Délibération n° 2022-015 du 17 février 2022 portant avis sur un projet d'arrêté portant modification de l'arrêté du 19 mars 2012 portant création d'un traitement de données à caractère personnel relatif au suivi du trafic maritime dénommé « TRAFIC 2000 » (demande d'avis n° 21021648)

Version initiale


  • La Commission nationale de l'informatique et des libertés,
    Saisie par la ministre de la transition écologique d'une demande d'avis concernant un projet d'arrêté portant modification de l'arrêté du 19 mars 2012 portant création d'un traitement de données à caractère personnel relatif au suivi du trafic maritime dénommé « TRAFIC 2000 » ;
    Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ;
    Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 31-I-1° ;
    Vu l'arrêté du 19 mars 2012 modifié portant création d'un traitement de données à caractère personnel relatif au suivi du trafic maritime dénommé « TRAFIC 2000 » ;
    Vu l'arrêté du 16 décembre 2019 portant création d'un service à compétence nationale dénommé « Service national des données de voyage » (SNDV) ;
    Sur la proposition de Monsieur Alain DRU, commissaire, et après avoir entendu les observations de Monsieur Benjamin TOUZANNE, commissaire du Gouvernement,
    Emet l'avis suivant :
    La Commission nationale de l'informatique et des libertés (ci-après « la Commission ») a été saisie, le 7 décembre 2021, par la ministre de la transition écologique d'un projet d'arrêté portant modification de l'arrêté du 19 mars 2012 portant création d'un traitement de données à caractère personnel relatif au suivi du trafic maritime dénommé « TRAFIC 2000 ».
    L'arrêté du 19 mars 2012, modifié par l'arrêté du 26 octobre 2017, autorise la création par le ministère de la transition écologique et solidaire (direction des affaires maritimes) d'un traitement de données à caractère personnel dénommé « TRAFIC 2000 ». Ce traitement a pour finalités de recueillir les informations relatives au trafic maritime, au transport par les navires des marchandises dangereuses et polluantes, aux accidents et pollutions maritimes, ainsi que les données d'escale contenues dans les formalités déclaratives prévues par la directive 2010/65 du 20 octobre 2010 afin de relayer, en tant que de besoin, l'ensemble de ces informations aux autorités publiques nationales ou européennes exerçant une compétence dans les domaines du suivi et de la surveillance de la navigation maritime, de la gestion des opérations de recherche et de sauvetage en mer, de la surveillance des pollutions en mer, du contrôle aux frontières, des douanes et de la veille sanitaire.
    Le projet d'arrêté, objet de la présente saisine, vient modifier le traitement « TRAFIC 2000 » sur les destinataires, les données enregistrées et leur durée de conservation. La Commission appelle l'attention du ministère sur la nature de l'acte réglementaire dans l'hypothèse où le traitement ainsi modifié porterait effectivement sur des données sensibles. Elle rappelle également l'importance de l'information des personnes (passagers et membres d'équipage) sur le traitement « TRAFIC 2000 ».
    Sur le régime juridique applicable au traitement et l'acte autorisant celui-ci
    La Commission prend acte de ce que le traitement ne relève pas de la directive n° 2016/680 du 27 avril 2016, dite police-justice, transposée au titre III de la loi du 6 janvier 1978 modifiée (ci-après, la loi « Informatique et Libertés »), et qu'il y a lieu de faire application des dispositions du règlement général sur la protection des données (RGPD). La Commission prend également acte des précisions du ministère selon lesquelles le traitement « TRAFIC 2000 », placé sous la responsabilité de la direction des affaires maritime, intéresse la sécurité publique. Elle relève que cela justifie l'application de l'article 31-I de la loi « informatique et libertés ».
    Par ailleurs, la Commission relève que le 3° du I de l'article 2 de l'arrêté tel que modifié par le présent projet prévoit la collecte, sur demande des passagers, de « toute information relative aux besoins particuliers de soins ou d'assistance en cas d'urgence ». Compte tenu des précisions apportées par le ministère sur les types de données susceptibles d'être collectés à ce titre (restriction de déplacement ou appareillage, déficience auditive ou visuelle, contraintes de prise en charge de la victime ou précautions particulières, etc.) et du fait que ces données sont initialement collectées par les compagnies maritimes auprès des passagers sans que le ministère puisse en avoir le contrôle, elle appelle son attention sur le risque que des données sensibles, au sens de l'article 9 du RGPD (et notamment des données concernant la santé), soient collectées au sein du traitement.
    La Commission rappelle que le cas échéant, l'article 31-II de la loi « informatique et libertés » impose que le traitement soit autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la Commission.
    Sur les données collectées
    Le 2° de l'article 1er du projet d'arrêté vient compléter l'article 2 afin d'ajouter aux données déjà mentionnées :


    - le sexe, pour les membres d'équipage et les passagers ;
    - à la demande des passagers, le numéro à appeler en cas d'urgence et toute information relative aux besoins particuliers de soins ou d'assistance en cas d'urgence.


