(JO n° 45 du 23 février 2016)
NOR : CNIP1604852X
Vus
La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'écologie, du développement durable et de l'énergie d'une demande d'avis portant sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au recensement des établissements Seveso dénommé « SEVESO 3 » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2012/18/UE du Parlement européen et du Conseil du 4 juillet 2012 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses, modifiant puis abrogeant la directive 96/82/CE du Conseil, notamment ses articles 7 et 21 ;
Vu le code de l'environnement, notamment ses articles L. 513-1, L. 515-32 et R. 515-86 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 27-II-4° ;
Vu la loi n° 2013-619 du 16 juillet 2013 modifiée portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine du développement durable ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-112 du 2 février 2010 modifié pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;
Vu l'arrêté du 26 mai 2014 modifié relatif à la prévention des accidents majeurs dans les installations classées mentionnées à la section 9, chapitre V, titre Ier, du livre V du code de l'environnement ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Philippe GOSSELIN, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie, par le ministre de l'écologie, du développement durable et de l'énergie, d'une demande d'avis sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif au recensement des établissements dits « Seveso » dénommé « SEVESO 3 ».
Ce traitement vise à faciliter le recensement des substances, préparations ou mélanges dangereux susceptibles d'être présents dans les installations classées qui présentent des risques d'accidents majeurs et qui sont mentionnées à l'article L. 515-32 du code de l'environnement.
Le traitement « SEVESO 3 » comporte un téléservice à destination des exploitants d'installations classées de type Seveso, qui comprend des données à caractère personnel parmi lesquelles figure un identifiant des personnes physiques. Le traitement projeté relève des dispositions de l'article 27-II-4° de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé par arrêté, pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté indique que le traitement projeté a pour objet « le recensement portant sur les substances, préparations ou mélanges dangereux susceptibles d'être présents dans les installations classées mentionnées à l'article L. 515-32 du code de l'environnement ».
La directive du 4 juillet 2012 susvisée, transposée en droit interne dans le code de l'environnement par la loi n° 2013-619 du 16 juillet 2013, établit des règles pour la prévention des accidents majeurs impliquant des substances dangereuses et la limitation de leurs conséquences pour la santé humaine. A cet effet, l'article L. 515-32 du code de l'environnement prévoit expressément que l'exploitant procède au recensement régulier des substances, préparations ou mélanges dangereux susceptibles d'être présents dans ses installations et le tient à jour. Conformément aux dispositions de l'article R. 515-86 du même code, ce recensement est effectué tous les quatre ans. A l'issue de cette procédure, l'exploitant informe le préfet du résultat de ce recensement.
En pratique, le traitement projeté a vocation à permettre aux exploitants d'installations classées, définies à l'article L. 515-32 du code de l'environnement comme les installations « dans lesquelles des substances, préparations ou mélanges dangereux sont présents dans des quantités telles qu'ils peuvent être à l'origine d'accidents majeurs », qui correspondent à des établissements dits « Seveso », de déposer et de consulter en ligne la liste des substances dangereuses présentes dans leurs installations et de suivre leur déclaration jusqu'à sa validation par les autorités compétentes.
Sur ce point, le ministère a indiqué que la dématérialisation des procédures sur le recensement des matières dangereuses, assurée par le traitement « SEVESO 3 », doit permettre de faciliter le recensement de ces substances au sein desdits établissements.
De manière générale, la commission considère que le traitement projeté est de nature à simplifier les démarches administratives réalisées, en matière de recensement des substances dangereuses, auprès de la direction générale de la prévention des risques du ministère chargé de l'environnement et à améliorer les relations entre les usagers et l'administration,
Enfin, elle prend acte de l'absence de transferts de données vers un pays situé hors de l'Union européenne et n'assurant pas un niveau suffisant de protection des données.
Au regard de ce qui précède, la commission estime que les finalités poursuivies par le traitement projeté sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les données à caractère personnel collectées et traitées :
L'article 2 du projet d'arrêté prévoit que les données à caractère personnel enregistrées dans le traitement « SEVESO 3 » sont relatives au représentant de l'exploitant télé-déclarant susceptible de déposer et de consulter en ligne les déclarations de recensement. Il s'agit de ses nom et prénom.
Ce même article prévoit également que des données relatives à l'exploitant (personne morale) télé-déclarant sont collectées ainsi que des données relatives à l'établissement ou encore aux substances, mélanges ou déchets dangereux présents sur le site de l'établissement concerné.
La commission considère que les données et informations traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie, conformément à l'article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données sont conservées pendant vingt ans à compter de la déclaration.
Interrogé sur ce point, te ministère a indiqué que cette durée doit permettre de conserver les archives des précédents recensements effectués par les exploitants de sites Seveso.
La commission prend acte que, à sa demande, le projet d'arrêté sera modifié afin d'indiquer que les données sont conservées en base active (ou archive courante) pour une durée maximale de deux ans et en base inactive (ou archivage intermédiaire) pour une durée de vingt ans, afin de permettre un suivi du recensement national des sites classés Seveso.
