| 18 octobre 2009 | JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE | Texte 22 sur 51 |
Sur ce dernier point, le ministère de l’intérieur, de l’outre-mer et des collectivités territoriales a indiqué que la notion d’origine géographique était susceptible de faire référence à « un lieu de résidence ou à une origine commune en France ou à l’étranger ». La commission estime que les données pouvant être enregistrées au titre de l’origine géographique, qui constitue une nouvelle catégorie juridique de données, devraient être de nature factuelle et objective, conformément à la jurisprudence du Conseil constitutionnel telle qu’elle résulte de la décision DC 2007-557 du 15 novembre 2007 (loi relative à la maîtrise de l’immigration, à l’intégration et à l’asile).
Sur les différentes catégories de données (article 2 du projet de décret) :
La commission prend acte des précisions apportées par le ministère de l’intérieur selon lesquelles les données relatives au « comportement » des personnes ne feront pas faire apparaître de données « sensibles » et que celles portant sur les « antécédents judiciaires » ne feront référence qu’à des faits et non à des condamnations pénales, en application de l’article 777-3 du code de procédure pénale.
Elle considère, en outre, que l’inscription dans le traitement du « motif de l’enregistrement » constitue une garantie dès lors qu’il permet de vérifier que l’inscription est liée à la finalité du traitement et qu’il permet de préciser en quoi la personne peut porter atteinte à la sécurité publique.
La commission observe qu’il est fait mention d’une nouvelle catégorie de données, dénommée « activités publiques », par rapport à la rédaction du décret du 27 juin 2008. Selon le ministère de l’intérieur, elle vise à collecter des données utiles qui ne pourraient pas être collectées au titre de l’activité professionnelle, stricto sensu, des personnes concernées.
Elle considère néanmoins que, pour lui permettre d’assurer pleinement sa mission de contrôle des conditions d’application a posteriori de ces dispositions, la nature exacte des données susceptibles d’être enregistrées sous cette catégorie devrait être mieux définie.
Sur les mineurs (article 5 du projet de décret) :
Comme dans le décret du 27 juin 2008, la collecte des données peut concerner les mineurs âgés de treize ans et plus.
Lors de son avis du 16 juin 2008, la commission avait rappelé que le traitement de telles données appelait l’adoption de garanties renforcées. Un tel traitement devait, en conséquence, être encadré dans le projet de décret par des dispositions particulières et précises, de façon à lui conserver un caractère exceptionnel et une durée de conservation spécifique. À cet égard, la commission relève que des garanties ont été apportées par rapport au décret « EDVIGE ».
En effet, le décret du 27 juin 2008 n’ayant prévu aucune disposition en la matière, la commission avait obtenu de la part du Gouvernement qu’il définisse, dans la première version du projet de décret portant création du traitement « EDVIRSP », un régime particulier de durée de conservation s’agissant des données relatives aux mineurs.
Le projet de décret « EDVIRSP » transmis à la commission le 19 septembre 2008 prévoyait que les données enregistrées au titre de la finalité relative à la prévention des atteintes à la sécurité publique ne pouvaient être conservées au-delà du dix-huitième anniversaire, sauf si un élément nouveau justifiant un enregistrement au même titre était intervenu dans les deux années précédentes. Dans ce cas, elles pouvaient être conservées jusqu’au vingt et unième anniversaire.
À la demande de la commission, le Gouvernement a accepté de modifier ce projet en définissant une durée fixe de conservation de trois ans à compter du dernier événement ayant justifié un enregistrement dans le traitement.
La commission prend acte de ce que le présent projet de décret reprend les dispositions cette rédaction, qui est de nature à garantir, de façon plus effective, les droits des mineurs concernés. Elle souligne néanmoins que l’enregistrement de telles données devrait conserver un caractère exceptionnel.
La commission prend également acte de ce que, comme indiqué aux termes de l’article 9 du projet de décret, l’application de l’effacement des données relatives aux mineurs devra faire l’objet de développements particuliers dans le rapport annuel que le directeur général de la police nationale adressera chaque année à la CNIL.
Sur les durées de conservation (article 4 du projet de décret) :
Lors de sa délibération du 16 juin 2008, la commission avait regretté que le décret portant création du traitement « EDVIGE » ne comporte aucune indication sur la durée de conservation des données. Aussi relève-t-elle avec intérêt que l’article 4 du projet de décret dispose que lesdites données ne pourront être conservées « plus de dix ans après l’intervention du dernier événement ayant donné lieu à un enregistrement ».
De même, aux termes de sa délibération sur le fichier « EDVIGE », la commission avait rappelé que le principe d’exactitude et de mise à jour des données constituait « une des conditions de licéité des traitements de données personnelles et une garantie essentielle pour les citoyens ». Elle avait ainsi estimé que, compte tenu de la sensibilité des données traitées et des finalités poursuivies, le décret devait prévoir la mise en œuvre, sous le contrôle de la commission, d’une procédure de mise à jour et d’apurement des fichiers.
À cet égard, la commission prend acte de ce que l’article 9 du projet de décret relatif aux modalités de contrôle fait état de ce que le rapport annuel élaboré par le directeur général de la police nationale devra également indiquer « les procédures suivies par les services gestionnaires pour que les données enregistrées soient en permanence exactes et non excessives au regard des finalités pour lesquelles elles sont collectées ».
