Délibération n° 2021-059 du 20 mai 2021 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Base interministérielle PPST » (demande d'avis n° 20016935)

NOR : CNIX2200795V
JORF n°0064 du 17 mars 2022
Texte n° 95
Extrait du Journal officiel électronique authentifié PDF - 226,9 Ko

Version initiale


  • La Commission nationale de l'informatique et des libertés,
    Saisie par le secrétariat général de la défense et de la sécurité nationale d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Base interministérielle PPST » ;
    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31-II ;
    Après avoir entendu le rapport de M. François PELLEGRINI, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    La Commission a été saisie par le secrétariat général de la défense et de la sécurité nationale (SGDSN) d'une demande d'avis concernant un projet de décret (ci-après « le projet de décret ») portant création d'un traitement automatisé de données à caractère personnel dénommé « Base interministérielle PPST » (ci-après « base interministérielle »).
    Ce traitement vise à contribuer au dispositif de protection du potentiel scientifique et technique de la Nation (PPST), lequel repose sur un contrôle des accès aux savoirs, savoir-faire et technologies stratégiques ou sensibles abrités dans les zones à régime restrictif (ZRR), de façon à en prévenir les risques de captation ou de détournement de ces derniers.
    Plus particulièrement, ce traitement a pour objet de centraliser les données à caractère personnel et informations enregistrées dans les traitements dénommés chacun « Base ministérielle PPST » (ci-après les « bases ministérielles »), qui permettent aux ministres concernés d'instruire les demande d'avis dont ils sont saisis, en application de l'article R. 413-5-1 du code pénal, par les chefs de services, d'établissements ou d'entreprises appelés à statuer sur une demande d'autorisation d'accès à une zone à régime restrictif (ZRR). Il doit également centraliser les données à caractère personnel et informations enregistrées dans le traitement dénommé « SOPHIA » qui permet notamment au ministère des armées de gérer les accès aux ZRR dont il a la tutelle. Ce traitement doit ainsi offrir une visibilité globale sur les demandes d'autorisation d'accès ayant été enregistrées et ainsi déterminer si d'autres demandes d'accès présentées par la même personne ont déjà été instruites par d'autres ministères ainsi que, le cas échéant, les suites qui ont été données.
    De manière générale, la Commission rappelle qu'une vigilance particulière s'impose s'agissant de ce type de dispositifs ayant notamment pour objet la réalisation d'enquêtes administratives de sécurité.
    Compte tenu du fait que ce traitement vise, d'une part, à protéger des savoirs, savoir-faire et technologies relevant de la défense nationale ou des intérêts fondamentaux de la Nation et, d'autre part, à prévenir leur détournement à des fins militaires, de terrorisme ou de prolifération d'armes de destruction massive, la Commission considère qu'il relève des articles 1er à 41 de la loi du 6 janvier 1978 modifiée ainsi que des articles 115 à 124 de la même loi applicables aux traitements intéressant la sûreté de l'Etat et la défense.
    Sur les finalités du traitement :
    L'article 1er du projet de décret précise que le traitement vise à empêcher que des éléments essentiels du potentiel scientifique ou technique de la Nation, d'une part, fassent l'objet d'une captation de nature à affaiblir les moyens de défense de la Nation, à compromettre sa sécurité ou à porter préjudice à ses autres intérêts fondamentaux et, d'autre part, prévenir leur détournement à des fins de terrorisme, de prolifération d'armes de destruction massive et de leurs vecteurs, ou de contribution à l'accroissement d'arsenaux militaires.
    Le traitement a pour objet l'intégration des données à caractère personnel et informations enregistrées dans les bases ministérielles et dans le traitement dénommé « SOPHIA ». Ce faisant, il doit permettre de disposer d'une visibilité sur toutes les demandes d'autorisation d'accès ayant été enregistrées. La base interministérielle vise ainsi à favoriser les échanges entre les ministères et permettre le cas échéant un recoupement d'informations (par exemple, l'identification de discordances dans des dossiers de demandes d'accès déposés par une même personne auprès de différents ministères).
