transmis aux parquets sont celles relatives aux procédures en cours, à l'exclusion de celles concernant les affaires pour lesquelles la procédure judiciaire est close.

De même, lorsque la douane n'est pas compétente pour la poursuite des infractions qu'elle a constatées, elle communique aux administrations ou services intéressés les informations correspondantes lorsque les dispositions légales le permettent.

S'agissant de la communication ponctuelle d'informations à des administrations ou organismes tiers autorisés, par exemple en application d'un droit de communication ou de pouvoirs d'enquête, la CNIL rappelle que les tiers autorisés ne peuvent bénéficier de transferts d'informations qu'en réponse à des demandes ponctuelles, portant sur une affaire ou une personne déterminée, et trouvant leur fondement légal dans un texte attribuant au bénéficiaire, par exemple, un droit général de communication ou d'investigation.

Il en résulte que des informations ne doivent être transmises à un tiers autorisé que sur présentation d'une demande formalisée qui devra être conservée. Le motif de la recherche d'informations saisi à cette occasion devra préciser l'organisme à l'origine de la requête, son étendue et son fondement juridique.

La CNIL souhaite qu'une instruction, régulièrement tenue à jour, soit consacrée au recensement de l'ensemble des circonstances dans lesquelles les services douaniers ont l'obligation ou la faculté de transmettre à d'autres administrations des informations nominatives portant sur les constatations effectuées par la douane ou sur les risques de fraude. Elle souhaite également avoir connaissance de ce document, dont l'élaboration lui semble une priorité, qui devrait apporter une aide aux agents des douanes saisis de demandes de communication et prévenir toute transmission à des tiers non autorisés des informations nominatives détenues par la DGDDI.

5. Sur le contrôle de l'utilisation et de la transmission des informations

Les seules personnes à pouvoir bénéficier d'un accès direct au SI LCF sont les agents de la DGDDI dûment habilités, sous réserve qu'ils puissent se connecter au système informatique suivant une procédure d'identification individuelle. Les autres destinataires ne peuvent avoir communication d'informations que sur la base d'extractions, à l'exclusion de toute connexion directe au SI LCF.

Le SI LCF comportant des données confidentielles, la douane met en place un dispositif spécifique de sécurité et de surveillance, afin de garantir le respect des règles relatives à la consultation et à l'exploitation des informations enregistrées dans la base et, par voie de conséquence, la protection des données qui y sont conservées.

Ce dispositif de journalisation des interrogations comporte l'enregistrement, sur un support inaltérable, pour chaque intervention d'un agent dans le SI LCF - notamment, les intégrations, consultations, modifications et annulations d'informations - de l'identité de l'auteur de la requête, du motif précis et concret invoqué à l'appui de la recherche - qui sera obligatoirement saisi avant son lancement - et, lorsque celle-ci est effectuée pour le compte d'une personne n'appartenant pas à la DGDDI, de son fondement juridique.

Ces informations sont conservées pendant cinq ans et pourront être utilisées pour des besoins d'audit hiérarchique, à des fins statistiques ou de contrôle par les autorités judiciaires. Elles pourront également être consultées et exploitées par la CNIL dans l'exercice de ses missions de contrôle.

La CNIL prend acte de ce dispositif mais estime qu'il doit être complété par des procédures de contrôle a posteriori. Elle recommande, à cet égard, le développement de logiciels d'analyse des fichiers de traces permettant notamment d'identifier les accès à un dossier particulier ainsi que les actions - mise à jour, consultation, recherche ... - réalisées par un utilisateur, et que la mise en oeuvre, à une fréquence à déterminer, de ces logiciels d'analyse soit confiée à une structure indépendante, telle que l'inspection générale des services, et porte au moins sur 1 % des interrogations de la base.

La CNIL suggère également que toute première connexion au traitement provoque l'affichage d'une page écran informant les utilisateurs que les données de connexion permettant d'identifier les interrogations et leur auteur sont conservées pendant cinq ans et que l'ensemble des agents des douanes en soit par ailleurs informé par une circulaire rappelant que toute consultation du fichier à des fins étrangères aux finalités mentionnées dans l'arrêté portant création du SI LCF constitue le délit de détournement de finalité réprimé par l'article 226-21 du code pénal.

