• Home  / 
  • DELIBERATION 2007-001

DELIBERATION 2007-001

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Saisie par le ministère de l'intérieur d'une demande d'avis sur le projet de décret pris pour l'application des dispositions du dernier alinéa du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Vu la convention n°108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel.

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;

Après avoir entendu M. François GIQUEL, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du gouvernement, en ses observations ;

Emet l'avis suivant :

La Commission a été saisie, le 17 octobre 2006, par le ministère de l'intérieur d'un projet de décret pris pour l'application des dispositions du dernier alinéa du I de l'article 30 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Le dernier alinéa du I de l'article 30 de la loi du 6 janvier 1978 dispose que "Les demandes d'avis portant sur les traitements intéressant la sûreté de l'Etat, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d'information énumérés ci-dessus. Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés, fixe la liste de ces traitements et des informations que les demandes d'avis portant sur ces traitements doivent comporter au minimum". Cet alinéa a été introduit par l'article 13 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme et portant diverses dispositions relatives à la sécurité et aux contrôles frontaliers.

La Commission rappelle que le troisième alinéa de l'article 19 de la loi du 6 janvier 1978 disposait, dans sa version antérieure à la loi du 6 août 2004, que : "Peuvent ne pas comporter certaines des mentions énumérées ci-dessus les demandes d'avis relatives aux traitements automatisés d'informations nominatives intéressant la sûreté de l'Etat, la défense et la sécurité publique" mais il n'avait toutefois pas été repris par la loi du 6 août 2004 modifiant la loi du 6 janvier 1978.

La Commission constate que l'article premier du projet de décret énumère huit textes réglementaires concernant des traitements pour lesquels seules certaines informations seront communiquées à la CNIL :

- décret portant application aux fichiers gérés par la direction de la surveillance du territoire (DST) des dispositions de l'article 31 (3e alinéa) de la loi n° 78-17 du 6 janvier 1978 ;

- décret portant application des dispositions de l'article 31 (3e alinéa) de la loi n° 78-17 du 6 janvier 1978 aux fichiers d'information nominative mis en oeuvre par la direction générale de la sécurité extérieure (DGSE) ;

- décret portant application des dispositions de l'article 31 (3e alinéa) de la loi n° 78-17 du 6 janvier 1978 aux fichiers de direction de la protection et de la sécurité de la défense (DPSD) ;

- décret portant application des dispositions de l'article 31 de la loi n° 78-17 du 6 janvier 1978 au fichier d'informations nominatives mis en oeuvre par la direction du renseignement militaire (DRM) ;

- arrêté relatif au traitement automatisé d'informations nominatives mis en oeuvre par la direction de la protection et de la sécurité de la défense (DPSD) ;

- arrêté relatif au traitement automatisé d'informations nominatives "fichier de la DGSE" mis en oeuvre par la direction générale de la sécurité extérieure ;

- arrêté relatif au traitement automatisé d'informations nominatives "fichier du personnel de la DGSE" mis en oeuvre par la direction générale de la sécurité extérieure , arrêté relatif au traitement automatisé d'informations nominatives de personnes étrangères mis en oeuvre par la direction du renseignement militaire (DRM).

Ces traitements sont identiques à ceux qui étaient énumérés à l'article premier du décret n° 86-326 du 7 mars 1986.

Le texte dont la Commission est saisie constitue aussi le projet de décret d'application des dispositions des articles 26-III et 44-IV de la loi du 6 janvier 1978. En effet l'article 2 du projet de décret dispose que les actes réglementaires de ces traitements ne seront pas publiés et l'article 3, prévoit que ces mêmes traitements ne seront pas soumis aux pouvoirs de contrôle sur place de la Commission.

La Commission regrette que le projet de décret ne comporte pas de disposition définissant les informations devant figurer dans les dossiers de demandes d'avis portant sur ces traitements comme le prévoit cependant l'article 30 de la loi du 6 janvier 1978 modifiée. A cet égard, le projet de rapport au Premier ministre joint au projet de décret précise que la liste des informations communicables à la Commission figurera dans le projet de décret modifiant le décret du 20 octobre 2005 pris en application de la loi du 6 août 2004.

La Commission estime que pour respecter l'intention du législateur et assurer une complète transparence à l'égard des citoyens sur l'étendue du régime dérogatoire dont peuvent bénéficier certains traitements intéressant la sûreté de l'Etat, la défense et la sécurité publique, le projet de décret devrait comporter en son article premier une référence explicite aux dispositions du décret du 20 octobre 2005 modifié qui fixeront la liste des informations communicables. Elle considère donc qu'il y a lieu d'appeler l'attention des ministères de l'intérieur et de la justice sur ce point.

La Commission rappelle, en outre, qu'elle a demandé, dans sa délibération du 26 septembre 2006 sur le projet de décret modifiant le décret du 20 octobre 2005, que figurent parmi les informations devant au minimum être transmises à la Commission, les éléments suivants :

- l'identité et l'adresse du responsable du traitement ;

- la ou les finalités du traitement, s'il y a lieu, la dénomination du traitement, ainsi que la description générale de ses fonctions ;

- le cas échéant, les interconnexions, les rapprochements ou toutes autres formes de mise en relation avec d'autres traitements ;

- les catégories de personnes concernées par le traitement ; la durée de conservation des informations traitées ;

- le ou les services chargés de mettre en oeuvre le traitement ;

- les catégories de personnes qui, à raison de leurs fonctions ou pour les besoins du service, ont directement accès aux données enregistrées ;

- les destinataires ou catégories de destinataires habilités à recevoir communication des données ;

- le service auprès duquel s'exerce le droit d'accès visé à l'article 41 de la loi du 6 janvier 1978 susvisée, ainsi que les mesures prises pour faciliter l'exercice de ce droit.

La Commission souligne à nouveau que ces éléments sont indispensables à l'exercice plein et entier des missions de contrôle préalable que lui a confiées le législateur.

Elle rappelle enfin que conformément à l'article 26 III de la loi du 6 janvier 1978, le sens des avis qu'elle a émis sur les actes autorisant les traitements susvisés devra être publié, en même temps que le décret autorisant la dispense de publication de ces actes.

Le président, Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: