(JO n° 175 du 28 juillet 2017)


NOR : CNIX1721535X

Vus

La Commission nationale de l'informatique et des libertés,

Saisie par le secrétariat général du ministère de l'environnement, de l'énergie et de la mer et du ministère du logement et de l'habitat durable d'une demande d'autorisation relative à un traitement automatisé de données à caractère personnel dénommé « système d'information juridique (SIJ) » ayant pour finalité la gestion et le suivi des dossiers juridiques ;

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu le règlement n° 987/2009 du 16 septembre 2009 du Parlement européen et du Conseil fixant les modalités d'application du règlement (CE) n° 883/2004 du 29 avril 2004 portant sur la coordination des systèmes de sécurité sociale ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I (3°) ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2011-199 de la Commission du 30 juin 2011 portant avis sur un projet de décret en Conseil d'Etat et un projet d'arrêté du ministère de l'écologie, du développement durable, des transports et du logement prévoyant la mise en œuvre d'un traitement de données à caractère personnel, dénommé « système d'information juridique (SIJ) », destiné à doter le ministère d'un outil de pilotage de la fonction juridique ;

Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Le secrétariat général du ministère de l'environnement de l'énergie et de la mer et du ministère du logement et de l'habitat durable souhaite modifier, dans les conditions fixées ci-après, le traitement automatisé de données à caractère personnel dénommé « système d'information juridique (SIJ) » ayant pour finalité la gestion et le suivi des dossiers juridiques desdits ministères (délibération n° 2011-199 du 30 juin 2011).

Dans la mesure où le présent traitement porte sur des données relatives aux infractions, condamnations ou mesures de sûreté, ily a lieu de faire application des dispositions prévues au 3° du I de l'article 25 de la loi du 6 janvier 1978 modifiée.

Sur la finalité et les fonctionnalités du SIJ :

Le présent traitement vise à permettre au ministère de l'environnement, de l'énergie et de la mer, ainsi qu'au ministère du logement et de l'habitat durable, de gérer, de suivre et d'archiver leurs dossiers juridiques au moyen d'un système d'information commun, tout au long des procédures administratives ou judiciaires auxquelles les ministères sont parties.

Plus précisément, le SIJ est constitué de huit modules fonctionnels correspondant aux principales missions des services juridiques des ministères (contentieux administratif, contentieux civil, contentieux pénal, protection juridique, accidents, avis, contrôle de légalité, réglementation).

Les modules « contentieux » visent notamment à assurer le suivi des dossiers de poursuites pénales dans le cadre des diverses polices spéciales mises en œuvre par les agents des ministères.

Le module « protection juridique » permet la gestion et le suivi des dossiers de demande de protection juridique des agents des ministères, au titre de l'article 11 de la loi n° 83-634 du 13 juillet 1983 portant droits et obligations du fonctionnaire.

Le module « accident » est destiné à la gestion et au suivi des dossiers d'indemnisation des victimes d'accident de la circulation impliquant un véhicule ou un agent des ministères.

Les autres modules sont consacrés à la gestion et au suivi des questions posées aux services juridiques des ministères, aux dossiers soumis au contrôle de légalité préfectoral, ainsi qu'à la veille juridique.

La commission considère que les finalités poursuivies par le présent traitement sont déterminées, explicites et légitimes.

Sur les données à caractère personnel collectées et traitées :

Les données du SIJ sont issues des pièces des dossiers traités, afin de permettre la gestion et le suivi des procédures et des demandes dont sont saisis les ministères. Ces pièces peuvent être enregistrées dans certains modules. Ces données sont relatives :
- à l'identification des agents des ministères accédant au SIJ ainsi qu'aux personnes parties à l'instance : nom, prénom, initiales, date et lieu de naissance, adresse ;
- à la vie professionnelle pour les besoins de la gestion et du suivi des dossiers de demande de protection juridique des agents du ministère : grade, fonction, service, position ;
- au suivi de la procédure administrative et judiciaire : numéro d'instance, numéro SAGACE, numéro au registre du greffe ou numéro de parquet, type de recours, juridiction concernée, domaine, objet, motif et lieu du litige, identification de l'expert mandaté en phase de précontentieux administratif, enjeux, notamment financiers, étape de la procédure ;
- aux infractions, condamnations ou mesures de sûreté dans le cadre des modules « contentieux » : type d'infraction renseigné sur la base de la nomenclature NATINF (codes et qualifications) issue de la base de données nationale des infractions, lieu et date des faits date du procès-verbal.

La commission observe qu'aucune requête portant sur des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée (NIR ou données de santé) ni sur des données relatives aux infractions ou aux condamnations ne peut être réalisée à partir du SIJ, dès lors qu'aucun champ ou rubrique n'est expressément dédié à ce type de données. Ces dernières figureront, le cas échéant, exclusivement dans les pièces jointes enregistrées dans certains modules.

Elle note par ailleurs que le ministère a fixé des règles d'utilisation visant à exclure la présence éventuelle du NIR et de données de santé au sein des différents modules du SIJ.

La commission estime que les données sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.

Sur les destinataires et services utilisateurs :

Seuls les agents chargés d'une mission juridique dans les services de l'administration centrale et les services déconcentrés du ministère de l'environnement, de l'énergie et de la mer et du ministère du logement et de l'habitat durable peuvent accéder aux données du SIJ, uniquement nécessaires à l'exercice de leurs attributions, dans la limite du besoin d'en connaître.

La commission considère que ces destinataires présentent un intérêt légitime à accéder aux données.

Sur les durées de conservation des données :

La commission prend acte de ce que les données sont conservées dans le SIJ pendant cinq ans :
- à compter du dernier acte d'exécution ou de procédure pour les dossiers relatifs au contentieux administratif, civil et pénal ;
- à compter du dernier versement pour les dossiers de protection juridique des agents ;
- à compter du dernier versement de l'indemnité définitive pour les dossiers d'accidents de véhicule terrestre à moteur ;
- à compter du traitement du dossier dans le cadre des dossiers de contrôle de légalité ;
- à compter de la publication au Journal officiel de la République française s'agissant des actes normatifs produits par les ministères ;
- à compter de leur émission s'agissant des avis juridiques produits par les ministères.

La commission note que les durées de conservation ont été fixées en cohérence avec les délais de prescription et de recours correspondant aux différentes procédures et demandes gérées et suivies par les agents des ministères via le SIJ.

Elle rappelle qu'à l'expiration de ces périodes, les données doivent être supprimées de manière sécurisée ou archivées à titre définitif, dans des conditions définies en conformité avec les dispositions du code du patrimoine relatives aux obligations d'archivage des informations du secteur public.

En outre, la commission observe que les données de connexion permettant de tracer toutes les consultations du SIJ sont conservées pendant six mois.

Elle estime que les durées de conservation ne sont pas excessives au regard des finalités pour lesquelles elles sont collectées et traitées.

Sur l'information des personnes concernées :

La commission prend acte de ce que les personnes concernées sont informées conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée par l'envoi d'un courrier personnalisé.

Elle observe par ailleurs que les données enregistrées dans les modules « contentieux » sont collectées de manière indirecte (transmission par les juridictions compétentes aux ministères dans le cadre des débats contentieux). Dans la mesure où l'information des personnes dont les données sont traitées dans ces modules exigerait des efforts disproportionnés par rapport à l'intérêt de la démarche, voire s'avérerait impossible lorsque leurs coordonnées ne figurent pas dans les documents en la possession des ministères, il y a lieu de faire application des dispositions de l'article 32-III, alinéa 2, de la loi du 6 janvier 1978 modifiée, qui prévoit une exception au droit d'information en pareilles hypothèses.

Les droits d'accès, de rectification et d'opposition s'exercent auprès des services juridiques de l'administration centrale et des services déconcentrés des ministères.

Sur les mesures de sécurité :

La commission relève que le SIJ n'est disponible que depuis le réseau interne sécurisé du ministère de l'environnement, de l'énergie et de la mer et du ministère du logement et de l'habitat durable.

Elle observe également que des profils d'habilitation de nature à garantir que chaque agent habilité ne puisse accéder qu'aux données prévues pour son profil sont prévus afin de gérer les accès aux données en tant que de besoin.

Le contrôle des accès repose sur des mots de passe pour lesquels une structure et une durée de validité ont été fixées. A cet égard, la commission constate que la politique de mots de passe prévue est satisfaisante dès lors que ceux-ci sont d'une longueur minimale de huit caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux et s'accompagnent d'une restriction de l'accès au compte après trois tentatives d'authentifications échouées consécutives.

Elle note, par ailleurs, que des mesures de journalisation des accès au SIJ sont prévues et font l'objet d'un enregistrement comprenant l'identification de l'utilisateur et du poste de travail, la date et l'heure de connexion, ainsi que la nature de l'intervention (consultation, création, mise à jour).

La commission relève que des sauvegardes régulières sont réalisées et que les interventions de maintenance sont enregistrées dans une main-courante.

Elle estime que les mesures de sécurité par ailleurs mises en place sont satisfaisantes au regard de l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée et rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques et de l'évolution des technologies.

La commission autorise, conformément à la présente délibération, le secrétariat général du ministère de l'environnement de l'énergie et de la mer et du ministère du logement et de l'habitat durable à mettre en œuvre le présent traitement.

Pour la présidente :
Le vice-président délégué,
M.-F. Mazars

Autres versions

A propos du document

Type
Délibération
État
en vigueur
Date de signature
Date de publication