La CNIL demande également que le responsable du traitement, représenté par le service en charge du pilotage de la lutte contre la fraude, l'informe chaque année des diligences accomplies pour vérifier la correcte utilisation du traitement et le contrôle des interrogations. Le projet d'arrêté devra être modifié sur ce point.

6. Sur les autres mesures de sécurité

La Commission recommande un renforcement du dispositif assurant la sécurité et la confidentialité d'ensemble du réseau Intranet du SI LCF par le chiffrement du transport des données, par exemple au moyen du protocole SSL associé à une clé d'une longueur de 128 bits.

Pour les postes de travail fixes, la fiabilité du procédé d'authentification du couple nom/mot de passe devrait être renforcée par :

- l'obligation d'utiliser des mots de passe d'une longueur d'au moins huit caractères,

- l'interdiction d'utiliser des mots de passe trop faciles à deviner, tels que les nom, prénom et date de naissance,

- l'obligation de renouveler le mot de passe une fois tous les deux mois,

- l'impossibilité de réutiliser les trois mots de passe précédemment utilisés lors du renouvellement d'un mot de passe,

- l'invalidation du code d'accès au SI LCF de l'utilisateur après plus de trois essais de connexion successifs infructueux,

- la déconnexion automatique après une durée d'inactivité à déterminer,

- l'affichage, lors de la connexion, de la date et l'heure de la précédente connexion effectuée à partir du même compte.

La Commission recommande enfin le renforcement par un procédé d'authentification fort, par exemple à base de carte à puce associée ou non à un identifiant biométrique, des contrôles d'accès au SI LCF dans les situations les plus exposées, notamment :

- en cas d'utilisation de micro-ordinateurs portatifs ou d'autres dispositifs mobiles pour l'accès au traitement,

- pour les personnels disposant de droits privilégiés d'accès aux données du SI LCF, tels que les super-utilisateurs, administrateurs système et gestionnaires de la base de données.

7. Sur la mise en oeuvre des droits d'accès et de rectification et l'information des personnes

Le projet d'arrêté prévoit que les droits d'accès et de rectification s'exercent auprès des directions régionales des douanes, même si la DGDDI souhaite assurer la cohérence des décisions relatives au droit d'accès, en confiant à un seul service de l'administration centrale le soin de leur répondre.

Lorsque la douane estime que tout ou partie des informations demandées intéresse la sûreté de l'Etat, la défense ou la sécurité publique au sens de l'article 39 de la loi du 6 janvier 1978 ou sont couvertes par une règle de secret résultant d'une convention internationale, elle transmet la demande à la CNIL. Celle-ci délimite, le cas échéant, les informations qui sont communicables de plein droit par application de l'article 34 et celles qui relèvent de la procédure de l'article 39 modifié.

La CNIL recommande, par ailleurs, que les personnes concernées soient informées de l'existence du traitement SI LCF et des modalités d'exercice des droits qui leur sont reconnus par les articles 34 et suivants de la loi du 6 janvier 1978, d'une part, par une mention sur les documents qui leur sont adressés par la douane lors de la constatation d'une fraude et sur les formulaires de déclaration des transferts de capitaux et, d'autre part, par l'affichage de l'arrêté portant création du traitement dans les locaux de la douane ouverts au public et via le site Internet de la douane.

AU BENEFICE DES OBSERVATIONS ET RECOMMANDATIONS QUI PRECEDENT, LA COMMISSION EMET UN AVIS FAVORABLE sur le projet d'arrêté du ministère de l'économie, des finances et de l'industrie relatif au traitement SI LCF de la direction générale des douanes et droits indirects sous réserve de l'adjonction, avant le dernier article, d'un nouvel article ainsi rédigé :

"La Commission nationale de l'informatique et des libertés recevra chaque année un rapport décrivant la liste des extractions de données effectuées en vue de leur transmission à toute administration nationale, communautaire, étrangère ou internationale, ainsi que les diligences faites pour assurer la vérification, la mise à jour et l'apurement du traitement et le contrôle des interrogations".

Le Président, Michel GENTOT

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: