L’essentiel :

Pour garantir la sécurité des jeux olympiques et paralympiques de 2024, le préfet de Police mettra en place plusieurs périmètres au sein desquels des restrictions à la circulation pourront être apportées. Certains de ces périmètres seront concernés par un dispositif de laissez-passer, dont le déploiement implique un traitement de données à caractère personnel. Ce traitement sera mis en œuvre sur le fondement de l’arrêté du 2 mai 2011encadrant les fichiers des résidents des zones de sécurité.

Cet arrêté est modifié pour permettre le traitement de nouvelles catégories de données, l’ajout de nouveaux accédants et destinataires, ainsi que la mise à jour des dispositions relatives à l’exercice des droits.

La CNIL prend acte de ce que l’inscription dans ce fichier ne conduit pas en elle-même à la réalisation d’une enquête administrative, mais qu’une partie des personnes inscrites pourra faire l’objet dans certains cas de telles enquêtes dans le cadre prévu par la législation en vigueur, en particulier l’article L. 211-11-1 du code de la sécurité intérieure. Elle relève que le ministère a pris en compte ses demandes concernant la conservation de certaines données et formule des recommandations complémentaires, notamment sur la sécurité informatique du traitement.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (" loi informatique et libertés "), notamment son article 31 ;

Après avoir entendu le rapport de Mme Sophie Lambremon, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

L’arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés " fichiers des résidents des zones de sécurité " créés à l'occasion d'un événement majeur constitue un acte réglementaire unique. Plusieurs traitements peuvent être mis en œuvre sur le fondement de cet arrêté ; ceux-ci doivent répondre à une même finalité, porter sur des catégories de données identiques et avoir les mêmes destinataires ou catégories de destinataires (article 31-IV de la loi " informatique et libertés "). Eu égard aux finalités qu’ils poursuivent et aux autorités responsables de leur mise en œuvre, ces traitements relèvent du titre III de la loi " informatique et libertés ".

Les traitements pouvant être mis en œuvre sur le fondement de cet arrêté ont pour finalité " la gestion des titres permettant l’accès des personnes ou des véhicules aux zones à l’intérieur desquelles sont apportées des restrictions à la libre circulation et à l’exercice de certaines activités, afin de prévenir les troubles à l’ordre public et garantir la sécurité d’un événement majeur ".

Les zones de sécurité définies à l’occasion d’événements majeurs délimitent un périmètre dont l’accès est contrôlé afin de prévenir les troubles à l’ordre public et garantir la sécurité de ces événements. Ces zones sont définies par arrêté préfectoral et seules y ont accès les personnes physiques : y ayant leur domicile, y exerçant une activité professionnelle, ou ayant un motif légitime pour s’y rendre (par ex., un justificatif de stationnement en hôtel). Les fichiers des résidents des zones de sécurité permettent la fabrication de titres d’accès et, pendant le déroulement de l’événement en question, le contrôle des accès des personnes physiques aux zones sécurisées.

B. L’objet de la saisine

Le ministère de l’intérieur a saisi la CNIL, en extrême urgence, d’un projet d’arrêté modifiant l’arrêté du 2 mai 2011.

Cette modification s’inscrit dans l’organisation des jeux olympiques et paralympiques de 2024. Pour garantir la sécurité de cet événement, le préfet de Police mettra en place plusieurs périmètres au sein desquels des restrictions à la circulation des personnes et des véhicules seront apportées.

Certains de ces périmètres seront concernés par un dispositif de laissez-passer. Il s’agit :

• du périmètre de protection " SILT " (art. L. 226-1 du code de la sécurité intérieure ou " CSI ") institué par arrêté du préfet de Police, permettant de réglementer l’accès et la circulation motorisée et piétonne et de procéder à diverses vérifications (palpations de sécurité, inspection visuelle et fouille de bagages, etc.) et qui inclut le périmètre organisateur (ou périmètre " gris ") ;
• du périmètre " rouge ", institué par un arrêté, qui définira des mesures de restriction de la circulation routière.

Ce laissez-passer sera délivré après inscription sur une plateforme numérique. Le ministère a indiqué que le déploiement de la plateforme serait confié à un sous-traitant.

