— 10 —
À cet égard, le général Bruno Poirier-Coutansais, chef du service des
technologies et des systèmes d’information de la sécurité intérieure du ministère
de l’intérieur, a indiqué aux rapporteurs qu’une évaluation juridique initiale était
systématiquement effectuée dès le premier stade d’un projet, au cours de la phase
de l’étude d’opportunité. Cette évaluation fournit au responsable du traitement
(direction générale de la police nationale et/ou direction générale de la
gendarmerie nationale) une analyse précise du cadre juridique au regard de la
finalité du traitement et du type de données collectées. Les équilibres entre les
différents paramètres (finalité, nature de données, durées de conservation,
périmètre des accédants, mesures de sécurité) sont ensuite recherchés au cours de
la phase d’étude de faisabilité, parallèlement à la démarche d’intégration de la
sécurité des systèmes d’information dans les projets.
Si cette volonté d’intégrer les impératifs de la protection des données
personnelles à un stade précoce du développement d’un projet est positive, il serait
néanmoins souhaitable que les services de la CNIL, qui ne sont pas
systématiquement consultés à ce stade par le ministère, soient davantage associés
en amont du dépôt officiel des demandes d’avis sur les actes réglementaires de
création des fichiers, afin de résoudre les difficultés juridiques ou techniques
susceptibles de se poser.
Proposition n° 1 : Mieux associer les services de la CNIL en amont du dépôt officiel des
demandes d’avis sur les actes réglementaires de création des fichiers, de façon à
résoudre les difficultés juridiques ou techniques susceptibles de se poser.
2. Les fichiers sont soumis à différents contrôles
a. Le rôle central de la CNIL
La CNIL exerce un double contrôle sur les traitements mis en œuvre par
les forces de sécurité.
Il s’agit en premier lieu d’un contrôle a priori. En application du I de
l’article 26 de la loi du 6 janvier 1978, les traitements « qui intéressent la sûreté
de l’État, la défense ou la sécurité publique » ou qui « ont pour objet la
prévention, la recherche, la constatation ou la poursuite des infractions pénales
ou l’exécution des condamnations pénales ou des mesures de sûreté » sont
autorisés par arrêté ministériel pris après avis motivé et publié de la CNIL.
Le II du même article prévoit que, lorsque ces traitements portent sur des
données sensibles, au sens du I de l’article 8 (1), ils doivent être autorisés par
décret en Conseil d’État pris après avis motivé et publié de la CNIL.
(1) Les données sensibles au sens du I de l’article 8 de la loi du 6 janvier 1978 incluent les données à caractère
personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les
convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou les
données génétiques, biométriques traitées aux fins d’identifier une personne physique de manière unique,
ainsi que les données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne
physique.