L'article 5 du projet d'arrêté précise que « toute consultation du traitement […] fait l'objet d'un enregistrement comprenant l'identification de l'utilisateur, la date, l'heure et la nature de l'intervention dans ledit traitement. Les informations relatives aux consultations sont conservées pendant une durée d'un an ».
Si la commission prend acte qu'une telle durée correspond à la durée de conservation portée à sa connaissance lors de la déclaration du traitement CERBERE, elle rappelle sa recommandation en la matière, qui consiste à ne pas conserver les traces au-delà d'une durée de six mois, sauf justifications particulières.
Sur les destinataires des données :
L'article 4 du projet d'arrêté est relatif aux destinataires des données et énumère les personnels qui, à raison de leurs attributions et pour les besoins exclusifs des missions qui leur sont confiées, auront un accès direct aux données contenues dans le traitement projeté.
La commission relève que ces traitements seront exclusivement utilisés par :
- les agents au sein des directions régionales de l'environnement, de l'aménagement et du logement (DREAL), des directions de l'environnement, de l'aménagement et du logement (DEAL) et de la direction régionale et interdépartementale de l'environnement et de l'énergie d'Ile-de-France (DRIEE) ;
- les agents au sein du bureau des risques des industries, de l'énergie et de la chimie de la direction générale de la prévention des risques du ministère de l'écologie, du développement durable et de l'énergie ;
- les agents de l'Autorité de sûreté nucléaire ;
- les agents des services départementaux d'incendie et de secours ;
- les agents de la direction générale de la sécurité civile et de la gestion des crises du ministère de l'intérieur.
Si la liste de ces destinataires n'appelle pas d'observation particulière de la part de la commission, elle rappelle que le responsable du traitement projeté est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. C'est pourquoi la commission estime que les agents précédemment énumérés devraient faire l'objet d'une désignation individuelle et d'une habilitation spécifique.
Ce même article énonce également que la Commission européenne est destinataire, à raison de ses attributions et pour les besoins exclusifs des missions qui lui sont confiées, d'une partie des données mentionnées à l'article 2 du projet d'arrêté. Cette transmission n'appelle pas d'observation particulière, dans la mesure où la directive du 4 juillet 2012 susvisée prévoit, en son article 21, que la Commission européenne doit tenir une base de données des établissements soumis à cette directive.
Sur les droits des personnes :
La commission rappelle que le développement de l'administration électronique doit permettre la mise en place d'outils de simplification des démarches administratives et d'amélioration des relations entre les usagers et l'administration, sans que ces outils soient exclusifs d'autres canaux d'échanges. Elle prend dès lors acte que, dans le cadre de la mise en œuvre du traitement projeté, l'utilisation du téléservice est facultative et qu'une procédure alternative doit permettre l'accès à la même prestation de service.
L'information des personnes concernées par le traitement est réalisée par le biais de mentions spécifiques sur le site internet à partir duquel est accessible le téléservice, conformes aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Les droits d'accès et de rectification s'exercent directement auprès de la direction générale de la prévention des risques.
Enfin, l'article 7 du projet d'arrêté prévoit que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement projeté, ce qui n'appelle pas d'observation particulière.
Sur les mesures de sécurité :
La commission rappelle tout d'abord que le traitement projeté étant un téléservice d'une autorité administrative, il doit être conforme au référentiel général de sécurité (RGS) prévu par le décret n° 2010-112 du 2 février 2010 susvisé.
Par ailleurs, elle prend acte que le traitement projeté sera hébergé au sein du ministère de l'écologie, du développement durable et de l'énergie dont les mesures de sécurité physique et logique sont de nature à assurer la confidentialité et l'intégrité des données à caractère personnel traitées.
S'agissant de l'accès au téléservice, la commission relève que le téléservice « SEVESO 3 » s'appuie sur le composant d'authentification et de sécurité CERBERE. Seuls les exploitants pourront accéder au suivi des déclarations de recensement adressées via cette application. L'accès à l'application « SEVESO 3 » sera rendu possible par l'attribution d'un numéro de compte permettant d'accéder au portail d'authentification des applications web « CERBERE » du ministère de l'écologie, du développement durable et de l'énergie, qui a déjà fait l'objet d'une formalité préalable à sa mise en œuvre auprès de la commission.
La commission considère que ces modalités d'accès n'appellent pas d'observation particulière. Elle prend acte que l'authentification des usagers sur le portail « CERBERE » s'effectuera à partir d'un mot de passe régulièrement renouvelé, strictement personnel, de complexité minimale suffisante (au moins huit caractères parmi majuscule, minuscule, chiffre et caractère spécial). Elle recommande que des mesures techniques soient mises en place pour que ce mot de passe ne fasse aucunement référence aux nom et prénom de l'usager et rappelle qu'afin de respecter l'article 34 de la loi du 6 janvier 1978 modifiée il est nécessaire de se conformer à l'état de l'art en matière de transmission chiffrée des données sur internet.
Sous réserve des observations précédemment formulées, la commission considère que les mesures de sécurité décrites et prévues par le responsable de traitement sont conformes à l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Pour la présidente :
La vice-présidente déléguée,
M.-F. Mazars
