La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de la transition écologique, le ministre de l'économie, des finances et de la relance et le ministre de l'agriculture et de l'alimentation d'une demande d'avis sur un projet d'arrêté relatif à la déclaration dématérialisée sur un site internet public par les professionnels de rappels de produits, de denrées alimentaires ou d'aliments pour animaux ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu le code de la consommation, notamment son article L. 423-3 ;
Vu le code rural et de la pêche maritime, notamment son article L. 205-7-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de M. Alexandre LINDEN, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés (ci-après la « Commission ») a été saisie par la ministre de la transition écologique, le ministre de l'économie, des finances et de la relance et le ministre de l'agriculture et de l'alimentation d'une demande d'avis sur le fondement des articles L. 423-3 du code de la consommation et L. 205-7-1 du code rural et de la pêche maritime, sur un projet d'arrêté relatif à la déclaration dématérialisée sur un site internet public par les professionnels de rappels de produits, de denrées alimentaires ou d'aliments pour animaux (ci-après « déclarations de rappel »).
L'article L. 421-3 du code de la consommation impose aux professionnels une obligation générale de sécurité pour les produits et les services qu'ils commercialisent. Lorsqu'un producteur ou un distributeur sait que des produits destinés aux consommateurs qu'il a mis sur le marché ne répondent pas aux exigences énoncées à cet article, il doit engager les actions nécessaires pour prévenir les risques pour les consommateurs et en informer immédiatement les autorités administratives compétentes.
En complément de cette mesure, l'article L. 423-3 du code de la consommation et l'article L. 205-7-1 du code rural et de la pêche maritime prévoient que ces déclarations de rappel sont effectuées par les professionnels de façon dématérialisée sur un site internet dédié, mis à la disposition du public par l'administration.
Un arrêté des ministres intéressés, pris après avis de la Commission, doit en déterminer les conditions de fonctionnement, son adresse, les informations à déclarer, la nature de celles qui sont rendues publiques, ainsi que les modalités de déclaration, de publication et d'actualisation de ces informations. C'est l'objet du projet d'arrêté soumis à l'avis de la Commission.
Sur le fonctionnement du dispositif
Afin que les professionnels puissent effectuer cette déclaration dématérialisée, l'article 1er du projet d'arrêté prévoit que la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) crée un traitement de données dénommé « RappelConso » qui se compose de trois modules distincts :
- un site internet destiné aux professionnels, ainsi qu'aux tiers agissant pour leur compte, tenus d'effectuer la déclaration de rappel dématérialisée ;
- un site internet destiné à l'information du public sur ces rappels ;
- un module accessible par le réseau interne de l'Etat permettant aux agents destinataires d'approuver la publication d'un rappel créé par un professionnel, de créer et publier des rappels à leur initiative, de publier des informations à destination du public sur les rappels et de gérer l'ensemble des interfaces précitées.
Sur les finalités
La finalité de ce traitement est de permettre la mise en œuvre des déclarations dématérialisées de rappel de produits, de denrées alimentaires et d'aliments pour animaux, prévues par l'article L. 423-3 du code de la consommation et l'article L. 205-7-1 du code rural et de la pêche maritime.
La Commission considère que les finalités poursuivies sont déterminées, explicites et légitimes conformément aux dispositions de l'article 5.1 b du RGPD.
Sur les données traitées
Lorsqu'un professionnel souhaite effectuer une déclaration dématérialisée de rappel, il doit adhérer au site professionnel « RappelConso » et fournir des informations d'identification qui lui permettent de créer des comptes administrateurs et utilisateurs.
Le ministère a indiqué que lors de la création d'une fiche de rappel, les éléments d'identification du professionnel, renseignés lors de la création d'un compte adhérent, étaient réutilisés lors de l'enregistrement d'une déclaration de rappel.
L'annexe du projet d'arrêté énumère la liste des données à caractère personnel collectées pour la création d'un compte adhérent et la création des fiches de rappels. Cette liste contient essentiellement des données de contact du professionnel et de l'agent instructeur des demandes ainsi que des données relatives aux produits rappelés.
