Délibération n° 2021-133 du 18 novembre 2021 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « plateforme numérique d'accompagnement des victimes » (demande d'avis n° 20021694)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « plateforme numérique d'accompagnement des victimes » ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;


  • Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    La Commission nationale de l'informatique et des libertés (ci-après, la Commission) a été saisie pour avis par le ministère de l'intérieur d'un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « plateforme numérique d'accompagnement des victimes » (ci-après, la PNAV). Ce traitement a pour objet de permettre aux personnes estimant être victimes ou témoins d'infractions d'atteintes aux personnes d'être orientées vers des personnels de la police nationale ou des militaires de la gendarmerie nationale spécialement formés et d'échanger en temps réel, avec ces derniers, depuis un moyen de communication électronique.
    La PNAV a vocation à remplacer la plateforme de signalement des violences à caractère sexuel et sexiste, sur laquelle la Commission s'est prononcée dans sa délibération n° 2018-310 du 13 septembre 2018. A la demande de la Commission, la mise en œuvre de ce traitement a fait l'objet d'un bilan à l'issue d'une première année d'utilisation. Cette évaluation a permis de mettre en évidence le rôle important, notamment en période de crise sanitaire, de la plateforme en matière de signalement des violences conjugales, et par là même d'apprécier la nécessité d'élargir le dispositif à d'autres infractions nécessitant un accompagnement individualisé.
    Dans cette perspective, la création de la PNAV vise à couvrir, au-delà des seules infractions sexuelles et sexistes, une série d'infractions d'atteintes aux personnes - à l'instar des atteintes à l'intégrité physique ou psychique de la personne ou encore des atteintes aux mineurs et à la famille. Bien qu'il couvre un périmètre plus large que la plateforme de signalement des violences à caractère sexuel et sexiste, le dispositif projeté reprend, pour l'essentiel, l'architecture de cette dernière. Ainsi, la PNAV sera accessible via le site « service-public.fr », lequel hébergera des canaux de discussion instantanée (tchat). Dès lors qu'il apparaitra, au cours d'une conversation, que les faits signalés sont en lien avec les finalités de la PNAV et nécessitent un traitement judiciaire, la conversation sera versée dans un logiciel métier (pour la police nationale, la « nouvelle main courante informatisée » ou N-MCI ; pour la gendarmerie nationale, le « logiciel de rédaction des procédures de la gendarmerie nationale » ou LRPGN) en vue de sa transmission aux services d'enquête compétents.
    Si la Commission ne remet pas en cause l'économie générale du dispositif ni la nécessité de créer un tel traitement, elle émet néanmoins quelques observations sur certaines des conditions de mise en œuvre de la PNAV.
    - D'une part, elle observe que les échanges entre déclarants et opérateurs seront initialement effectués via une plateforme web mais que le ministère n'exclut pas de recourir à d'autres moyens de communication électronique susceptibles de soulever des enjeux nouveaux.
    - D'autre part, elle observe que la mise en relation de la PNAV et des traitements N-MCI soulève des difficultés juridiques, au regard notamment des catégories de données traitées.
    - S'agissant enfin de la sécurité du traitement, la Commission relève que le dispositif projeté implique un stockage de données chez des prestataires ne permettant pas d'assurer un niveau de garantie suffisant.
    Dès lors que le traitement est mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière, il relève du champ de la directive (UE) 2016/680 du 27 avril 2016 susvisée et doit être examiné au regard des dispositions des titres I et III de la loi du 6 janvier 1978 modifiée.
    Dans la mesure où le traitement est susceptible de porter sur des données mentionnées au I de l'article 6 de de la loi du 6 janvier 1978 modifiée, il doit faire l'objet d'un décret en Conseil d'Etat, pris après avis motivé et publié de la Commission, conformément à l'article 89 de cette même loi.
    Sur les finalités et le fonctionnement du traitement :
    L'article 1er du projet de décret prévoit que le traitement vise à permettre à une personne qui estime être victime ou témoin d'une des infractions énumérées d'entrer en relation et d'échanger avec un personnel de la police nationale ou un militaire de la gendarmerie nationale et d'effectuer un signalement depuis un réseau de communication électronique. Dans cette perspective, le traitement permet aux agents de la plateforme d'informer le déclarant de ses droits, de l'orienter vers les services et associations compétents pour son accompagnement, de faciliter son accueil et sa prise en charge par les services de police et de gendarmerie, ou encore de recueillir et transmettre des signalements aux services d'enquête territorialement compétents.
