— 216 —
Ils peuvent enfin ne pas être soumis au contrôle a posteriori de la CNIL (article 19IV de la loi précitée) s’ils intéressent la sûreté de l’État et s’ils n’ont pas fait l’objet d’une
publication dans les conditions précitées. Les prérogatives de contrôle de la Commission,
applicables à tous les autres traitements, publics ou privés, visent à s’assurer du respect
pratique des dispositions de la loi « Informatique et Libertés » ou des dispositions
législatives ou réglementaires portant création de traitements, en permettant notamment aux
agents de la CNIL de se rendre sur place et de se faire communiquer tout document utile à
leurs investigations. Ces prérogatives ne sont pas applicables à certains traitements
intéressant la sûreté de l’État.
La CNIL reste néanmoins compétente pour exercer certains contrôles, dans le cadre
de l’exercice du droit d’accès indirect, qui permet de vérifier la licéité du traitement de
données des personnes qui la saisissent (et non de l’ensemble des conditions de mise en
œuvre du traitement, au-delà des cas particuliers). Cette mission permet ainsi un contrôle
« par carottage » de ces traitements.
Les traitements bénéficiant de l’une ou de plusieurs de ces dérogations sont
mentionnés dans le décret n° 2007-914 du 15 mai 2007 modifié. On peut considérer qu’ils
constituent les « fichiers de souveraineté », qui seraient alors actuellement au nombre de
quinze.
Cependant, trois nuances peuvent être apportées à une telle définition.
Tout d’abord, tous ces traitements ne sont pas nécessairement mis en œuvre, ni par
des services spécialisés de renseignement. On retrouve notamment dans cette liste :
– des traitements mis en œuvre par ce qu’il est communément admis d’appeler des
services du second cercle, voire par des services extérieurs au renseignement : par exemple,
le traitement CAR de l’administration pénitentiaire (service national du renseignement
pénitentiaire), le traitement GESTEREXT de la direction du renseignement de la préfecture
de police ou le traitement LEGATO du commandement de la Légion étrangère ;
– des traitements mis en œuvre à des fins qui ne relèvent pas, au sens strict, de
la seule politique publique de renseignement : par exemple, les traitements PASP, de la
DGPN, et GIPASP, de la DGGN, de prévention des atteintes à la sécurité publique, ou
encore le traitement ASTREE de la protection judiciaire de la jeunesse.
En outre, tous les traitements mentionnés dans cette liste ne bénéficient pas de
l’ensemble des dérogations précitées.
D’une part, certains de ces traitements, tels que le PASP et le GIPSP, ne sont pas
exonérés de l’obligation de publication du texte en portant création. D’autre part, certains de
ces traitements sont soumis aux pouvoirs de contrôle a posteriori de la CNIL, comme par
exemple les fichiers précités PASP et GIPASP mais également des traitements dont les
textes régissant la mise en œuvre ne sont pas publiés tels que le fichier STARTRAC de
Tracfin), le FSPRT, le fichier CAR et le fichier ASTREE.
Ainsi, si quinze traitements figurent dans le décret précité, treize d’entre eux ne font
pas l’objet d’une publication et seuls neuf d’entre eux bénéficient de l’ensemble des
dérogations précitées. Les « fichiers de souveraineté » peuvent donc renvoyer à l’une ou
l’autre de ces trois « catégories » de traitements.