La Commission considère que les données traitées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément aux dispositions de l'article 5.1 c du RGPD.
Sur l'information et les droits des personnes
L'article 9 du projet d'arrêté prévoit que les dispositions relatives à l'information des personnes concernées sont disponibles dans la rubrique « RGPD » de chacun des modules du site « RappelConso ».
Interrogé sur ce point, le ministère a indiqué que les utilisateurs du site « RappelConso » seront informés des traitements les concernant :
- lors de la création d'un compte adhérent au moyen d'une case à cocher et d'un simple renvoi vers une rubrique RGPD de son module ;
- lors de l'enregistrement d'une déclaration de rappel, au moyen d'une mention d'information figurant sur toutes notifications et comportant un renvoi vers une rubrique RGPD du portail correspondant. La Commission prend acte de l'engagement du ministère de ce que cette rubrique contiendra l'ensemble des informations exigées par l'article 13 du RGPD.
La Commission rappelle que l'information des personnes concernées, qui comprennent les agents instructeurs des demandes, doit être réalisée au moment de la collecte des données par le responsable de traitement selon les modalités définies à l'article 12 du RGPD, et doit comporter l'ensemble des mentions prévues par l'article 13 de ce texte.
A cet égard, si la Commission partage la position du G29 présentée dans les lignes directrices sur la transparence au sens du règlement, adoptées dans leur version révisée le 11 avril 2018 qui reconnaît, dans un univers numérique, la possibilité d'informer au travers de plusieurs niveaux, elle rappelle que certains éléments essentiels (tels que l'identité du responsable de traitement, les finalités du traitement et les modalités d'exercice des droits des personnes) doivent immédiatement être portés à la connaissance des personnes concernées. La Commission prend à cet égard acte de l'engagement du ministère de ce que les mentions d'informations portées à la connaissance des personnes concernées contiendront ces éléments essentiels.
Sur les durées de conservation
L'article 7 du projet d'arrêté prévoit les durées de conservation des informations et des données à caractère personnel suivantes :
- les données à caractère personnel relatives à une fiche de rappel sont conservées pendant une durée maximale de six ans ;
- les données à caractère personnel du compte d'un professionnel sont supprimées six mois après la suppression du même compte ;
- les informations sur la personne physique, ainsi que la personne morale effectuant la déclaration lorsque cette dernière est un professionnel, sont conservées tant que l'utilisateur dispose d'un accès au compte du professionnel pour lequel il a effectué la déclaration ;
- les informations sur un agent d'une autorité administrative traitant les déclarations ou les informations sur les rappels sont conservées tant que l'agent demeure dans la même affectation et exerce les mêmes attributions ;
- les informations relatives aux connexions et accès aux différents modules mentionnés à l'article 1er sont conservées pendant une durée qui ne peut excéder six mois à compter du jour de leur enregistrement.
Interrogé sur ce point, le ministère a indiqué que les historiques des états des fiches de déclaration de rappel étaient conservés en base active pour une durée maximale de six ans.
A cet égard, la Commission rappelle que les données personnelles collectées doivent être conservées en base active uniquement pour la durée nécessaire à la réalisation de l'objectif poursuivi par le traitement (soit la gestion des rappels). Une fois cet objectif atteint, les données personnelles qui présentent encore un intérêt administratif pour l'organisme ou pour répondre à une obligation légale, doivent être conservées en base intermédiaire. La Commission recommande donc de conserver les historiques des états des fiches de déclaration de rappel en base intermédiaire dès lors que l'objectif poursuivi a été atteint.
Sur les mesures de sécurité
La Commission relève que des mesures de protection physiques et logiques seront mises en œuvre pour préserver la sécurité du traitement et des informations, empêcher toute utilisation détournée et frauduleuse, notamment par des tiers non autorisés, préserver l'intégrité des données traitées et en assurer la disponibilité.
Les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par les dispositions de l'article 32 du RGPD.Liens relatifs
La présidente,
M.-L. Denis