    S'agissant des moyens projetés pour atteindre ces finalités, la Commission observe en premier lieu que les échanges entre un déclarant et un personnel de la police nationale ou un militaire de la gendarmerie nationale se feront « depuis un réseau de communication électronique » mais que, néanmoins, le projet de décret ne précise pas les moyens de communication pouvant être utilisés. La Commission prend acte de ce que dans un premier temps, les échanges seront assurés depuis un téléservice mis à disposition des victimes et des témoins sur le site « service-public.fr ». Elle observe également que le ministère envisage d'étendre les moyens assurant les échanges, en permettant par exemple le recours au SMS. Or l'utilisation d'autres moyens de communication est susceptible de soulever des enjeux nouveaux, relatifs notamment à la confidentialité des échanges.
    Concernant le recours au SMS, la Commission reconnait la pertinence d'un tel moyen en certaines circonstances, et notamment dans le cas où un déclarant ne disposerait pas d'un accès à internet. Cependant, les données échangées par ce biais ne pourront faire l'objet d'une suppression, automatisée ou émanant de l'opérateur, du téléphone du déclarant. Si, par ailleurs, le ministère a prévu plusieurs fonctionnalités limitant les risques de découverte d'une utilisation de la plateforme web par des tiers, à l'instar d'un bouton permettant de quitter et d'effacer rapidement la conversation, ces fonctionnalités ne pourront être appliquées aux échanges effectués par SMS.
    De manière générale, la Commission estime que le champ infractionnel couvert par la plateforme ainsi que la vulnérabilité des victimes appellent à privilégier des moyens de communication pouvant être assortis de garanties relatives à la confidentialité des échanges d'une part, et à la suppression des données dans les délais les plus brefs d'autre part.
    En tout état de cause, la Commission rappelle que, conformément à l'article 33-II de la loi du 6 janvier 1978 modifiée, elle devra être informée et, le cas échéant, saisie de toute nouvelle fonctionnalité de communication électronique. Au même titre, elle souligne que l'analyse d'impact relative à la protection des données (AIPD) qui lui a été transmise devra faire l'objet d'une mise à jour avant l'utilisation d'une telle fonctionnalité, afin de prendre en compte les risques pour les personnes concernées et d'identifier les mesures permettant d'y pallier.
    En second lieu, les échanges sur la plateforme pourront donner lieu à l'introduction d'un signalement par une personne estimant être victime ou témoin de l'une des infractions visées par le projet de décret. Le ministère n'a pas exclu que des signalements concernant une même personne soient rapprochés même si, compte tenu de la durée de conservation des données (quatre heures), de tels rapprochements semblent difficiles. Cependant, la Commission s'interroge sur la nécessité de rapprocher de tels signalements au regard des finalités du traitement. En effet, la PNAV n'a pas pour objet de permettre le traitement judiciaire d'un signalement mais vise à faciliter, en amont d'une éventuelle enquête judiciaire, les échanges entre un déclarant et les services de la police ou de la gendarmerie nationale. En ce sens, tout rapprochement entre signalements n'est pas nécessaire aux finalités du traitement et a vocation à être effectué dans un second temps, dès lors qu'un signalement a été transmis au service d'enquête compétent.
    Sur les catégories de données traitées :
    L'article 2 du projet de décret énumère les données à caractère personnel et informations pouvant être traitées, en distinguant celles relatives au déclarant, à l'agent traitant le signalement, et aux faits signalés. L'article 3 prévoit par ailleurs que le traitement peut enregistrer des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978 modifiée.
    En premier lieu, la Commission observe que le déclarant n'a pas l'obligation de fournir l'ensemble des données visées par l'article 2 et qu'il pourra se connecter à la plateforme sans fournir de données permettant de l'identifier directement. A cette fin, l'article 2 inclut dans les données pouvant être collectées les pseudonymes, alias et surnoms, ce qui n'était pas prévu antérieurement. En permettant le recours au pseudonymat, le nouveau dispositif favorise l'utilisation de la plateforme et facilite les échanges.
    La collecte de l'adresse IP et du port source rattachés au déclarant, qui sera effectuée de manière automatique au moment de la connexion à la plateforme, est en revanche susceptible d'atténuer la possibilité d'utiliser la PNAV de manière pseudonymisée. A cet égard, la Commission prend acte des précisions apportées par le ministère selon lesquelles ces données ne seront exploitées qu'en certaines circonstances, par exemple en cas d'urgence nécessitant de protéger une personne qui n'aurait pas été identifiée ou d'usage malveillant du service. Elle observe que les cas d'usage envisagés correspondent à ceux retenus pour la plateforme de signalement des violences à caractère sexuel et sexiste, sur lesquels elle s'est déjà prononcée dans sa délibération n° 2018-310 du 13 septembre 2018.
