Il est rare de voir la CNIL pointer du doigt les ministères pour des défauts de conformité ; pourtant c’est bien ce que cette dernière a fait récemment le 3 avril 2023.
En effet, la CNIL a mis en demeure le ministère de l’Économie, des finances et de la souveraineté industrielle et numérique pour trois manquements :
- Un manquement relatif à la licéité du traitement et à l’absence d’analyse d’impact,
- Un manquement à la distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, et enfin
- Un manquement relatif à l’information des personnes concernées.
Vous vous posez d’ailleurs probablement plusieurs questions : pourquoi la CNIL est-elle compétente pour un Ministère ? Et quels sont les faits ?
Concernant votre première interrogation : la CNIL est une autorité publique indépendante chargée de surveiller l’application de la Loi Informatique et Libertés. Pour rappel, la Loi informatique et Libertés transpose dans le droit français à la fois le RGPD et la Directive « Police Justice » : la CNIL est compétente pour vérifier l’application de ces deux textes.
La lecture de la Loi Informatique et Libertés montre assez rapidement que tout organisme établi en France, à l’exception des juridictions pour les opérations de traitement effectuées par les juridictions dans l’exercice de leur fonction juridictionnelle, est concerné par l’application de ce texte. On en profite pour vous rappeler que la CNIL a déjà sanctionné le ministère de l’Intérieur le 12 janvier 2021 pour l’utilisation de drone équipé de caméras lors du confinement, et le 24 septembre 2021 pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Ici, la mise en demeure s’intéresse à l’application de la Directive « Police Justice » par le ministère de l’Economie. En effet, dans sa décision de mise en demeure (Décision MED-2023-018 du 3 avril 2023), la CNIL vérifie dans un premier temps quelle est la loi applicable en la matière : RGPD ou Directive « Police-Justice » ?
Comme elle le rappelle, l’applicabilité de la Directive dépend de deux critères :
- La ou les finalités des activités de traitement d’une part, et
- La qualité du responsable de traitement d’autre part.
Si on essaie de synthétiser son champ d’application, la directive encadre les traitements de données à caractère personnel mis en œuvre par « les autorités compétentes » et « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales.
- Les autorités « compétentes » visées sont ici les autorités judiciaires, la police ou autres autorités répressives, et plus largement tout organisme remplissant l’exercice de l’autorité publique et des prérogatives de puissance publique.
- Les finalités renvoient souvent aux questions pénales (répression, etc.) mais aussi aux activités préventives (protection contre les menaces pour la sécurité publique, etc.)
Dans notre cas d’espèce, la CNIL s’intéresse au fichier « SIRENE » mis en œuvre pour le compte de l’Etat, par le biais de La Direction nationale garde-côtes des douanes, rattachée à la DGDDI (la Direction générale des douanes et des droits indirects). Ce fichier répond à trois objectifs :
- Contribuer à la recherche, la constatation et la répression des fraudes douanières sur le vecteur maritime dans le cadre des compétences de la direction générale des douanes et droits indirects en matière de protection de l’espace national et communautaire ;
- Collecter des informations se rapportant à des risques de fraude sur le vecteur maritime, en présence d’une ou plusieurs raisons plausibles de soupçonner l’existence d’une infraction douanière, sur la base d’informations recueillies par les services douaniers ou de contrôles réalisés ” ;
- Fiabiliser l’intégration, l’enrichissement et la conservation du renseignement maritime douanier à des fins de mutualisation entre services douaniers chargés de la lutte contre la fraude.
Ces finalités correspondant à celles inclues dans le champ d’application de la Directive « Police-Justice » et le fichier étant mis en œuvre pour le compte de l’Etat, la CNIL conclut à l’application de la Directive.
Cette Directive, pour rappel, avec le RGPD, constitue notre Paquet de protection des données à caractère personnel. Bien que les champs d’application varient, le contenu de ces deux textes est très similaire ou se complète sur plusieurs aspects. Ainsi, les manquements sanctionnés sont des défauts que vous pouvez rencontrer avec le RGPD à l’exception du deuxième, cité plus haut.
En effet, la CNIL reproche un manquement à la distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées. Il s’agit d’une particularité de la Directive qui impose « une distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées, telles que :
- Les personnes à l’égard desquelles il existe des motifs sérieux de croire qu’elles ont commis ou sont sur le point de commettre une infraction pénale ;
- Les personnes reconnues coupables d’une infraction pénale ;
- Les victimes d’une infraction pénale ou les personnes à l’égard desquelles certains faits portent à croire qu’elles pourraient être victimes d’une infraction pénale ;
- Les tiers à une infraction pénale, tels que les personnes pouvant être appelées à témoigner lors d’enquêtes en rapport avec des infractions pénales ou des procédures pénales ultérieures, des personnes pouvant fournir des informations sur des infractions pénales ou des contacts ou des associés de l’une des personnes mentionnées aux 1° et 2°. »
En l’espèce, la CNIL a pu constater que cette distinction n’avait pas été correctement réalisée dans le fichier SIRENE et impose au ministère de corriger cet écueil.
Les autres manquements sont eux en revanche assez communs, mais le premier manquement reste propre à la Directive. En effet, la « licéité » du traitement est ici remise en cause par la CNIL. Pourquoi ? Il faut en fait ici s’intéresser à la base juridique du fichier SIRENE ; ou plutôt à ce qu’elle devrait être. Si on synthétise de nouveau ce qui est transposé dans la Loi Informatique et Libertés, un texte législatif ou règlement devrait autoriser et encadrer le traitement de données mis en œuvre via le fichier SIRENE ; en l’espèce seul un projet d’acte règlementaire existe. En bref : le fichier ne dispose pas de la base juridique adéquate… Elle n’existe même pas !
C’est pour ces raisons que la CNIL a prononcé une mise en demeure contre le ministère de l’Economie qui prévoit que le ministère dispose d’un délai de six mois pour édicter un acte législatif ou règlementaire après avis de la CNIL portant création du SIRENE ; et à défaut, cesser de procéder au traitement des données en cause. En outre, les autres défauts cités plus haut devront bien entendu être corrigés ; chose que la CNIL vérifiera à la fin du délai des six mois. Si les défauts persistent, on peut d’ores et déjà imaginer une sanction plus sévère de la part de la CNIL qui pourra être l’interdiction pure et simple de traiter des données à caractère personnel avec le fichier SIRENE.
Cette mise en demeure est intéressante pour plusieurs raisons : elle nous rappelle l’intérêt que porte la CNIL pour toute entité, publique comme privée, indépendamment des secteurs d’activités ressortant de son programme de contrôle annuel. Elle nous rappelle aussi la portée des règles en matière de protection des données et nous incite à rester vigilants pour tous nos traitements !
Et vous ? Avez-vous trouvé cette mise en demeure intéressante ? N’hésitez pas à nous partager vos avis !
