— 133 —
– le recoupement des informations sur une même personne issue de
différents fichiers. »
Les deux députés indiquaient en 2018 que « le développement des
interconnexions est une demande forte des services pour renforcer la cohérence
des fichiers et remédier à leur cloisonnement ». En 2020, la mission d’information
confirme ce constat.
Dans le droit en vigueur, plusieurs fichiers sont déjà interconnectés, tels
que le système d’information Schengen (SIS), qui est interconnecté pour
alimentation ou consultation à une douzaine de fichiers nationaux.
b. La nécessité d’assortir les interconnexions de fichiers de certaines
garanties
Interrogée par la mission d’information, la CNIL a souligné qu’elle n’était
aucunement défavorable par principe à la mise en application d’interconnexions,
« dès lors que celles-ci sont justifiées par la finalité poursuivie et qu’elles
interviennent dans des conditions de nature à assurer une protection suffisante
des données à caractère personnel ». Dans la sphère policière, judiciaire ou de
sécurité, la CNIL s’est ainsi prononcée favorablement à la mise en œuvre de
nombreuses interconnexions de fichiers nécessaires aux besoins des responsables
de traitement.
● L’absence
d’interconnexion
de
formalité
nécessaire
à
chaque
opération
Selon la CNIL, « si une interconnexion peut être considérée comme un
traitement à part entière, qui doit dès lors respecter l’ensemble des conditions
prévues par les textes, cela ne signifie pas qu’une formalité particulière doit être
effectuée pour chaque opération concrète d’interconnexion de fichiers : les
interconnexions peuvent être prévues à titre général dans les textes
réglementaires qui encadrent les traitements en cause. Elles ne doivent en tout
état de cause pas faire l’objet d’une autorisation de la CNIL ». Dans sa version en
vigueur avant l’adoption du « paquet européen » en matière de protection des
données (1) et sa transposition en droit national (2), la loi du 6 janvier 1978
modifiée prévoyait en effet une autorisation de la CNIL pour certaines
(1) RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE) et directive « Police-Justice » (directive
(UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel par les autorités
compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en
la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la
décision-cadre 2008/977/JAI du Conseil).
(2) Par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles et l’ordonnance
n° 2018-1125 du 12 décembre 2018 prise en application de l’article 32 de la loi n° 2018-493 du
20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du
6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés et diverses dispositions concernant la
protection des données à caractère personnel.