    Comme évoqué précédemment, la Commission souligne le risque que des données sensibles soient transmises par les autorités portuaires. Si elle prend acte des précisions selon lesquelles la description des besoins particuliers de soins ou d'assistance en cas d'urgence sera limitée à 256 caractères, elle recommande que des actions de sensibilisation et des règles de gestion viennent encadrer la transmission de ces données afin de permettre de ne collecter que les données nécessaires, conformément au principe de minimisation consacré à l'article 5.1.c du RGPD.
    Par ailleurs, la Commission prend acte que ces informations ne sont conservées que pour un maximum de soixante jours, et sont transmises uniquement aux centres régionaux opérationnels de surveillance et de sauvetage (CROSS) ou à leurs équivalents européens, à leur demande suite à la survenance d'une situation d'urgence.
    Sur la durée de conservation des données
    Le point b du 3° de l'article 1er du projet d'arrêté porte de dix à soixante jours la durée de conservation des données à caractère personnel relatives aux membres d'équipage et aux passagers enregistrées dans le traitement « TRAFIC 2000 ».
    Selon le ministère, cette augmentation de la durée de conservation vise à se conformer à la limite haute inscrite à l'article 10.3.a de la directive 2017/2109 du 15 novembre 2017 qui prévoit que les données à caractère personnel collectées sont conservées au plus tard, jusqu'au moment où le voyage du navire en question s'est achevé sans incident, mais en tout état de cause au plus tard soixante jours après le départ du navire.
    A cet égard, la Commission invite le ministère à modifier le projet de texte afin de prévoir que les soixante jours constituent un délai maximal, conformément aux dispositions de la directive ci-dessus mentionnée.
    Sur l'information des personnes et l'exercice des droits
    La Commission prend acte des précisions du ministère selon lesquelles il appartient à chaque compagnie maritime d'informer ses passagers et les membres d'équipage au moment qu'elle juge le plus opportun (a priori, au moment de la réservation du billet ou de la planification du voyage) en fonction de la législation applicable localement. En outre, le ministère indique ne pas avoir la maîtrise du contenu de l'information délivrée.
    A cet égard, la Commission rappelle que le traitement « TRAFIC 2000 », dont la direction des affaires maritimes du ministère de la mer assure la responsabilité du traitement, est distinct des traitements mis en œuvre par les compagnies maritimes. Or, il appartient à chaque responsable de traitement, pour ce qui le concerne, de s'assurer du respect de l'obligation d'information, sauf à justifier d'une des exceptions prévues à l'article 14.5 du RGPD lorsque les données à caractère personnel ont été collectées auprès de tiers.
    En tout état de cause, la Commission recommande de fournir aux compagnies maritimes concernées des modèles types d'informations pour que celles-ci puissent être mises à la disposition des passagers et des membres d'équipage. La Commission s'interroge également sur l'opportunité que soit prévue, dans l'arrêté, une obligation à la charge des professionnels concernés d'informer les personnes concernées du traitement « TRAFIC 2000 ». Par ailleurs, elle prend acte de la précision selon laquelle une information sur le traitement « TRAFIC 2000 » sera publiée sur le site web du guichet unique maritime et portuaire.
    Enfin, la Commission relève que le projet d'arrêté ne vient pas mettre à jour l'ensemble des droits des personnes prévus par le RGPD (le droit à la limitation du traitement n'est pas mentionné). Elle invite le ministère à compléter l'arrêté en ce sens.
    Sur la transmission des données au SNDV
    Le 4° de l'article 1er du projet d'arrêté prévoit que les agents habilités du SNDV auront désormais accès aux données du traitement.
    D'une part, la Commission prend acte des précisions du ministère selon lesquelles les données transmises sont celles figurant à l'article 2 section I, 2° et 3° du texte, à l'exclusion du numéro à appeler en cas d'urgence et de toute information relative aux besoins particuliers de soins ou d'assistance en cas d'urgence.
    D'autre part, elle prend acte de ce que le SNDV, chargé de la mise en place des dispositifs de collecte et d'exploitation des données de voyage des transports aériens, maritimes et terrestres, sera destinataire des données, afin de contribuer à leur analyse et leur amélioration avant que celles-ci ne soient transmises aux autorités pour le compte desquelles il est mandaté à agir par son arrêté de création du 16 décembre 2019.
    Au regard de ses missions, la Commission considère que la transmission des données au SNDV est légitime et proportionnée.


La présidente,
M.-L. Denis

Extrait du Journal officiel électronique authentifié PDF - 214,2 Ko
Retourner en haut de la page