CNIL et POUVOIRS PUBLICS

La CNIL a rendu trois avis le 25 juin 2020, sur les modifications des fichiers PASP (Prévention des atteintes à la sécurité publique) GIPASP (Gestion de l’information et Prévention des atteintes à la sécurité publique) et EASP (Enquêtes administratives liées à la sécurité publique). Elle rappelle, à cette occasion, les conditions dans lesquelles elle exerce sa mission d’accompagnement des pouvoirs publics. Le rôle de la CNIL La loi Informatique et Libertés énumère les différentes missions confiées à la CNIL. Parmi celles-ci figure une mission de conseil aux pouvoirs publics, laquelle s’exerce notamment au travers des différents avis qui sont rendus sur les projets de textes soumis par le Gouvernement, en particulier lorsqu’ils portent sur la création ou la modification de traitements de données à caractère personnel. Lorsque la CNIL se prononce sur un traitement « mis en œuvre pour le compte de l’État » dans le cadre de finalités spécifiques (par exemple lorsqu’un traitement intéresse la sûreté de l’État, la sécurité publique ou vise à prévenir la commission d’infractions pénales), son avis fait – dans la très grande majorité des cas – l’objet d’une publication en même temps que l’acte réglementaire qui crée ou modifie ce traitement. D’une manière générale, elle rappelle que la rédaction de ses avis (ou « délibérations ») intervient après une instruction poussée qui peut donner lieu à plusieurs échanges avec l’administration afin de mieux comprendre les raisons conduisant à créer un nouveau traitement ou à modifier les conditions de mise en œuvre d’un traitement existant. De la même manière, la CNIL rappelle que lorsqu’elle est saisie, elle rend son avis sur un projet de texte qui n’est pas nécessairement identique à celui qui fait finalement l’objet d’une publication. Cet avis ne constitue pas une « autorisation » ou un « refus » de la CNIL. Il a pour objectif d’éclairer le Gouvernement et peut entrainer des modifications que ce soit pour tenir compte des observations formulées dans la délibération rendue ou de l’examen ultérieur réalisé par le Conseil d’État (pour les décrets), auquel elle ne participe pas. L’avis de la CNIL sur les fichiers PASP, GIPASP et EASP C’est dans ce contexte, et à la suite de contrôles menés concernant des fichiers PASP, GIPASP et EASP, que la CNIL a été amenée à se prononcer sur leur modification. Elle souligne que ces fichiers existaient déjà et que plusieurs des observations formulées dans ses délibérations ont été prises en compte. La CNIL relève ainsi que les finalités de ces traitements ont été précisées dans les projets de décrets publiés afin de permettre de distinguer clairement les données ayant vocation à être traitées pour des finalités relevant de la « sûreté de l’État » et faisant l’objet d’un encadrement juridique spécifique distinct du Règlement général sur la protection des données (RGPD). Elle relève également que les décrets publiés précisent, à des fins de clarté, que les données intéressant la sûreté de l’État sont celles qui révèlent des activités « susceptibles de porter atteinte aux intérêts fondamentaux de la Nation ou de constituer une menace terroriste portant atteinte à ces mêmes intérêts ». De la même manière, la CNIL relève que les catégories de données collectées ont été précisées afin de mieux identifier les informations susceptibles d’être collectées : seules les activités « susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’État » pourront être collectées ; de même, la catégorie « identifiants utilisés sur les réseaux sociaux » exclut la collecte de mots de passe. Elle observe également que la mention relative à la possibilité d’effectuer une recherche à partir des photographies a été supprimée des décrets concernant les traitements PASP et GIPASP. Elle s’était interrogée, dans ses délibérations, sur les conditions de mise en œuvre (tant juridique que technique) d’une telle fonctionnalité. Elle souligne que, en l’état actuel, les décrets ne permettent pas de mettre en œuvre des dispositifs de reconnaissance faciale à partir des données contenues dans ces traitements. La CNIL rappelle par ailleurs que si la collecte de données relatives à « des activités politiques, philosophiques, religieuses ou syndicales » était déjà prévue, les nouveaux décrets font désormais référence non plus aux « activités » mais aux « opinions » politiques, aux « convictions » philosophiques, religieuses et à l’« appartenance » syndicale. Elle ne s’est pas prononcée sur cette modification, qui ne figurait pas dans le projet qui lui avait été soumis. Enfin, elle a formulé des observations sur le périmètre de certaines catégories de données, considéré comme trop étendu. La CNIL constate qu’elle n’a pas été suivie sur ce point, certaines d’entre elles (comme par exemple les données relatives aux « activités sur les réseaux sociaux ») étant toujours rédigées de manière très large. Les délibérations de la CNIL > Délibération n° 2020-064 du 25 juin 2020 sur le fichier « Prévention des atteintes à la sécurité publique » (PASP) – Légifrance https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042608200 > Délibération n° 2020-065 du 25 juin 2020 sur le fichier « Gestion de l’information et Prévention des atteintes à la sécurité publique » (GIPASP) – Légifrance https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042608217 > Délibération n° 2020-066 du 25 juin 2020 sur le fichier « Enquêtes administratives liées à la sécurité publique » (EASP) – Légifrance https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000042608234 p/o Virginie Gastine Menou RISQUES ET VOUS
“Un accompagnement personnalisé sur le chemin complexe de la conformité”
https://www.linkedin.com/company/risques-et-vous Proposer une offre de job : https://graces.community/recruteurs/ Consulter les offres qui vous correspondent : https://job.graces.community/login

Partagez l’article sur les réseaux !

Articles récents :

LEGIFRANCE : Arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution

LEGIFRANCE : Arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle prudentiel et de résolution

Arrêté du 25 février 2021 modifiant l’arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d’investissement soumises au contrôle de l’Autorité de contrôle pr

fr_FRFrançais