Décret n°2020-151 du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » 18 mars 2020
Le décret du 20 février 2020 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » dit « GendNotes », a été publié au Journal officiel du 22 février 2020. Le texte réglementaire avait donné lieu précédemment à un avis de la Cnil en date du 3 octobre 2019.
Comme le rappelle la notice du décret, il s’agit d’un traitement automatisé de données à caractère personnel permettant de faciliter le recueil et la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de police judiciaire et administrative.
Le contenu du décret appelle les remarques suivantes :
- Les données sensibles : cela figure au terme de l’article 2 du texte. La collecte de données sensibles pourra être effectuée en cas « de nécessité absolue ». Si cette possibilité ne peut être qu’exceptionnelle, on peut se demander quelles garanties pour les intéressés quant à la légalité de cette collecte, quant à la crédibilité des informations en cause ? Faute de réponse légale à ces questions, le décret traduit une ingérence disproportionnée dans l’exercice par les intéressés de leur droit au respect de leur vie privée. L’enregistrement, même s’il n’est effectué que dans les cas de nécessité absolue, de données faisant apparaître les origines « raciales » ou ethniques, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, ou encore des informations relatives à la santé ou à la vie sexuelle, ne respecte pas le principe de proportionnalité. De telles données ne sont ni adéquates, ni pertinentes, ni proportionnées à la finalité d’information du traitement « GendNotes ». D’autant plus que le décret attaqué ne définit nullement les cas de nécessité absolue dans lesquels celles-ci seraient susceptibles d’être collectées.
- Les données concernant des mineurs : l’avis de la Cnil du 3 octobre 2019 rappelle que le traitement « GendNotes » peut enregistrer des données relatives à des personnes mineures, et que de ce fait il est indispensable d’être explicite sur les droits d’information, d’accès, de rectification, d’effacement des données. Au-delà des garanties à prendre concernant les droits d’information, d’opposition, etc. à l’égard des personnes vulnérables (ce qui inclut les enfants), l’inscription dans des fichiers de mineurs à des fins uniquement administratives et portant sur une seule éventualité ne saurait être admissible. Il est à rappeler que la Convention internationale des droits de l’enfant est particulièrement soucieuse de la protection de la vie privée des mineurs : « Nul enfant ne fera l’objet d’immixtions arbitraires ou illégales dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteintes illégales à son honneur et à sa réputation. L’enfant a droit à la protection de la loi contre de telles immixtions ou de telles atteintes » (article 16).
- Les mesures de sécurité des données : la Cnil, dans son avis du mois d’octobre 2019, ne cache pas son inquiétude. Elle émet certaines critiques pour conclure que « De façon générale, la commission regrette fortement que le ministère n’ai pas prévu des mesures des chiffrement des terminaux ainsi que des supports de stockage ; ce type de mesure de sécurité, qui devient de plus en plus commun et facile à mettre en œuvre, apparaît comme étant le seul moyen fiable de garantir la confidentialité des données stockées sur un équipement mobile en cas de perte ou de vol. ».
- L’interconnexion avec d’autres fichiers : il est à relever l’insuffisance voire l’absence des garanties susceptibles de faire obstacle à une interconnexion de ce fichier avec d’autres, comme le traitement des antécédents judiciaires (Taj). Une telle combinaison ne peut en effet manquer d’accroître un peu plus encore l’impact néfaste de ce nouveau fichier sur les droits et libertés des citoyennes et citoyens.
- La liste des accédants et des destinataires : les données collectées seront accessibles à des militaires de la gendarmerie, aux autorités judiciaires, au préfet ou au maire de la commune concernée « dans la stricte limite où l’exercice de leurs compétences le rend nécessaire, sous réserve que le cadre dans lequel ces informations ont été collectées rende possible cette communication, et dans la stricte limite du besoin d’en connaître ». La Cnil a, là aussi, pointé quelques inquiétudes puisqu’elle a réclamé du ministère «la nécessité de contrôler de façon stricte les attributions et le besoin d’en connaître de ces destinataires en application des dispositions légales en vigueur ».