    En tout état de cause, le ministère devrait délimiter les cas d'exploitation de l'adresse IP et du port source dans une doctrine d'emploi et, par ailleurs, prévoir une formation des personnels en ce sens pour éviter tout traitement qui ne serait pas nécessaire dans les situations préalablement identifiées. La Commission prend acte de ce qu'une doctrine d'emploi est actuellement en cours d'élaboration, et de l'engagement du ministère de la lui communiquer.
    En deuxième lieu, la Commission relève que le traitement peut enregistrer des données sensibles, à l'exception des données génétiques et biométriques.
    Conformément à l'article 88 de la loi du 6 janvier 1978 modifiée, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ».
    S'agissant de la nécessité du traitement, la Commission observe que la collecte des données sensibles visées par le projet de décret ne peut être exclue au regard de l'architecture, des finalités et du périmètre infractionnel couvert par la PNAV. En effet, les données susceptibles d'être collectées ont vocation à être inscrites par le déclarant grâce au champ libre d'une messagerie instantanée. Elles peuvent donc concerner aussi bien les déclarants que des tiers et concernent des infractions d'atteintes aux personnes. Or les échanges relatifs à certaines de ces infractions, comme les discriminations, impliquent la communication de données sensibles par les déclarants. A ce propos, le ministère a précisé qu'il n'est pas possible d'exclure que des données sensibles soient communiquées par le déclarant et que, par ailleurs, la mise en place d'un dispositif de filtre conduirait à brider l'opérateur dans l'exercice de ses missions et l'usager dans sa déclaration.
    S'agissant des garanties entourant le traitement de ces données sensibles, la Commission prend acte des précisions apportées par le ministère selon lesquelles les seules données nécessaires à la finalité du traitement et correspondant aux faits signalés seront retenues par les opérateurs. Cette minimisation sera notamment garantie par la formation, la spécialisation et une supervision des opérateurs d'une part, et par l'élaboration d'une doctrine d'emploi explicitant les données pouvant être collectées d'autre part.
    En outre, la Commission observe qu'il ne sera pas possible d'effectuer une recherche au sein de la plateforme à partir de données sensibles, lesquelles ne pourront par ailleurs pas faire l'objet d'une extraction, en particulier à des fins d'élaboration de statistiques.
    En troisième lieu, la Commission observe que tout échange effectué sur la plateforme web sera subordonné à la collecte préalable du code postal ou de la commune de domiciliation du déclarant. Ces données, dont la collecte a pour seul objectif d'orienter le déclarant vers les services territorialement compétents, seront néanmoins conservées dans le traitement. La Commission s'interroge sur la nécessité d'enregistrer ces données dès lors que le déclarant a été dirigé vers le service compétent et que, de ce fait, la finalité de la collecte a été atteinte.
    Sous réserve des observations précédemment formulées, la Commission considère que les catégories de données visées par le projet de décret sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées.
    Sur la durée de conservation des données :
    L'article 4 du projet de décret dispose que les données à caractère personnel et informations visées à l'article 2 précité sont conservées le temps strictement nécessaire au signalement, pour une durée ne pouvant excéder quatre heures à compter du dernier échange.
    En premier lieu, la Commission prend acte de ce que le « dernier échange » correspond au dernier message apparaissant dans le fil de discussion en cours et que, par ailleurs, un usager quittant la plateforme et se reconnectant par la suite avec une adresse IP et un port source identiques verrait s'ouvrir un nouvel échange.
    En second lieu, les données et informations collectées seront automatiquement supprimées passé le délai maximal prévu par le projet de décret. Elles pourront, par ailleurs, faire l'objet d'une suppression manuelle de la part de l'opérateur à l'issue d'une conversation et avant même l'expiration du délai de quatre heures. A ce propos, la Commission souligne que la suppression manuelle des données à l'issue d'une conversation devrait faire l'objet d'un point de sensibilisation particulier auprès des opérateurs, de manière à ce que toute donnée non nécessaire aux finalités du traitement soit supprimée dans les délais les plus brefs.
    Sur les mises en relation envisagées :
    La Commission prend acte de ce que le ministère envisage de mettre en relation la PNAV avec les traitements N-MCI et LRPGN, et que ces mises en relation visent à assurer le traitement judiciaire des signalements effectués par les déclarants sur la plateforme.
    A titre liminaire, elle observe que des données constitutives d'un signalement introduit sur la PNAV pourront être versées dans l'un des traitements précités en vue de l'établissement d'un compte-rendu de signalement. Ces données ne seront enregistrées dans N-MCI ou LRPGN que si les faits relatés par le déclarant sont conformes aux finalités du traitement et liés à l'une des infractions relevant des catégories visées à l'article 1er du projet de décret. Enfin, la transmission des données de la PNAV vers l'un des traitements précités donnera lieu à la fermeture de la conversation sur la plateforme et, par là même, à la suppression de cette dernière.
