Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
Chapitre Ier : Principes et définitions
1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le cas où la loi prévoit que l'interdiction visée au I ne peut être levée par le consentement de la personne concernée ;
2° Les traitements nécessaires à la sauvegarde de la vie humaine, mais auxquels la personne concernée ne peut donner son consentement par suite d'une incapacité juridique ou d'une impossibilité matérielle ;
3° Les traitements mis en oeuvre par une association ou tout autre organisme à but non lucratif et à caractère religieux, philosophique, politique ou syndical :
- pour les seules données mentionnées au I correspondant à l'objet de ladite association ou dudit organisme ;
- sous réserve qu'ils ne concernent que les membres de cette association ou de cet organisme et, le cas échéant, les personnes qui entretiennent avec celui-ci des contacts réguliers dans le cadre de son activité ;
- et qu'ils ne portent que sur des données non communiquées à des tiers, à moins que les personnes concernées n'y consentent expressément ;
4° Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée ;
5° Les traitements nécessaires à la constatation, à l'exercice ou à la défense d'un droit en justice ;
6° Les traitements nécessaires aux fins de la médecine préventive, des diagnostics médicaux, de l'administration de soins ou de traitements, ou de la gestion de services de santé et mis en oeuvre par un membre d'une profession de santé, ou par une autre personne à laquelle s'impose en raison de ses fonctions l'obligation de secret professionnel prévue par l'article 226-13 du code pénal ;
7° Les traitements statistiques réalisés par l'Institut national de la statistique et des études économiques ou l'un des services statistiques ministériels dans le respect de la loi n° 51-711 du 7 juin 1951 sur l'obligation, la coordination et le secret en matière de statistiques, après avis du Conseil national de l'information statistique et dans les conditions prévues à l'article 25 de la présente loi ;
8° Les traitements nécessaires à la recherche dans le domaine de la santé selon les modalités prévues au chapitre IX.
III. - Si les données à caractère personnel visées au I sont appelées à faire l'objet à bref délai d'un procédé d'anonymisation préalablement reconnu conforme aux dispositions de la présente loi par la Commission nationale de l'informatique et des libertés, celle-ci peut autoriser, compte tenu de leur finalité, certaines catégories de traitements selon les modalités prévues à l'article 25. Les dispositions des chapitres IX et X ne sont pas applicables.
IV. - De même, ne sont pas soumis à l'interdiction prévue au I les traitements, automatisés ou non, justifiés par l'intérêt public et autorisés dans les conditions prévues au I de l'article 25 ou au II de l'article 26.
Délibération n° 2008-174 du 16 juin 2008 portant avis sur un projet de décret en Conseil d'Etat portant création au profit de la direction centrale de la sécurité publique d'un traitement automatisé de données à caractère personnel dénommé « EDVIGE »
1. De centraliser et d'analyser les informations relatives aux personnes physiques et morales ayant sollicité, exercé ou exerçant un mandat électif, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif, afin de donner au Gouvernement ou à ses représentants tous les éléments utiles à leur action ;
2. De centraliser et d'analyser les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l'ordre public.
3. De permettre aux services de police d'exécuter les enquêtes administratives qui leur sont confiées, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l'exercice des fonctions ou des missions envisagées.
S'agissant de cette troisième finalité, la commission observe que l'exécution par les services de police des enquêtes administratives peut nécessiter la collecte, le traitement et l'analyse de données sur les personnes postulant à l'exercice de certaines missions ou fonctions, lorsque la nature de celles-ci l'exige, pour des emplois publics participant à l'exercice des missions de souveraineté de l'Etat, pour des emplois publics ou privés relevant du domaine de la sécurité ou encore, lorsque les circonstances particulières dans lesquelles elles doivent se dérouler comportent des risques d'atteinte à l'ordre public ou à la sécurité des personnes et des biens.
Elle estime toutefois souhaitable qu'une procédure d'apurement des informations soit déterminée dès lors que l'enquête administrative a donné lieu à un avis favorable et que la personne concernée a été recrutée ou retenue pour la mission considérée.
De façon générale, elle considère que, au regard des missions dévolues à la DCSP, telles qu'elles sont énoncées aux termes du projet de décret portant modification du décret du 2 octobre 1985, il y aurait lieu de préciser les conditions et la nature des enquêtes administratives susceptibles d'être réalisées ainsi que les types d'emplois ou de fonctions pour lesquels la DCSP peut se voir confier lesdites enquêtes.
Sur les données conservées :
Les catégories de données à caractère personnel enregistrées dans le traitement, concernant des personnes physiques âgées de 13 ans et plus, seraient les suivantes : informations ayant trait à l'état civil et à la profession ; adresses physiques, numéros de téléphone et adresses électroniques ; signalement, photographies (données non biométriques) et comportement ; titres d'identité ; immatriculation des véhicules ; informations fiscales et patrimoniales ; déplacements et antécédents judiciaires ; motif de l'enregistrement des données ; données relatives à l'environnement de l'individu si elles sont nécessaire à la poursuite des finalités définies ci-dessus.
Sur les catégories de données :
Sur le signalement :
La commission observe qu'il n'est pas précisé, aux termes du projet de décret, ce que recouvrent les éléments de « signalement », lesquels étaient jusqu'alors définis comme des « signes physiques particuliers, objectifs et inaltérables », conformément à l'article 2 du décret n° 91-1051 du 14 octobre 1991 visé plus haut.
