Annonce

Toutes les lois & décrets relatifs à l'exercice de l'activité de la recherche privée. A lire sur : TEXTES DE LOIS

#1 22-05-2008 11:02:37

Cnsp-Arp
Administrateur
Localisation: Paris
Inscrit(e): 23-08-2007
Site Web

21/05/2008 - La Cnil sanctionne un cabinet de recherche de débiteurs

Certains cabinets de recherches de débiteurs dans la tourmente :-)

La Cnil sanctionne !


La Cnil a écrit:

Poursuivant son action visant à faire respecter la loi «informatique et libertés» dans le domaine de la recherche des débiteurs, la CNIL a décidé, le 25 octobre 2007, une sanction de 10 000 à l'encontre de la société BetM en raison des manquements à la loi « informatique et libertés ».

Lors d'un contrôle de la CNIL au sein de la société B&M, spécialisée dans la recherche de débiteurs, il est apparu que les recherches de coordonnées de ces personnes présentaient de nombreux manquements à la loi « informatique et libertés ».

A partir d'éléments fournis par  des créanciers ou des cabinets de recouvrement de créances, la société B&M procédaient à  des enquêtes approfondies (recherche d'adresse, coordonnées de l'employeur, niveau de solvabilité de l'employeur…)

Contrairement aux dispositions de la loi « informatique et libertés », aucune déclaration préalable de ce type d'informations n'avait été effectuée auprès de la CNIL.Les procédures de recueil de coordonnées en vigueur dans la société B&M, en se présentant sous le nom d'organisme divers (clinique, mutuelle de santé…) par des scripts téléphoniques conduisant à   étaient également manifestement illicites. Enfin, les mesures de sécurité mises en œuvres pour protéger les fichiers étaient insuffisantes et aucune durée de conservation des données n'avait été définie.

La CNIL a donc adressé une mise en demeure à B&M à laquelle celle-ci ne s'est que partiellement conformée. En effet, des mentions contraires à loi à la loi «informatique et libertés» (par exemple, des  numéros de sécurité sociale) continuaient d'apparaître dans les fichiers de B&M,. De plus, les techniques de recherche  n'avaient pas été suffisamment modifiées.

Compte tenu de la gravité de ces manquements, la Commission a prononcé à l'encontre de la société B&M une sanction pécuniaire de 10 000 euros.

Sources : Site internet de la Cnil


CNSP-ARP - Chambre Professionnelle des Détectives Français - Activité libérale et juridique privée
Site Web du CNSP-ARP Blog du CNSP-ARP
Page Facebook
Téléphone : 0 820 69 62 15    (0,112 Ttc/Mn depuis un poste fixe)

Hors ligne

#2 23-05-2008 21:00:39

Michel
Membre
Inscrit(e): 11-05-2008

Re: 21/05/2008 - La Cnil sanctionne un cabinet de recherche de débiteurs

Par une délibération du 25 octobre 2007 (n° 2007-322) la Commission nationale de l'informatique et des libertés (CNIL) a finalement sanctionné une entreprise qui ne s'était pas strictement conformée à ses recommandations.

En 2005, après une première mission de vérification sur place, la CNIL l'avait mise en demeure tant de proscrire des pratiques illégales qu'à veiller à assurer la protection adéquate aux données confidentielles qu'elle conserve, une absence de définition de durée(s) de conservation ayant par ailleurs été notée.
En 2006, répondant à la mise en demeure, la société avait indiqué par courrier avoir procédé aux corrections nécessaires afin de se conformer aux recommandations de la CNIL.
En 2007, s'étant à nouveau rendus dans les locaux de la société afin de procéder, notamment, à de nouvelles extractions de fichiers et vérifier dans quelle mesure les engagements pris dans le courrier de 2006 avaient bien été respectés, les services de la CNIL constatèrent qu'ils ne l'avaient pas tous été.

1. PREMIERE MISSION DE LA CNIL

En application d'une décision de son président du 30 novembre 2005, une délégation de la CNIL avait procédé à une mission de vérification sur place le 9 décembre 2005 auprès de cette entreprise spécialisée dans la recherche de débiteurs.