    Le versement des données de la plateforme dans les traitements N-MCI sera transitoire, dans la mesure où le ministère entend créer un nouveau traitement permettant de recueillir les signalements de particuliers en commissariat, qui aura vocation à être mis en relation avec la plateforme numérique d'accompagnement des victimes.
    En dépit de son caractère temporaire, la mise en relation des traitements PNAV et N-MCI soulève des observations. A cet égard, la Commission rappelle que la mise en relation de traitements régis par des actes règlementaires doit respecter les dispositions régissant chacun des traitements, s'agissant notamment des finalités, des catégories de données, des accédants et des destinataires des deux traitements.
    En l'espèce, la mise en relation projetée n'est pas contraire aux finalités des deux traitements en ce qu'elle vise la transmission, aux services enquêteurs compétents, de signalements nécessitant un traitement judiciaire.
    Néanmoins, certaines des catégories de données pouvant être collectées au titre de la PNAV et donc susceptibles d'être versées dans les traitements N-MCI ne sont pas autorisées à figurer dans ces derniers. En particulier, le traitement de données sensibles n'est pas autorisé par l'arrêté du 22 juin 2011 encadrant les traitements N-MCI. La Commission rappelle avoir souligné, dans sa délibération n° 2011-125 du 5 mai 2011, que la rédaction et la forme juridique du texte encadrant N-MCI ne permettent pas le traitement de données sensibles.
    Dans ces conditions, la Commission invite le ministère à procéder aux seules mises en relation qui seraient pertinentes au regard des finalités de la PNAV et compatibles avec les dispositions régissant chacun des traitements.
    Sur les accédants et destinataires du traitement :
    L'article 5 du projet de décret relatif aux accédants et destinataires du traitement reprend, pour l'essentiel, ce qui existe pour la plateforme de signalement des violences à caractère sexuel et sexiste. Il apporte néanmoins des précisions sur certaines catégories de personnes pouvant accéder à des données à caractère personnel et informations enregistrées dans le traitement.
    Ainsi, les psychologues de la police et de la gendarmerie nationales assistant les personnels chargés du recueil des signalements pourront, au titre du dispositif d'aide aux victimes, recevoir l'ensemble des données à caractère personnel et informations visées à l'article 2, à l'exception de l'adresse IP et du port source.
    La Commission relève que d'autres catégories de données énumérées par l'article 2, comme de l'adresse électronique du déclarant, ne sont pas nécessaires à l'accompagnement des victimes. En outre, la transmission de ces données pourra être effectuée par téléphone, un moyen de communication de nature à favoriser la spontanéité des échanges donc la transmission de données non nécessaires à l'accompagnement d'une victime. Au regard de ces éléments, la Commission invite le ministère à prendre des mesures appropriées pour s'assurer que les opérateurs de la plateforme communiquent aux psychologues de la police et de la gendarmerie nationales les seules données pertinentes et nécessaires à l'accompagnement d'une victime.
    Enfin, la Commission souligne que la transmission des données par le biais d'un moyen de communication téléphonique est également susceptible de soulever des enjeux relatifs à la sécurité du traitement, qu'il conviendra le cas échéant de prendre en compte.
    Sur les modalités d'exercice des droits :
    A titre liminaire, la Commission observe que les modalités d'exercice des droits sont similaires à celles de la plateforme de signalement des violences à caractère sexuel et sexiste. D'une part, les droits d'information, d'accès, de rectification et d'effacement et à la limitation des données s'exerceront directement auprès de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale. D'autre part, les droits d'accès, de rectification, d'effacement et à la limitation pourront faire l'objet de restrictions dans les conditions des 2° et 3° du II et du III de l'article 107 de la loi du 6 janvier 1978 modifiée. Enfin, le droit d'opposition ne s'appliquera pas au traitement en application de l'article 110 de la loi du 6 janvier 1978 modifiée.
    En premier lieu, la Commission prend acte de ce qu'une information générale sera délivrée au public via une politique de confidentialité, accessible sur chaque page du site « service-public.fr » hébergeant un canal de communication, qui précisera le champ d'application et le périmètre du traitement. Une information sur le traitement sera également fournie sur le site web du ministère.