La mise en place de ce dispositif impliquera un traitement de données à caractère personnel, que le ministère entend mettre en œuvre sur le fondement de l’arrêté encadrant les fichiers des résidents des zones de sécurité.

L’arrêté est modifié pour permettre :

• le traitement de nouvelles catégories de données (photographie, justificatif

d’accès, copie des titres d’identité et du certificat d’immatriculation) ;

• l’ajout de nouveaux accédants (personnes chargées de l’enregistrement des

données, agents affectés au contrôle des titres) et destinataires (organisateurs de grands événements et rassemblements) ;

• la mise à jour des dispositions relatives à l’exercice des droits.

Cet arrêté, qui constitue un acte réglementaire unique, peut fonder la mise en œuvre de plusieurs fichiers de résidents à l’occasion d’événements divers. La modification de ce texte ne saurait, par conséquent, avoir pour seul objectif de s’adapter à un événement particulier mais devra permettre de couvrir un ensemble de traitements de même nature. En tout état de cause, la modification d’un acte réglementaire unique doit, au regard de sa portée, être examinée avec une vigilance particulière.

II. L’avis de la CNIL

A. Sur les catégories de données enregistrées dans les traitements

En premier lieu, l’arrêté est modifié pour remplacer la collecte du " numéro de la carte nationale d’identité, du permis de conduire, du passeport ou du titre de séjour " par celle de la " copie " de ces titres. Selon les précisions apportées, ces documents seraient nécessaires à l’établissement des titres d’accès, la concordance des données et l’identification de la personne lors du passage au point de contrôle.

Néanmoins, le traitement de ces documents n’apparaît pertinent que pour l’instruction des demandes et l’établissement des titres d’accès. En effet, le numéro du titre d’identité, associé aux autres données collectées auprès de la personne concernée (données d’état civil, photographie, etc.), semble suffisant pour permettre la concordance des données et l’identification de la personne au point de contrôle.

En outre, une telle évolution conduira à la centralisation, dans des fichiers de résidents, de documents qui concerneront un nombre élevé de personnes et qui sont particulièrement sensibles, au regard notamment des risques pour les personnes concernées en cas de violation de données.

La CNIL prend acte de l’engagement du ministère de modifier l’arrêté pour prévoir que les copies de cartes nationales d’identité, permis de conduire, passeports et titres de séjour ne seront conservées que jusqu’à la délivrance du titre d’accès.

En deuxième lieu, le projet d’arrêté ajoute la photographie aux données pouvant être enregistrées dans les fichiers de résidents. Le traitement de cette donnée viserait à permettre l’établissement des titres d’accès et à faciliter l’identification de la personne lors du passage au point de contrôle.

La CNIL s’interroge sur la nécessité du traitement de la photographie, au regard :

• du fait qu’aucun besoin n’a justifié la collecte de cette donnée pour les fichiers de résidents précédemment mis en œuvre ;
• du principe de minimisation, dans la mesure où les autres données collectées apparaissent suffisantes pour atteindre l’objectif d’identification de la personne au point de contrôle.

Selon les précisions apportées par le ministère, le traitement de cette donnée est justifié par le nombre extrêmement important de personnes qui fréquentera les zones de sécurité au moment des jeux olympiques, créant ainsi des difficultés pour le contrôle à l’entrée de ces zones.

La CNIL souligne que le traitement de la photographie, qui permettra une plus grande rapidité du contrôle à l’entrée de la zone, n’apparait nécessaire que lorsque, comme pour les jeux olympiques, un grand nombre de personnes sont attendues simultanément dans la zone. Elle invite le ministère à préciser l’arrêté sur ce point en limitant le recueil de la photographie à ces seuls cas.

En troisième lieu, le projet d’arrêté autorise le traitement du justificatif de l’accès à la zone de sécurité, en plus du motif de l’accès. Lors de l’analyse de la demande, un contrôle consistera à vérifier la conformité des informations remplies en lien avec les pièces justificatives téléchargées et la vérification du motif légitime. Ce contrôle sera effectué par des agents de la préfecture de Police. La CNIL prend acte de ce que toute décision automatisée de refus est exclue.