A l'occasion des vérifications menées, la délégation de la Commission avait pu constater que la SARL concernée était mandatée par des créanciers, par des cabinets de recouvrement de créances ou par d'autres agences de recherches privées afin de procéder à certaines diligences visant à retrouver les coordonnées de débiteurs dont les créanciers précités ont perdu la trace.
La société est ainsi destinataire de fiches (envoyées par voie postale ou électronique) résumant les éléments d'identification du débiteur connus par le créancier (dernière adresse connue, identité du dernier employeur, etc.) sur la base desquelles celle-ci est mandatée afin de procéder à une enquête (recherche d'adresse, des coordonnées de l'employeur, du niveau de solvabilité du débiteur, etc.).
Sur la base de ces premières informations, les enquêteurs de la société procèdent aux recherches demandées. Une fois les renseignements obtenus, ceux-ci sont intégrés dans une application informatique de gestion des enquêtes puis sont communiqués au créancier (au moyen d'un rapport papier ou de l'envoi de fichiers informatiques).

Au cours de cette mission, il fut constaté ou observé :

a) Qu'aucune déclaration n'avait été adressée à la CNIL par la société.

Les informations recueillies et conservées sur les débiteurs dans des traitements de données à caractère personnel doivent, conformément aux dispositions de la loi du 6 janvier 1978 modifiée le 6 août 2004, faire l'objet d'une déclaration préalable auprès de la CNIL.

b) Que la société mettait en oeuvre des procédures visant à retrouver l'adresse de débiteurs en utilisant des scripts téléphoniques dont l'utilisation avait manifestement pour but de procéder à des appels téléphoniques auprès de certaines administrations en usurpant certains titres ou fonctions afin d'obtenir de façon détournée des informations sur les personnes recherchées. De même, des copies d'annuaires téléphoniques internes ou de notes attestant de l'existence de contacts pris entre les enquêteurs et certains professionnels soumis à une obligation de secret professionnel, afin d'obtenir des renseignements sur des débiteurs, avaient pu être effectuées lors du contrôle.

Aux termes de l'article L.621-1 du code de la sécurité intérieure, l'activité d'agent de recherches privées est définie comme "la profession libérale qui consiste, pour une personne, à recueillir, même sans faire état de sa qualité ni révéler l'objet de sa mission, des informations ou renseignements destinés à des tiers, en vue de la défense de leurs intérêts". Ce faisant, le code précité offre notamment la possibilité pour les agents de recherches privées de procéder à des appels aux tiers, sans révéler leur identité réelle, afin d'obtenir des informations sur un débiteur. Néanmoins, si le code de la sécurité intérieure permet aux agents de recherches privées de ne pas faire état de leur qualité ni révéler l'objet de leur mission, elle ne les autorise en aucune manière à adopter des procédures qui seraient manifestement illicites, s'agissant notamment de l'usurpation de titres ou de fonctions afin d'obtenir des informations à caractère confidentiel issues des traitements pour lesquelles l'agent de recherches privées ne peut être considéré comme un tiers autorisé.
La société ne respectait ainsi manifestement pas les dispositions du 1° de l'article 6 de la loi du 6 janvier 1978 modifiée, qui dispose que "les données sont collectées et traitées de manière loyale et licite".

c) Que l'outil de gestion informatisée des enquêtes comprenait parfois le numéro de sécurité sociale des débiteurs recherchés.

L'article 25 de la loi du 6 janvier 1978 modifiée soumet à autorisation préalable de la CNIL l'utilisation dans un fichier du numéro d'inscription au Répertoire national d'identification des personnes physiques. Or, la société n'était pas autorisée à utiliser ce numéro dans ses traitements automatisés ou manuels. La collecte et l'enregistrement du numéro de sécurité sociale par la société n'étaient donc pas conformes au 1° de l'article 6 et à l'article 25 de la loi du 6 janvier 1978 modifiée le 6 août 2004.

d) Que la durée de conservation appliquée aux données collectées et enregistrées n'était, en aucune manière, définie par la société.

En application du 5° de l'article 6 de la loi du 6 janvier 1978, les données sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
Dans ce contexte, la Commission avait estimé que la durée de conservation la plus pertinente des données collectées et enregistrées par la société était celle relative à la durée du mandat concernant la recherche d'un débiteur particulier.
Par conséquent, l'outil informatique de gestion des enquêtes ne devrait plus contenir d'informations sur un débiteur une fois l'enquête terminée. La copie du rapport écrit adressé au créancier, au cabinet de recouvrement de créances ou à une agence de recherches privées formalisant les informations obtenues par la société peut uniquement être conservée dans le cadre d'un archivage intermédiaire et ne doit pouvoir être consultée que dans des cas strictement limités (litige entre le mandant et le mandataire par exemple).
Il apparaît en effet que la conservation, dans une base informatisée, de l'intégralité des informations relatives aux débiteurs pour, par exemple, faciliter ou orienter le recouvrement d'une créance ultérieure sur un même débiteur est susceptible de présenter un risque important de détournement de finalité dans la mesure où une telle conservation pourrait permettre d'effectuer des rapprochements entre plusieurs débiteurs présentant une donnée commune (même adresse, même nom de famille, etc.).

e) Que de graves manquements aux obligations de sécurité mentionnées à l'article 34 de la loi du 6 janvier 1978 modifiée avaient été observés.