    Sans remettre en cause le besoin des services des hauts fonctionnaires de défense et de sécurité (HFDS), chargés d'instruire les demandes d'avis, de vérifier si les personnes à l'origine des demandes d'accès à une ZRR ont procédé à d'autres demandes auprès d'autres ministères, et d'en connaître les suites, la Commission estime que la formulation de l'article 1er du projet de décret, selon lequel le traitement « a pour finalité de permettre aux destinataires de ce traitement de disposer d'une visibilité sur toutes les demandes d'autorisation d'accès ayant été enregistrées », est trop large. Elle prend acte de ce que le SGDSN prévoit de remplacer ces termes par la formulation suivante : « a pour finalité de vérifier, aux fins d'instruire les demandes d'avis, si une personne demandant l'accès à une zone à régime restrictif a déjà présenté une ou plusieurs demandes auprès d'autres ministères, et, le cas échéant, de leur permettre de connaître les suites qui y ont été données ».
    Sous cette réserve, la Commission estime que les finalités du traitement sont déterminées, explicites et légitimes.
    Sur les données collectées :
    L'article 2 du projet de décret précise que les données à caractère personnel et informations enregistrées dans la base interministérielle sont issues des bases ministérielles, qui centralisent l'instruction par les ministères concernés des demandes d'avis relatives aux demandes d'autorisation d'accès à une ZRR. La Commission relève par ailleurs que la base interministérielle sera également alimentée par les données à caractère personnel et informations issues du traitement dénommé « SOPHIA » mis en œuvre par le ministère des armées.
    La Commission prend acte des éléments apportés par le SGDSN selon lesquels la mise en relation entre les bases ministérielles et la base interministérielle s'opérera uniquement des premières vers la seconde, afin d'importer dans cette dernière, via un fichier d'échange transporté manuellement d'une base à l'autre, les données issues des bases ministérielles. Cette opération sera réalisée à intervalles réguliers (au moins une fois par semaine), à l'initiative des ministères concernés. Cette alimentation de la base interministérielle par les bases ministérielles est justifiée par le fait que l'instruction des demandes, dans chaque département ministériel, nécessite de vérifier, d'une part, si la même personne a formulé des demandes dans d'autres ministères et, d'autre part, si tel est le cas, de consulter certaines pièces de ces autres demandes afin de repérer des demandeurs malveillants.
    La finalité recherchée par le gouvernement peut être atteinte soit par la duplication totale des bases ministérielles dans la base interministérielle, soit par la transmission des seuls fonds de dossiers pertinents, lorsque le besoin s'en fait sentir au cours d'une instruction. La Commission rappelle que sa doctrine, appuyée à la fois sur le principe de minimisation des données et de sécurité de celles-ci, déconseille fortement la duplication de bases de données lorsque celles-ci contiennent des informations sensibles, ce qui est le cas en l'espèce. La Commission ne conteste pas qu'il est nécessaire que l'ensemble des noms et informations d'identification des demandeurs présents dans les bases ministérielles soit copié dans la base interministérielle afin que l'interrogation de celle-ci, par les personnes habilitées dans chaque ministère, permette de déterminer s'il est nécessaire d'accéder aux éléments complémentaires conservés dans les bases ministérielles. En revanche, la transmission par anticipation de l'ensemble des données à caractère personnel et informations enregistrées dans les bases ministérielles apparaît aller au-delà de ce qui est nécessaire, puisque ce n'est que ponctuellement que certaines de ces informations devront être consultées dans la base interministérielle.
    Si les bases avaient pu être reliées entre elles par des API réseau, la Commission aurait recommandé que les fonds des dossiers à consulter soient téléversés à la demande dans la base interministérielle, en fonction des besoins. Les modalités particulières d'échange d'informations entre les bases ministérielles et la base ministérielle, via un support amovible plutôt que par interconnexion réseau pour des raisons de cloisonnement, ne sont pas de nature à remettre en cause ce principe, l'échange d'informations entre bases étant toujours assuré par la navette du support.
    Par conséquent, eu égard à la nature des données en cause, au fait que les vérifications à effectuer ne concernent, d'après les éléments portées à sa connaissance, qu'un nombre restreint de dossiers par rapport à l'ensemble des données de chaque base ministérielle qui se verraient dupliquées, et au fait qu'il n'est pas justifié qu'un autre usage de la base interministérielle par ses accédants nécessiterait de disposer en permanence de l'ensemble de ces données, la Commission estime que cette solution doit être privilégiée. Elle invite donc le SGDSN à ce que la base interministérielle permette aux agents instructeurs pouvant y accéder de vérifier si le nom du demandeur en cause est présent dans d'autres bases ministérielles et, lorsque cela est le cas, à ce que le système de la base interministérielle génère une requête de transfert des éléments pertinents des bases ministérielles vers la base interministérielle, à l'image de ce qui se ferait au moyen d'une API réseau. Ces requêtes seraient automatiquement transmises, et leur résultat automatiquement rapatrié, lors de la navette du support. D'après les éléments dont dispose la Commission, la base interministérielle étant alimentée chaque semaine, l'allongement des délais d'instruction qui en résulterait serait limité. Elle invite le gouvernement à prévoir des modalités sécurisées d'alimentation ponctuelle de la base interministérielle afin, notamment de protéger l'identité des personnes dont les données sont transférées vers cette base, et de supprimer les données devenues non nécessaires au sein de la base interministérielle une fois les vérifications effectuées.
