LA PROTECTION DES DONNEES PERSONNELLES AU MINISTERE DE L'INTERIEUR

Détenteur de très nombreux fichiers sensibles, aussi bien policiers qu’administratifs, le ministère de l’intérieur accorde une attention particulière à la protection des données personnelles.

Les traitements de données personnelles se sont multipliés dans l’administration depuis 40 ans. Même si ce sont désormais les pratiques des GAFAM qui occupent le devant de la scène médiatique, l’État doit lui aussi s’organiser pour garantir les droits et les libertés des personnes à l’occasion du traitement de leurs données.

L’origine de la protection des données

En 1974 éclatait le scandale SAFARI, du nom du fichier sur la population que le ministère de l’intérieur projetait de réaliser. Même si rétrospectivement l’étendue de ce fichier peut sembler insignifiante (la capacité de mémoire du super-ordinateur utilisé, dont il « saut[ait]aux yeux » qu’elle « risqu[ait] de porter gravement atteinte aux libertés, et même à l’équilibre des pouvoirs politiques »¹, était de 2 Go…), l’émotion publique conduisit le gouvernement à mettre un terme au projet, et à adopter une loi pour encadrer l’usage de l’informatique et pour garantir les droits et les libertés des personnes.

Le souci de protection des données personnelles constitue ainsi, bien naturellement, une conséquence du développement de l’informatique et des capacités de surveillance que cette dernière apporte aux États. Rappelons qu’on appelle donnée personnelle, toute information relative à une personne physique vivante, identifiée ou identifiable.

La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, fut ainsi adoptée initialement en réaction aux projets du ministère de l’intérieur. Elle prévoyait notamment la création d’une autorité administrative indépendante, la Commission nationale de l’informatique et des libertés (CNIL). Il s’agissait là d’une innovation surprenante dans un État historiquement centralisé comme le nôtre : une administration indépendante de l’État, et plus encore, une administration instituée pour surveiller l’État !

Cette loi instituait un certain nombre de principes toujours en vigueur concernant les obligations des responsables de traitements, ainsi que les droits des personnes concernées : information des personnes, droit d’accès aux données et de rectification, limitation de la durée de conservation… Afin d’encadrer les nouveaux développements de l’informatique, il était prévu des consultations systématiques de la CNIL préalablement à tout nouveau projet.

Ces principes furent généralisés dans toute l’Union européenne par la directive 95/46/CE du 24 octobre 1995, qui ajoutait notamment à ces principes l’obligation pour chaque État membre d’instituer une ou plusieurs autorités de contrôle indépendantes.

Le cadre juridique issu de la loi de 1978 et de la directive de 1995 fut celui appliqué jusqu’en 2018. Toutefois, ce cadre conçu dans les années 1970 et 1980 n’avait pas prévu les problématiques du Web, des réseaux sociaux, des moteurs de recherche, des smartphones, du Big Data, du quantified self… et encore moins de l’internet des objets. Ses critères d’applicabilité territoriale, basés sur la présomption que les acteurs et les serveurs étaient localisés sur le territoire national, étaient rendus inopérants par l’arrivée des technologies du cloud computing et du Web. En outre, les sanctions prévues en cas d’infraction n’étaient pas dissuasives pour les GAFAM (amendes limitées à 150 000 euros pour la CNIL). Il était donc nécessaire d’adopter un texte mieux adapté au monde actuel : le règlement général sur la protection des données (RGPD).

Le RGPD

Entré en application le 25 mai 2018 dans toute l’Union européenne, le RGPD conserve les principes fondamentaux en vigueur depuis 40 ans, mais apporte plusieurs innovations dans l’organisation à mettre en œuvre pour assurer la protection des données.

Le RGPD remplace la logique de contrôle préalable des traitements par la CNIL, par une obligation pour chaque organisme d’adopter des mesures pour garantir sa conformité, et de documenter cette organisation, afin d’être en mesure de la prouver à tout instant. A cet effet, il est notamment institué l’obligation de tenir un registre décrivant tous les traitements de données. Dans le cas où un traitement présente un risque élevé pour les droits ou les libertés des personnes, il est nécessaire de réaliser une analyse d’impact. Son objectif est de recenser les menaces et de prévoir les mesures de sécurité permettant de réduire les risques pour les droits et les libertés à un niveau acceptable. Une nouvelle fonction est créée, le délégué à la protection des données, dont la mission consiste à informer et à conseiller le responsable, à veiller à la conformité de l’organisme, et à servir d’interlocuteur avec la CNIL et avec le public. Ce délégué est indépendant de sa hiérarchie dans l’exercice de ses missions : il ne reçoit aucune instruction de sa direction générale. Dans un certain nombre de situations (autorités publiques, traitements à risque élevé), la désignation d’un délégué est obligatoire. Plus de 50 000 organismes ont déjà désigné un délégué en France. Enfin, toute violation grave de la sécurité des données doit être notifiée à la CNIL.

De nouveaux droits sont reconnus aux personnes, dans certains cas particuliers, par exemple la portabilité des données fournies dans le cadre d’un contrat.

Le RGPD rééquilibre les relations entre donneurs d’ordres et sous-traitants, en accroissant les responsabilités de ces derniers, ce qui est logique à l’époque du cloud computing et des applications sur étagère que le client n’a pas la capacité d’auditer. Il introduit également la possibilité de partager la responsabilité d’un traitement entre plusieurs organismes.