L'article 34 de la loi du 6 janvier 1978 modifiée prévoit notamment que "Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès".

Ainsi, la société n'avait pas sécurisé l'accès à ses traitements tant automatisés (absence de mot passe sur les ordinateurs) que manuels (aucune sécurité physique pour accéder aux documents papier).

De même, la société n'avait mis en oeuvre aucune mesure permettant de sécuriser l'envoi d'informations à ses clients effectué sur Internet, notamment au moyen de la messagerie électronique.

Par ailleurs, la société n'avait prévu, vis-à-vis de ses salariés ou de ses sous-traitants, aucune clause de confidentialité dans les contrats de travail ou de prestation de service.

2. RECOMMANDATIONS DE LA CNIL

Par une délibération adoptée le 27 avril 2006, la formation restreinte de la CNIL avait mis en demeure la société :
- de procéder à la déclaration de son traitement de gestion des enquêtes ;
- d'apporter toute garantie permettant de considérer que, pour l'avenir, les modalités mises en oeuvre pour la recherche des débiteurs, directement ou pour son compte, seraient conformes aux dispositions du 1° de l'article 6 de la loi du 6 janvier 1978 modifiée le 6 août 2004 et que, notamment, il ne serait plus procédé à l'usurpation de titres ou de fonctions ainsi qu'à des appels téléphoniques à des personnes soumises au secret professionnel afin d'obtenir des informations à caractère confidentiel ;
- de prendre toute mesure nécessaire pour que, dans l'ensemble de ses traitements, les mentions manifestement contraires à la loi du 6 janvier 1978 modifiée (numéro de sécurité sociale) soient supprimées ;
- de limiter la durée de conservation des données sur les débiteurs à la durée du mandat concernant la recherche d'un débiteur particulier, de définir une politique d'archivage des rapports écrits adressés aux créanciers ou aux cabinets de recouvrement de créances et de procéder, par voie de conséquence, à la purge de l'ensemble des informations relatives à des enquêtes clôturées ;
- d'apporter toute garantie permettant de considérer que la sécurité et la confidentialité seraient assurées sur les données conservées dans les traitements mis en oeuvre (mots de passe, armoires sécurisées, clauses de confidentialité dans les contrats, sécurisation des échanges par Internet).

3. REPONSE DE LA SOCIETE

En réponse à la mise en demeure, la société avait indiqué, par courrier du 20 juin 2006 :

a) Qu'un dossier de déclaration avait été adressé à la Commission concernant le traitement de gestion des enquêtes.

b) Que le personnel de la société avait été de nouveau alerté sur la confidentialité des informations recueillies, sur l'interdiction d'usurpation de titres ou de fonctions, sur l'interdiction de procéder à tout appel téléphonique à des personnes soumises au secret professionnel en vue de l'obtention d'informations à caractère confidentiel et de faire apparaître dans les rapports d'enquêtes envoyés aux prestataires des mentions contraires à la loi du 6 janvier 1978 modifiée (notamment l'interdiction de faire figurer sur lesdits rapports le numéro de sécurité sociale des personnes). Ce rappel avait fait l'objet d'une note de service affichée dans les locaux de l'entreprise.

c) Que les rapports d'enquête seraient désormais conservés de façon sécurisée avec mot de passe pendant six mois conformément à l'avenant au contrat liant la société au mandant. Ces rapports ne pourraient ensuite être consultés que par la direction de l'entreprise. Une purge totale des rapports d'enquête serait effectuée à l'issue de ce délai de six mois.

d) Que les envois de rapports se feraient par voie électronique, dans un format PDF sécurisé par mot de passe auprès du ou des mandants.