    La Commission s'interroge par ailleurs sur la nécessité d'intégrer, au titre de la catégorie « informations contenues dans les documents fournis au chef du service, de l'établissement ou de l'entreprise par la personne faisant l'objet de la demande d'avis », l'ensemble des informations, pièces et documents fournis par le demandeur dans le cadre de son dossier de demande d'accès (curriculum vitae, lettres de recommandations, liste des publications, études ou travaux réalisés, copie de diplômes ou de documents d'identité, etc.).
    Sur la durée de conservation des données :
    L'article 4 du projet de décret prévoit que les données à caractère personnel et informations enregistrées dans le traitement sont conservées pour une durée de dix ans et deux mois à compter de la date de transmission du dernier avis rendu par le ministre sur une demande d'accès à une ZRR.
    La Commission prend acte des éléments apportés par le SGDSN selon lesquels cette durée se justifie, d'une part, par le fait qu'une autorisation d'accès à une ZRR est accordée pour une durée maximale de cinq ans et, d'autre part, par l'intérêt pour le ministre de savoir si l'auteur de la demande d'accès a déjà présenté une demande d'accès à une ZRR et, dans l'affirmative, de prendre connaissance des éléments de l'instruction qui avaient alors conduit à émettre un avis favorable ou non. Au regard de ces éléments, la Commission estime qu'une telle durée de conservation est proportionnée. Elle rappelle que la finalité du traitement à l'article 1er du projet de décret devra être précisée afin d'indiquer que la base interministérielle vise à permettre aux ministères concernés d'instruire les demandes d'avis dont ils ont la charge.
    La Commission estime enfin que la mise en place d'un système de téléversement dans la base interministérielle, au moyen d'un fichier d'échange transporté manuellement, des éléments pertinents des bases ministérielles, suite à la demande des agents instructeurs, emporte pour conséquence que les données à caractère personnel et informations correspondantes soient supprimées de la base interministérielle une fois l'avis du ministre rendu.
    Sur les accédants et destinataires des données :
    L'article 5 du projet de décret énumère les personnes pouvant accéder aux données à caractère personnel et informations enregistrées dans le traitement ainsi que les personnes destinataires.
    En premier lieu, peuvent être destinataires des données à caractère personnel et des informations du traitement, les agents des six ministères précités et chargés d'instruire les demandes d'avis, individuellement désignés par le ministre dont ils relèvent et spécialement habilités par le SGDSN.
    La Commission prend acte des éléments transmis par le SGDSN selon lesquels ces agents sont les personnes qui, au sein des ministères, sont chargées de la mise en œuvre du dispositif PPST (les chargés de mission PPST et leur hiérarchie directe). Ces agents sont autorisés, en raison de leur fonction qui implique d'instruire les demandes d'avis, à accéder, à la seule fin de leur consultation, à l'ensemble des données et informations enregistrées dans la base interministérielle.
    En deuxième lieu, l'article 5 du projet de décret prévoit que les agents des services spécialisés mentionnés au premier paragraphe de l'article R. 811-1 du code de la sécurité intérieure, dits « services de renseignement de premier cercle », individuellement désignés par l'autorité de tutelle dont ils relèvent et spécialement habilités par le SGDSN, peuvent être destinataires des informations enregistrées dans le traitement.
    La Commission prend acte des éléments apportés par le SGDSN selon lesquels les agents concernés sont ceux qui, au sein des services spécialisés pertinents, sont directement associés à la mise en œuvre du dispositif PPST au travers des missions de prévention, d'information et d'inspection qui leur incombent. Elle estime donc que la communication d'informations à ces services s'inscrit dans le cadre de la finalité de protection des éléments essentiels du potentiel scientifique ou technique de la Nation prévue à l'article 1er du projet de décret.