Elle relève, en outre, que la collecte, la conservation et le traitement des données précitées n'étaient jusqu'alors autorisées que s'agissant de personnes qui pouvaient, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l'Etat ou à la sécurité publique, par le recours ou le soutien apporté à la violence ainsi que pour les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec celles-ci, en application des dispositions de l'article 3 (1°) du décret précité.
Outre qu'elle juge nécessaire que la nature des données enregistrées sous couvert de la catégorie « signalement » soit déterminée aux termes du projet de décret, la commission estime que lesdites données ne devraient pouvoir être collectées qu'au titre de la deuxième finalité, c'est-à-dire lorsqu'elles concernent des individus qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l'ordre public.
Sur la photographie :
La commission prend acte de ce que le traitement ne comportera pas de dispositif de reconnaissance faciale à partir de la photographie et de la modification du projet de décret en ce sens.
Sur le comportement et les déplacements :
La commission relève que, jusqu'à présent, ces données n'étaient enregistrées que dans le fichier informatisé du terrorisme, à l'exclusion des autres fichiers des renseignements généraux.
La commission estime que lesdites données ne devraient pas pouvoir être enregistrées dans le traitement « EDVIGE » au titre de la première finalité.
Sur les titres d'identité et les informations fiscales et patrimoniales :
La commission observe que le traitement EDVIGE ne pourra être alimenté par le biais d'autres traitements automatisés de données à caractère personnel, ni par interconnexion, ni par simple rapprochement.
S'agissant des données relatives aux titres d'identité, la commission prend acte de ce qu'elles ne pourront être enregistrées dans le traitement EDVIGE que dans la mesure où les titres précités auront été présentés par les personnes titulaires de ces titres.
S'agissant des informations fiscales et patrimoniales, la commission prend acte de ce qu'elles ne porteront que sur des éléments fournis par les personnes concernées ou relevant du domaine public et qu'elles n'auront d'autre objet que de donner des informations sur le train de vie desdites personnes.
Sur les antécédents judiciaires :
La commission prend acte de ce que, conformément aux dispositions de l'article 777-3 du code de procédure pénale s'agissant de la catégorie de données relative aux « antécédents judiciaires », il ne pourra être fait mention dans le traitement d'aucune condamnation et que cette catégorie de données ne concernera que des faits susceptibles de recevoir une qualification pénale.A cet égard, la commission relève que, selon le ministère de l'intérieur, le traitement ne pourra être alimenté par des données provenant d'autres fichiers de police, ni par interconnexion ni par simple rapprochement.
― sur les données relatives à l'environnement de l'individu :
S'agissant des « données relatives à l'environnement de l'individu », qui, selon le ministère de l'intérieur, devraient concerner notamment son appartenance éventuelle à des associations ou mouvements ainsi que des données relatives à des personnes avec lesquelles il est en relation, la commission prend acte de ce que le ministère a accepté de modifier l'article 2 du projet de décret qui précise désormais : « données relatives à l'environnement de l'individu, notamment aux personnes physiques entretenant ou ayant entretenu des relations directes et non fortuites avec l'individu concerné, si elles sont nécessaires à la poursuite des finalités définies à l'article 1er ».
Elle observe néanmoins que la collecte et le traitement de telles données n'étaient jusqu'alors autorisées que pour les personnes qui pouvaient, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l'Etat ou à la sécurité publique.
A cet égard, la commission tient à souligner que ces données ne devraient pas pouvoir être enregistrées dans le traitement « EDVIGE » au titre de la première finalité.
― sur les motifs d'enregistrement :
La commission prend acte de l'engagement pris par le ministère de l'intérieur de ce que les motifs d'enregistrement seront déterminés en fonction des finalités du traitement définies aux termes de l'article 1er du projet de décret.
Sur les données sensibles relevant de l'article 8 de la loi du 6 janvier 1978 modifiée :
Aux termes de l'article 2 du projet de décret, il est indiqué que le traitement pourra « enregistrer des données à caractère personnel de la nature de celles mentionnées à l'article 8 de la loi du 6 janvier 1978 », c'est-à-dire « celles qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale, ou qui sont relatives à la santé ou à la vie sexuelle ».
A cet égard, la commission tient à souligner que les conditions d'enregistrement de ce type de données étaient plus strictement définies aux termes du décret n° 91-1051 du 14 octobre 1991, dans un souci de préservation des libertés individuelles et de protection de la vie privée, se limitant en particulier aux « activités politiques, philosophiques, religieuses ou syndicales » des personnes majeures.
Aussi, tout en prenant acte de ce que le projet de décret interdit de sélectionner une catégorie particulière de personnes à partir de ces seules informations, la commission souhaite que le projet de décret définisse explicitement la nature des données relevant de l'article 8 qui seraient susceptibles d'être enregistrées au titre de chacune des finalités énoncées à l'article 1er du projet de décret et précise, en outre, que lesdites données ne pourront être enregistrées que dans la stricte mesure où les finalités du traitement l'exigent.
La commission estime que les cas exceptionnels dans lesquels les données sensibles, au sens de l'article 8 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, et notamment celles touchant à l'origine raciale ou ethnique, à la santé ou à la vie sexuelle des personnes, seraient susceptibles d'être recueillies devraient être étroitement définis.
La commission tient à rappeler, à cet égard, que, conformément à l'article 6 de la loi du 6 janvier 1978 modifiée par la loi du 6 août 2004, les données collectées et conservées doivent être adéquates, pertinentes et non excessives au regard des finalités.
Aucun commentaire:
Enregistrer un commentaire