4. DEUXIEME MISSION DE LA CNIL

Le 17 janvier 2007, les services de la CNIL s'étaient à nouveau rendus dans les locaux de la société afin de procéder, notamment, à de nouvelles extractions de fichiers et vérifier dans quelle mesure les engagements pris dans le courrier du 20 juin 2006 avaient bien été respectés.
Sur la base des constatations opérées par la CNIL lors de cette seconde mission de contrôle, une proposition de sanction avait été notifiée à la société le 22 mai 2007. Il ressortait en effet des conclusions du rapporteur que trois des cinq manquements identifiés par la CNIL demeuraient à l'issue de la seconde mission de contrôle sur place. Le 13 septembre 2007, la société avait adressé à la CNIL ses observations en réponse et avait soutenu s'être mise en conformité avec l'ensemble des manquements à la loi du 6 janvier 1978 modifiée.

Au cours de cette mission, il fut constaté ou observé :

a) Que la société avait procédé le 22 juin 2006 à la déclaration de son traitement de gestion des enquêtes.
Elle s'était donc bien conformée, sur ce point, à la mise en demeure qui lui avait été adressée.

b) Que s'agissant de la sécurité des données collectées et enregistrées, plusieurs dispositions significatives avaient été prises notamment en matière de sécurisation des flux et d'intégration de clauses de confidentialité dans les contrats. La société avait ainsi :
- mis en place un "webmail" permettant des échanges avec son mandant de manière sécurisée,
- instauré des mots de passe sur les postes de travail,
- mis en oeuvre des sécurités physiques afin de protéger les fiches papier utilisées par les enquêteurs.
De même, des clauses de confidentialité figuraient désormais dans les contrats signés par la société avec ses clients ou ses enquêteurs.
Dans ces conditions, la Commission estimait que la société s'était bien conformée, sur ce second point, à ses recommandations.

c) Que la durée de conservation des rapports d'enquête était de six mois "glissants" à l'issue desquels ils sont détruits.
Là aussi la société s'était bien conformée à la mise en demeure, quant à la durée de conservation des données et à la politique d'archivage.

d) Qu'en revanche, s'agissant de la suppression des mentions manifestement contraires à l'article 25 de la loi du 6 janvier 1978 modifiée, les fiches manuscrites présentes sur le bureau des enquêteurs, qu'il convient de considérer comme un traitement de données à caractère personnel, précisaient de manière quasi systématique le numéro de sécurité sociale du débiteur recherché.
Il ne faisait donc aucun doute que la société n'avait, en aucune manière, modifié ses techniques de recherche principalement axées sur la collecte et l'exploitation du numéro de sécurité sociale des débiteurs. De même, les extractions informatiques faisaient état du recueil quasi systématique des références exactes du numéro de compte bancaire du débiteur.

Si un agent de recherches privées peut procéder au rassemblement d'éléments permettant d'établir le niveau de solvabilité d'un débiteur, il ne peut en aucun cas référencer les numéros de compte bancaire dans ses traitements, ces données étant protégées par le secret bancaire et leur accès étant uniquement autorisé, en application d'une réglementation spécifique, aux huissiers de justice.

La Commission considéra par conséquent que la société ne s'était pas conformée à la mise en demeure de prendre toute mesure nécessaire pour que, dans l'ensemble de ses traitements, les mentions manifestement contraires à la loi du 6 janvier 1978 modifiée soient supprimées, en dépit de ce qu'elle avait affirmé dans son courrier du 20 juin 2006.
Aucun élément d'explication supplémentaire n'avait été apporté sur ce point par la société, dans ses observations en date du 13 septembre 2007.

e) Que s'agissant enfin des modalités de collecte des informations relatives à des débiteurs, les éléments recueillis faisaient toujours état de pratiques manifestement non conformes au 1° de l'article 6 de la loi du 6 janvier 1978 modifiée.
Lors de la mission de vérification opérée dans les locaux de la société, il avait tout d'abord été constaté que les enquêteurs disposaient toujours d'un annuaire téléphonique référençant des organismes d'ASSEDIC, des Caisses d'Allocations Familiales (CAF), des Caisses Primaires d'Assurance Maladie (CPAM), des services d'état civil de mairies ainsi que des centres EDF.
De même, les opérations d'extraction informatique ainsi que la prise de copie des fiches manuscrites présentes sur le bureau des enquêteurs révélèrent la présence de très nombreuses mentions faisant état d'informations manifestement recueillies auprès d'organismes publics ou privés soumis au secret professionnel : ASSEDIC, CAF, EDF, Trésor public, mairies, banques, etc.
Si la société soutenait, dans son courrier en date du 20 juin 2006, avoir pris les dispositions nécessaires afin de garantir que le manquement constaté ne se reproduise pas, les exemples de fiches de procédure ainsi que les copies de ses courriers adressés aux mairies, à EDF ou à la CAF, communiqués avec les observations en réponse du 13 septembre 2007, démontraient également que l'ensemble des méthodes de recherche mises en oeuvre au sein de la société conduisaient encore à réaliser des appels téléphoniques auprès de personnes soumises au secret professionnel, alors même qu'elle n'avait pas la qualité de tiers autorisé.
La Commission considéra par conséquent que la société ne s'était pas non plus conformée à la mise en demeure de la CNIL d'apporter toute garantie permettant de considérer que, pour l'avenir, les modalités mises en oeuvre pour la recherche des débiteurs seraient conformes aux dispositions du 1° de l'article 6 de la loi du 6 janvier 1978 modifiée et que, notamment, il ne serait plus procédé à des appels téléphoniques à des personnes soumises au secret professionnel afin d'obtenir des informations à caractère confidentiel.

