— 134 —
interconnexions, mais cette formalité n’est plus applicable depuis juin 2018.
Surtout, dans l’état du droit antérieur comme actuel, une interconnexion ne doit
pas nécessairement faire l’objet d’une autorisation de la CNIL (1) dès lors que les
traitements concernés sont régis par des arrêtés ou des décrets en Conseil d’État,
pris après avis de la CNIL, qui sont par nature des textes normatifs supérieurs, et
que ces textes en autorisent la mise en œuvre. En revanche, la CNIL s’est
prononcée, dans le cadre de son avis sur le projet de texte qui lui était soumis, sur
le principe comme sur les modalités de chacune d’entre elles.
● Plusieurs conditions formelles à remplir en cas d’interconnexion
Pour qu’une interconnexion entre fichiers de services de renseignement
soit effectuée, les conditions formelles suivantes doivent être remplies :
– les agents des autres services que ceux qui mettent en œuvre le
traitement concerné doivent être mentionnés dans les dispositions relatives aux
destinataires du traitement (personnes habilitées à accéder ou à prendre
connaissance des données qui y sont enregistrées) ;
– l’interconnexion doit également être mentionnée, dès lors qu’il s’agit
de l’un des objets mêmes du traitement en cause, dans le texte réglementaire qui
régit ledit traitement ;
– l’interconnexion et ses modalités exactes de mise en œuvre (finalités,
données concernées, mesures de sécurité appliquées etc.) doivent être portées à la
connaissance de la CNIL dans le cadre du dossier de saisine relative à la
modification de l’arrêté ou du décret en Conseil d’État concerné afin que la
commission puisse rendre un avis éclairé sur la modification envisagée.
● Des conditions de fond à respecter
Des conditions de fond doivent également être respectées, comme pour
tout traitement mis en œuvre :
– l’interconnexion doit être justifiée au regard des besoins spécifiques
des services ou de circonstances particulières ;
– elle ne doit pas conduire à détourner les finalités des traitements
concernés ;
– elle doit être limitée, s’agissant des données concernées ou des
destinataires de celles-ci, à ce qui est nécessaire à l’atteinte des objectifs
poursuivis ;
(1) Ainsi, par exemple, n’ont pas fait l’objet d’une autorisation de la CNIL, les interconnexions des logiciels
de rédaction des procédures de police et de gendarmerie (LRPPN et LRPGN) avec Cassiopée, du
traitement iGAV (gestion des gardes à vues) avec le traitement LRPPN, du FOVeS avec le traitement APIPNR France, du FIJAIT et du FAED avec CASSIOPEE, du traitement SETRADER avec le FPR et le
système d’information Schengen (SIS).