    La Commission observe que, compte tenu de l'objet même du traitement, les personnes mentionnées par le déclarant comme auteur, victime ou témoin n'auront pas d'informations sur le fait qu'elles font le cas échéant l'objet d'un signalement, ni sur le déclarant qui les mentionne, ni sur les faits susceptibles de leur être imputés, ni sur la conservation de ces éléments pendant une durée de quatre heures.
    En second lieu, l'exercice des droits d'accès, de rectification, d'effacement et à la limitation des personnes mentionnées en tant qu'auteurs, victimes ou témoins par un déclarant sera également limité dans la mesure où ces personnes n'auront pas vocation à avoir connaissance du signalement en question.
    A ce propos, la Commission observe que les personnes concernées seront plus nombreuses que sous l'angle du dispositif antérieur, au regard notamment du périmètre étendu de la plateforme, laquelle vise à couvrir une large série d'infractions d'atteintes aux personnes d'une part, et est accessible aux personnes estimant être victimes ou témoins de l'une de ces infractions d'autre part.
    De manière à limiter le nombre de personnes dont les données sont traitées et dont l'exercice des droits est en pratique limité, la Commission invite le ministère à prendre en compte le principe de minimisation des données. En ce sens, elle réitère la nécessité se sensibiliser les opérateurs à la collecte des seules données à caractère personnel et informations strictement nécessaires aux finalités du traitement et pertinentes dans un échange donné.
    Sur les mesures de sécurité projetées :
    En premier lieu, l'accès au téléservice se fera via le protocole HTTPS, qui permet de garantir la confidentialité des données échangées ainsi que l'authentification du responsable de traitement. Concernant le recours à ce protocole, la Commission recommande d'utiliser la version de TLS la plus à jour possible. En particulier, elle rappelle que les versions TLS 1.0 et TLS 1.1 ne disposent pas de fonctions cryptographiques conformes au RGS. En outre, la Commission recommande la mise en œuvre de l'ensemble des recommandations de l'ANSSI en la matière, formalisées dans le document « Recommandations de sécurité relatives à TLS » qui a été mis à jour en mars 2020 par une version 1.2. Enfin, elle rappelle qu'il revient au ministère d'attester formellement de l'acceptation du niveau de sécurité du téléservice au travers d'une homologation référentiel général de sécurité (RGS) comme prévu par le décret n° 2010-112 du 2 février 2010 et d'en publier l'attestation d'homologation sur son site.
    En deuxième lieu, la Commission prend acte de ce que le stockage des dossiers ouverts sera effectué chez un hébergeur garantissant un hébergement sur une plateforme non soumise à des législations extra européennes. Concernant le sous-système de conversation instantanées EASICHAT, la Commission rappelle que les données traitées par ce sous-système doivent être hébergées dans les mêmes conditions que celles des dossiers ouverts, ou à défaut que des mesures complémentaires de chiffrement soient mises en œuvre afin de garantir l'impossibilité technique pour l'hébergeur d'accéder aux données en clair.
    En troisième lieu, la Commission renvoie à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe modifiée par la délibération n° 2017-190 du 22 juin 2017. Elle souligne, en particulier, l'importance d'utiliser une fonction cryptographique non réversible et sûre spécialisée dans le stockage de mots de passe.
    En quatrième lieu, il apparaît qu'une journalisation des opérations de création, modification, consultation, communication, transferts et suppression des données sera mise en place. Toutes les traces seront conservées trois ans. La Commission prend acte de cette durée pour ce qui concerne les dossiers stockés. Pour les traces relatives aux échanges, elles-mêmes intégrées aux logiciels métier si besoin et supprimées au bout de quatre heures du traitement PNAV, elle estime qu'une durée inférieure aurait dû être retenue. En tout état de cause, et afin de limiter les risques de non-détection d'une utilisation anormale du dispositif, la Commission recommande de réaliser un contrôle des traces de manière automatique, générant des alertes le cas échéant, ainsi qu'une revue régulière des habilitations et des contrôles de leur utilisation.
    En dernier lieu, la Commission prend acte de ce que le ministère a mis en œuvre plusieurs mesures visant à limiter les risques de découverte de l'utilisation de la plateforme par des tiers, comme un bouton rouge « Quitter en urgence et effacer la conversation », un choix d'URL peu signifiant ou une information sur l'effacement des traces mise à disposition des victimes sur le principal site orientant les victimes sur la PNAV.
    Sous réserve des précédentes observations, la Commission considère que les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 99 de la loi du 6 janvier 1978 modifiée. Toutefois, cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques. A cet égard, la Commission souligne qu'il conviendra d'apporter une attention spécifique à la réévaluation des mesures de sécurité dans le cadre de la mise à jour impérative de l'analyse d'impact.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 238,2 Ko
Retourner en haut de la page