5. SANCTION ADAPTEE

La Commission releva que la société avait fait valoir dans ses observations en réponse adressées à la CNIL le 13 septembre 2007, qu'elle avait subi une diminution de plus de la moitié de son chiffre d'affaires en se mettant en conformité avec la mise en demeure qui lui avait été adressée. Elle avait précisé n'avoir ainsi tiré aucun avantage des manquements constatés.

Suite à une audience de sanction, le 20 septembre 2007, au cours de laquelle la société avait présenté ses observations orales et confirmé la diminution de son résultat net pour l'année 2007, la formation restreinte de la Commission avait souhaité obtenir un complément d'informations concernant la situation financière de la société, avant de pouvoir délibérer.
Par un courrier du 27 septembre 2007, la société avait communiqué à la CNIL ses bilans comptables pour les années 2006 et 2007 ainsi que ses statistiques mensuelles.

Dans sa décision, la Commission précisa avoir pris en considération ces nouveaux éléments.

Source : CNIL (Délibération n° 2007-322 du 25 octobre 2007 sanctionnant la société X)

Dernière édition de: Michel (13-03-2012 09:14:26)

Hors ligne

#3 24-05-2008 11:52:09

zenaze
Invité

Re: 21/05/2008 - La Cnil sanctionne un cabinet de recherche de débiteurs

et demain la cnil validera aussi le traitement automatique de notre cerveau c n'importe quoi

#4 25-05-2008 10:58:56

Truhm
Invité

Re: 21/05/2008 - La Cnil sanctionne un cabinet de recherche de débiteurs

La CNIL ferait mieux de s'occuper de manière rigoureuse de la gestion des fichiers de Police par exemple (STIC, FNAEG...) qui eux sont un véritable scandale pénalisant les citoyens dans leurs perspectives professionnelles (métiers de la sécurité, ARP...) sous prétexte de lutte contre le terrorisme (sic!). Elle ferait mieux de réagir à ce fichage systématique de la population, qui prend une nouvelle étape délirante avec la carte d'identité biométrique.

Les citoyens ont plus à craindre ce travers que la recherche de débiteurs sous couvert d'appels téléphoniques scénarisés...

#5 25-05-2008 14:31:56

Michel
Membre
Inscrit(e): 11-05-2008

Re: 21/05/2008 - La Cnil sanctionne un cabinet de recherche de débiteurs

Truhm a écrit:

La CNIL (...) ferait mieux de réagir à ce fichage systématique de la population, qui prend une nouvelle étape délirante avec la carte d'identité biométrique.
Les citoyens ont plus à craindre ce travers que la recherche de débiteurs sous couvert d'appels téléphoniques scénarisés...

Il semble, à la lecture de l'avis reproduit ci-dessous, que la CNIL ait précédé votre inquiétude, que je partage, au sujet de l'usage croissant de la biométrie dans les documents d'identité. Reconnaissons donc qu'elle travaille souvent très bien.

C'est ainsi que les fondations de la première base de données biométriques, destinée à rassembler la majeure partie de la population française, auront été posées contre l'avis de la CNIL. Son président l'a rappelé le 16 mai 2008, lors de la présentation de son rapport annuel. Un décret, publié le 4 mai, instaure en effet la prochaine génération de passeports, dont la nouveauté est de reposer sur un fichier centralisé. Le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports est modifié.
Ce fichier regroupera les informations contenues dans tous les nouveaux passeports (huit empreintes digitales et l'image faciale numérisée du porteur, ainsi que, à terme, celles concernant les titulaires de la future carte nationale d'identité).
La CNIL avait rendu, le 11 décembre 2007, un avis défavorable au dispositif.