Malgré un intense lobbying des GAFAM, le RGPD prévoit de lourdes sanctions en cas de non-respect de ses dispositions : les CNIL peuvent infliger jusqu’à 20 millions d’euros d’amende ou, si le montant est plus élevé pour une entreprise, 4% de son chiffre d’affaires mondial. Des actions de groupe sont également rendues possibles.

Le ministère de l’intérieur, un cadre juridique inhabituel

Le RGPD couvre la totalité des traitements dans le secteur privé ; toutefois, au ministère de l’intérieur, il n’en concerne que la moitié. En effet, le RGPD ne s’applique pas à deux catégories de traitements présents dans ce ministère : d’une part les traitements de données d’infractions pénales et de lutte contre les menaces à la sécurité publique, et d’autre part les traitements de défense nationale ou de sûreté de l’État. Or ces deux catégories de traitements sont évidemment bien représentées au ministère de l’intérieur, qui cumule fichiers administratifs, policiers, et de renseignement. S’il partage certains de ces textes avec d’autres ministères (la justice et les douanes pour les traitements d’infractions pénales, les armées pour les traitements de défense), l’Intérieur est sans doute le seul organisme à disposer des trois bases juridiques pour ses traitements de données personnelles, ce qui nécessite une solution sur mesure. Certains fichiers, comme le fichier des personnes recherchées (FPR), relèvent des trois catégories à la fois.

Outre le RGPD, le ministère de l’intérieur doit donc appliquer :

• Pour les traitements de données d’infractions pénales et de lutte contre les menaces à la sécurité publique, la directive européenne 2016/680 « police-justice » transposée dans la loi Informatique et libertés,

• Pour les traitements de défense nationale ou de sûreté de l’État, qui sortent du champ de compétence de l’Union européenne, le seul droit national.

Chacun de ces deux cadres adapte les droits fondamentaux des personnes évoqués plus haut, et les responsabilités du ministère, aux enjeux que représentent ses finalités. On conçoit ainsi qu’il soit plus difficile pour une personne recherchée par la police d’exiger d’accéder à sa fiche, et qu’elle ne puisse pas exiger de la faire effacer. En contrepartie les traitements soumis à la directive ne peuvent être mis en œuvre qu’après avis de la CNIL et acte réglementaire (arrêté ministériel ou décret en Conseil d’État) systématiques.

Le délégué à la protection des données a compétence sur les traitements de police relevant de la directive, qui sont comme dans le RGPD soumis à registre et à analyse d’impact. En revanche, les traitements de défense ou de sûreté de l’État ne connaissent ni délégué, ni registre, ni analyse, même s’ils demeurent soumis au contrôle de la CNIL.

A cas particulier, organisation particulière

Avec ses 300 000 agents répartis dans plusieurs directions générales d’administration centrale, 101 préfectures et 18 préfectures de régions, le ministère de l’intérieur assure des missions qui couvrent aussi bien la police judiciaire que l’administration (délivrance des titres d’identité et de séjour, permis de conduire, cartes grises…), et dont l’impact sur les données personnelles est très variable. Ces données peuvent d’ailleurs concerner aussi bien des citoyens, des étrangers, des personnes mises en cause dans des affaires de police, ou tout simplement les propres agents du ministère.

Un délégué ministériel à la protection des données a été désigné et placé auprès du Secrétaire général du ministère. Il a compétence sur tous les traitements de données personnelles du ministère (à l’exception des traitements de défense ou de sûreté de l’État). Pour répondre à la spécificité du cadre juridique applicable au ministère de l’intérieur, qui empêche d’utiliser les procédures « prêtes à l’emploi » proposées par la CNIL ou par les consultants en organisation, sa première tâche a été de concevoir une doctrine ad hoc. Celle-ci est formalisée dans une politique ministérielle de conformité, qui traite aussi bien des fichiers de police que des traitements administratifs.

Un réseau de 130 correspondants a été nommé dans tous les services d’administration centrale et déconcentrée. Ceux-ci ont reçu une formation sur mesure, afin de relayer l’action du délégué auprès de leurs services.

La problématique de la protection des données personnelles n’était pas une nouveauté dans ce ministère : après tout, cela faisait 40 ans que la CNIL y veillait tout particulièrement ! Les principes de base de la protection, invariants depuis 1978, sont donc déjà connus et respectés. En revanche, il faut créer ex nihilo les nouveaux outils de la conformité : recensement des traitements et rédaction des registres ; choix a posteriori des nouvelles bases de licéité pour les traitements existants, bases qui conditionnent finement, pour chaque traitement, la détermination des droits des personnes concernées ; réalisation de nombreuses analyses d’impact pour les nouveaux projets aussi bien civils que policiers ; création de procédures de notification à la CNIL des violations de sécurité ; suivi des demandes d’exercice des droits des personnes… Deux chantiers sont à mener de front : la conformité by design des nouveaux projets, mais aussi la conversion de tout l’existant aux nouvelles règles. 

1/ Philippe Boucher, SAFARI ou la chasse aux Français, Le Monde, 21 mars 1974.

Biographie de l'auteur

Ancien élève de Télécom Paris, ingénieur général des mines, docteur en droit, Fabrice Mattatia est délégué ministériel à la protection des données au ministère de l’intérieur. Auteur de nombreux ouvrages sur le droit du numérique (dont RGPD et droit des données personnelles, 3e édition, Eyrolles, 2018), il codirige le mastère spécialisé Data Protection de l’Institut Mines-Télécom Business School.