    A cet égard, le SGDSN a précisé que les agents concernés sont en particulier ceux relevant de la direction du renseignement et de la sécurité de la défense (DRSD) et de la direction générale de la sécurité intérieure (DGSI). La Commission estime par conséquent que le projet de décret devrait être modifié afin de ne viser que ces deux seuls services spécialisés de renseignement et prend acte de ce que le SGDSN prévoit de modifier l'article 5 du projet de décret en ce sens.
    Sur les mises en relation :
    L'article 7 du projet de décret prévoit que les bases ministérielles ainsi que le traitement automatisé de données à caractère personnel relatif à la gestion des procédures de sécurité du personnel du ministère de la défense et des industries, dénommé « SOPHIA », font l'objet d'une mise en relation avec la base interministérielle.
    A cet égard, le SGDSN a précisé que ces mises en relation s'opéreront des bases ministérielles et du traitement dénommé « SOPHIA » vers la base interministérielle, via un fichier d'échange. Cette opération sera réalisée à intervalles réguliers (au moins une fois par semaine), à l'initiative des ministères concernés.
    En outre, si le SGDSN a confirmé que le traitement dénommé « SOPHIA » permet au ministère des armées de gérer des accès aux ZRR, la Commission relève que les finalités qu'il poursuit sont significativement plus larges et concernent, aux termes de l'article 1er de l'arrêté du 30 avril 2014 portant création du traitement, d'une part, la gestion dématérialisée des procédures d'habilitation et de contrôle élémentaire menées dans le cadre de la protection du secret de la défense nationale et, d'autre part, la gestion des demandes de permission des militaires à l'étranger dans le cadre de la protection du personnel de la défense.
    L'article 7 du projet de décret prévoit que la mise en relation entre la base interministérielle et le traitement « SOPHIA » est réalisée « dans le cadre de la finalité définie à l'article 1er et dans la limite des informations nécessaires ». La Commission estime à cet égard que cet import des données à caractère personnel et informations devrait être limité aux seules données relatives à des demandes d'accès à des ZRR. Elle prend acte de ce que le SGDSN prévoit de modifier l'article 2 du projet de décret afin de préciser que les données à caractère personnel et informations issues du traitement « SOPHIA » enregistrées dans la base interministérielle concerneront uniquement les demandes d'accès aux ZRR.
    Elle considère enfin que l'arrêté du 30 avril 2014 portant création du traitement devra être modifié afin de prévoir la mise en relation envisagée.
    Sur les droits des personnes :
    L'article 8 du projet de décret prévoit que le droit d'information prévu à l'article 116 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement.
    A cet égard, le SGDSN estime que, dans la mesure où il ne collecte pas directement les données à caractère personnel et informations concernant la personne faisant l'objet de la demande d'avis, il peut être dispensé de l'obligation d'informer la personne concernée, qui aura été préalablement informée par le chef de service, d'établissement ou d'entreprise lors de la remise du formulaire de demande d'autorisation d'accès.
    La Commission prend acte de ce que les informations figurant sur les formulaires de demandes d'accès remplis par les personnes lorsqu'elles présentent une demande d'accès à une ZRR, préciseront bien que les données à caractère personnel et les informations recueillies font l'objet d'un traitement automatisé de donnée à caractère personnel dénommé « Base ministérielle PPST » et d'un autre dénommé « Base interministérielle PPST ». Elle souligne en outre que la publication de l'acte réglementaire encadrant le traitement participe de l'information des personnes concernées s'agissant du traitement de leurs données à caractère personnel.
    La Commission estime donc que l'information n'est pas impossible et qu'elle est même prévue et demande au SGDSN de modifier l'article 8 du projet de décret en ce sens. Elle prend acte de ce que l'indication selon laquelle le droit d'information ne s'applique pas sera supprimée et que l'article 8 du projet de décret précisera qu'une information conforme aux dispositions du I de l'article 116 de la loi du 6 janvier 1978 modifiée figure sur le formulaire de demande d'accès aux ZRR.
    Les autres dispositions du projet de décret relatives à l'absence de droit d'opposition et au droit d'accès s'exerçant de manière indirecte n'appellent pas d'observations de la Commission.
    Sur la sécurité des données :
    La Commission estime satisfaisantes les mesures de sécurité qui seront mises en œuvre.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 226,9 Ko
Retourner en haut de la page