La commission a aussi déploré l'usage de la voie réglementaire. "Nous pensons que l'importance de l'enjeu aurait justifié un passage devant le législateur, mais nous n'avons pas été entendus", avait expliqué M. Türk. La CNIL a également jugé disproportionné la création d'un fichier central et le prélèvement de huit empreintes. Ces caractéristiques vont au-delà des dispositions de la réglementation européenne, qui réclame le prélèvement de deux empreintes digitales seulement.

AVIS DE LA CNIL SUR LE PASSEPORT BIOMETRIQUE

Saisie à l'automne 2007 par le ministère de l'intérieur, la Commission a émis un avis sur le projet de décret instituant le passeport biométrique par une délibération du 11 décembre 2007.

Délibération n° 2007-368 du 11 décembre 2007 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques

La Commission nationale de l'informatique et des libertés
Saisie pour avis par le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, le 27 septembre d'un projet de décret en Conseil d'Etat modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par le décret n°2007-401 du 25 mars 2007 ;
Vu le règlement du Conseil européen n°2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu le décret n°2005-1726 du 30 décembre 2005 relatif aux passeports électroniques ;
Vu l'avis 3/2005 du groupe de l'article 29 en date du 30 décembre 2005 sur l'application du règlement (CE) n°2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres ;
Vu la délibération n°99-23 du 8 avril 1999 portant avis sur le projet d'arrêté concernant la création par le ministère de l'intérieur d'un traitement automatisé d'informations nominatives relatif à la délivrance des passeports ;
Vu la délibération n°2005-279 du 22 novembre 2005 portant avis sur le projet de décret instituant le passeport électronique et sur les modifications apportées au traitement « DELPHINE » permettant l'établissement, la délivrance et la gestion des passeports ;
Vu la délibération n°2005-208 du 10 octobre 2005 portant avis sur le projet de loi relatif à la lutte contre le terrorisme ;

Après avoir entendu Mme Michèle TABAROT, commissaire, en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations ;

Emet l'avis suivant :

Le projet de décret soumis pour avis de la Commission est notamment destiné à mettre en œuvre le règlement du Conseil européen n° 2252/2004 du 13 décembre 2004 qui établit des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les Etats membres.
A cet égard, il vise à mettre la France en capacité d'émettre, avant le 28 juin 2009, des passeports dotés d'un composant électronique contenant non seulement l'image numérisée du visage de son titulaire mais aussi celle de deux de ses empreintes digitales, conformément aux prescriptions de l'article 6 du règlement précité.
Si le décret n° 2005-1726 du 30 décembre 2005 a permis la réalisation de la première étape prévue aux termes du règlement européen, en permettant la délivrance de passeports dotés d'un composant électronique intégrant l'image numérisée du visage du titulaire, le présent projet de décret entend donc poursuivre le processus d'adaptation du droit interne à cette norme européenne, en intégrant dans le même composant l'image numérisée de deux de ses empreintes digitales.
Le projet de décret prévoit également l'enregistrement de données biométriques se rapportant aux demandeurs (images numérisées de la photographie et des empreintes digitales) dans le système de traitement automatisé de données à caractère personnel relatif au passeport, dénommé "DELPHINE", cependant qu'il envisage parallèlement la conservation de données relatives à leur filiation ainsi que des pièces justificatives fournies à l'appui de la demande de passeport, sous un format numérisé.
En outre, le projet de décret apporte un certain nombre de modifications affectant les conditions d'accès aux données à caractère personnel contenues dans le système de traitement "DELPHINE" en même temps qu'il lui confère une finalité nouvelle, à savoir l'élaboration de statistiques.
Enfin, il détermine le régime juridique applicable au passeport temporaire.

Sur l'enregistrement des données biométriques dans le composant électronique intégré au passeport

La Commission observe que la collecte de l'image numérisée du visage du demandeur ainsi que celle de deux de ses empreintes digitales est rendue nécessaire par les dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004, dans la mesure où il fait obligation aux Etats membres de délivrer, au plus tard le 28 juin 2009, des passeports dotés de composants électronique comportant les éléments biométriques précités.
A cet égard, la Commission tient à rappeler qu'elle considère comme légitime le recours, pour s'assurer de l'identité d'une personne, à des dispositifs de reconnaissance biométrique dès lors que les données biométriques sont conservées sur un support dont la personne a l'usage exclusif.

Sur la conservation de données biométriques en base centrale

Le projet de décret soumis pour avis à l'examen de la Commission prévoit le recueil de l'image numérisée du visage du demandeur et des empreintes digitales de huit doigts ainsi que leur conservation dans le système de traitement "DELPHINE", qui pourrait ainsi constituer la première base centralisée de données biométriques à finalité administrative portant sur des ressortissants français.
Cette base serait en réalité segmentée en trois bases de données distinctes, contenant respectivement les données d'état civil, les données photographiques et les empreintes digitales. Il est prévu de mettre en œuvre des mécanismes de "double-hachage", pour garantir qu'une donnée biométrique, qu'il s'agisse d'une donné photographique ou d'une empreinte digitale ne puisse être consultée sans avoir préalablement accédé à l'enregistrement de la donnée d'état civil s'y rapportant. Le système central de traitement serait hébergé, exploité et supervisé par les services d'exploitation du ministère de l'intérieur, de l'outre-mer et des collectivités territoriales, sur deux sites sécurisés. Il est également prévu des dispositifs de journalisation des accès, afin d'assurer la traçabilité et l'imputabilité des opérations effectuées sur le système.
A titre liminaire, la Commission observe que le recueil de huit empreintes digitales, d'une part, et la conservation en base centrale de l'image numérisée de ces dernières ainsi que celle du visage du titulaire, d'autre part, ne résultent pas des prescriptions dudit règlement européen.
En outre, la Commission tient à rappeler que le traitement, sous une forme automatisée et centralisée, de données telles que les empreintes digitales, compte tenu à la fois des caractéristiques de l'élément d'identification physique retenu, des usages possibles de ces traitements et des risques d'atteintes graves à la vie privée et aux libertés individuelles en résultant, ne peut être admis que dans la mesure où des exigences en matière de sécurité ou d'ordre public le justifient.
Or, la Commission observe que le traitement mis en œuvre conserve les mêmes finalités que celles énoncées aux termes de l'article 18 du décret du 30 décembre 2005 – faciliter les procédures d'établissement, de délivrance, de renouvellement, de remplacement et de retrait des passeports ainsi que prévenir, détecter et réprimer leur falsification et leur contrefaçon.
A cet égard, la Commission considère que, si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle.
En outre, au regard des éléments dont elle dispose et dans la mesure où le dispositif envisagé se limite à rendre possible l'accès ponctuel des autorités judiciaires aux données biométriques, en exécution de réquisitions ou de commissions rogatoires, la Commission estime que ledit dispositif ne paraît pas constituer, en l'état, un outil décisif de lutte contre la fraude documentaire de nature à lever les préventions exprimées jusqu'alors par la Commission à l'endroit de la constitution de bases centralisées de données biométriques.
En effet, la Commission observe qu'aucune mesure particulière n'est prévue, parallèlement à la conservation de données biométriques, pour s'assurer de l'authenticité des pièces justificatives fournies à l'appui des demandes et relève, en particulier, que même si une étude est en cours, le dispositif envisagé ne prévoit pas de procédures de télé-transmission des données d'état civil entre les administrations concernées, procédures qui sont pourtant susceptibles de garantir la fiabilité desdites données.
De même, la réalisation d'une application de gestion électronique des documents, destinée à faciliter les conditions de délivrance ou de renouvellement d'un passeport, n'est pas non plus de nature à justifier la conservation de données biométriques.
Par conséquent, même si le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales s'engage à préciser aux termes du projet de décret qu'il ne sera pas possible de procéder à une recherche en identification à partir de l'image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l'image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée.
La Commission considère enfin que l'ampleur de la réforme qui se dessine et l'importance des questions qu'elle peut soulever justifieraient que, comme elle l'a rappelé à plusieurs reprises, le Parlement en soit saisi sous forme d'un projet de loi, qui lui serait préalablement soumis pour avis.

Sur la conservation des pièces justificatives

Le projet de décret prévoit également la conservation dans le système de traitement "DELPHINE" de l'image numérisée des pièces justificatives déposées à l'appui de la demande de passeport, en particulier les documents justificatifs du domicile du demandeur.
Si elle est justifiée par les services du ministère de l'intérieur par le souci de la modernisation des procédures administratives, elle ne permettra pas nécessairement une amélioration des conditions de renouvellement du passeport à l'expiration de la durée de validité de ce dernier, compte tenu du caractère non pérenne des informations fournies à l'occasion de la première délivrance.
Aussi, la Commission se montre réservée quant à la pertinence d'une conservation de ces documents sous format numérisé.

Sur les destinataires et les modalités d'accès au système de traitement "DELPHINE"

La Commission prend acte de ce que les personnels chargés des missions de recherche et de contrôle de l'identité des personnes, de vérification de la validité et de l'authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes n'accèdent pas et n'accéderont pas aux données à caractère personnel enregistrées dans la base centrale mais seulement à celles contenues dans le composant électronique du passeport.
La Commission prend également acte de ce que les agents des services de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale chargés des missions de prévention et de répression des actes de terrorisme de même que les agents des services de renseignement du ministère de la défense chargés des missions de prévention des actes de terrorisme n'accéderont pas à l'ensemble des données enregistrées dans le système de traitement à l'exclusion de l'image numérisée des empreintes digitales.
Dans la mesure où la Commission observe que cette exclusion n'est justifiée qu'au regard de la spécificité attachée aux données biométriques, elle estime que le projet de décret devrait également faire mention de l'impossibilité pour les agents précités d'accéder à l'image numérisée du visage du titulaire.
La Commission prend enfin acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de préciser aux termes du projet de décret que les destinataires devraient faire l'objet d'une procédure de désignation individuelle et d'habilitation spéciale.

Sur le régime juridique du passeport temporaire

Conformément aux dispositions du règlement du Conseil européen n° 2252/2004 du 13 décembre 2004, le projet de décret fixe le principe de la délivrance à titre exceptionnel d'un passeport temporaire, pour satisfaire aussi bien les demandeurs confrontés à une situation relevant de l'urgence, que les personnes ou les agents civils et militaires nécessitant d'être mis en possession d'un titre de voyage dépourvu de composant électronique.
Compte tenu de la spécificité attachée à ce passeport, la Commission estime que son processus de délivrance ne devrait pas obéir aux mêmes règles que celles en vigueur pour le passeport, le passeport de service ou le passeport de mission.
A cet égard, il convient de relever qu'il ne peut être délivré que dans des cas relevant de situations d'urgence ou se caractérisant par la recherche par son titulaire d'une relative discrétion, qu'il n'a pas vocation à être renouvelé et qu'il ne comporte pas de composant électronique et partant, ne contient pas de données biométriques.
Aussi, tout en prenant acte de ce que le ministère de l'intérieur, de l'outre-mer et des collectivités territoriales envisage de ramener à six ans la durée de conservation des données collectées à l'occasion de la délivrance d'un passeport temporaire, la Commission considère qu'il paraît peu pertinent de procéder au recueil des empreintes digitales du demandeur, à leur conservation ainsi qu'à celle de l'image numérisée de son visage en base centrale.

Sur la situation des mineurs

Dès lors que le passeport est délivré sans condition d'âge, la procédure de délivrance applicable aux mineurs doit faire l'objet d'une attention toute particulière.
Dans ces conditions, la Commission tient à rappeler que l'âge à partir duquel les empreintes sont relevées n'est pas seulement un élément technique mais une question de principe méritant un large débat voire un amendement à la convention sur les droits de l'enfant et que pour préserver la dignité de la personne et pour garantir la fiabilité de la procédure, la collecte et le traitement des empreintes digitales doivent être limités pour les enfants.

Sur les sécurités

Il est prévu que l'accès aux données stockées dans le composant électronique soit contrôlé en utilisant des mécanismes, qui en l'état actuel de la technique, paraissent de nature à garantir un niveau suffisant de protection du composant électronique. L'accès aux empreintes digitales n'est possible qu'après authentification mutuelle entre le lecteur et le composant. Le composant intègre également des dispositifs de protection contre la duplication et la falsification. D'autres dispositifs de protection électromagnétique du titre pourraient à terme être inclus dans le passeport. Néanmoins, ces dispositifs et leur éventuelle mise en œuvre sont actuellement en cours d'étude.
Par conséquent, la Commission souhaite être rendue destinataire des éléments relatifs aux mesures qui seront finalement retenues.

Sur l'information des personnes

L'article 25 du décret n° 2005-1726 du 30 décembre 2005 prévoit que la remise du passeport s'accompagne de la copie sur papier des données nominatives enregistrées dans le composant électronique.
Enfin, la Commission prend acte de ce qu'une notice d'information sur la nature des données à caractère personnel enregistrées dans le système de traitement central sera remise au demandeur du passeport.

Le président,  Alex Türk

Source : CNIL

Hors ligne

Pied de page

Propulsé par FluxBB
Modifié par Visman Traduit par N-Studio18