Une liste limitative des justificatifs pouvant être collectés sera disponible sur la plateforme d’inscription et sur le site de la préfecture de Police. En outre, une information sera délivrée à l’usager pour orienter, en fonction du motif d’accès, le choix du justificatif à fournir.

Des précautions particulières devront être prises, lors de l’établissement de la liste des documents pertinentset du recueil de justificatifs, afin de garantir que la collecte de ces documents n’implique pas, ainsi que l’a confirmé le ministère, le traitement de données sensibles au sens du I de l’article 6 de la loi " informatique et libertés ".

En dernier lieu, il ressort de l’AIPD transmise qu’un code QR sera inscrit sur les laissez-passer. Les nom, prénom, date de naissance, validité du titre et identifiant de la photographie de la personne concernée seront encodés au sein de ce code. Ils s’afficheront sur l’écran de l’appareil de contrôle à la suite d’un scan ou de la saisie manuelle de l’identifiant du code QR. Le numéro de titre dont l’arrêté prévoit le traitement correspondra, ainsi qu’il a été indiqué par le ministère, à l’identifiant du code QR.

B. Sur l’extension de la liste des accédants et destinataires

S’agissant des accédants, outre les agents de l’administration, les " personnes " individuellement désignées et spécialement habilitées chargées de l’enregistrement des données collectées pourront accéder aux données des traitements.

La CNIL prend acte de ce que cette modification vise à permettre aux personnels d’un sous-traitant de collecter les données renseignées par l’usager et de vérifier la complétude de la demande. Elle observe, néanmoins, que l’accès des sous-traitants au données ne s’inscrit pas parmi les précisions devant nécessairement être contenues dans l’acte autorisant le traitement, telles que prévues par l’article 35 de la loi " informatique et libertés ".

S’agissant des destinataires, selon le projet d’arrêté, lorsqu’un événement ou rassemblement de personnes au sens de l’article L. 211-11-1 du CSI se tient dans la zone de sécurité, son organisateur pourra être destinataire des données du traitement.

L’article précité prévoit en effet que l'accès de toute personne, à un autre titre que celui de spectateur, aux établissements et installations accueillant certains grands événements et rassemblements désignés par décret est soumis à une autorisation de l'organisateur délivrée sur avis conforme de l'autorité administrative. Cette autorité rend son avis à la suite d'une enquête administrative qui peut donner lieu à la consultation de plusieurs fichiers. Cette consultation est réalisée au moyen du traitement " Automatisation de la consultation centralisée de renseignements et de données " (ACCReD).

Il en résulte que, lorsqu’une personne relève à la fois de l’autorisation d’accès dans la zone protégée dans les conditions rappelées au point 6 (notamment périmètre SILT) et de l’autorisation d’accès délivrée par l’organisateur après enquête administrative en application de l’article L. 211-11-1 du CSI, l’usager est juridiquement soumis à deux procédures d’autorisation. La CNIL comprend que dans ce cas, notamment à des fins de simplification administrative, le projet d’arrêté permet que les données de la demande d’accès à la zone pour ce motif soient directement transmises à l’organisateur pour qu’il puisse, le cas échéant, autoriser l’accès à l’établissement ou l’installation de l’événement.

Elle considère, d’une part, que cette transmission ne doit être prévue que lorsque l’organisateur ne collecte pas lui-même les mêmes données par un dispositif de demandes d’autorisation qui lui serait propre ; d’autre part, que l’enquête administrative prévue par l’article L. 211-11-1 du CSI ne concerne que l’accès aux établissements et installations qui accueillent un grand événement en application de ces dispositions, et non les personnes souhaitant seulement accéder à d’autres lieux ou bâtiments de la zone, notamment les habitations ou commerces sans lien avec l’événement.

Enfin, la CNIL souligne que l’inscription dans le fichier des " résidents " dans la zone n’entraîne pas juridiquement, par elle-même, la réalisation d’une enquête administrative, ce que le ministère a confirmé. Les vérifications éventuellement effectuées dans le cadre de l’instruction de l’une ou l’autre des autorisations se feront dans le cadre de ce que prévoit la législation.

C. Sur l’information des personnes

Les personnes concernées seront informées du traitement de leurs données avant l’enregistrement de leur demande par des mentions figurant à la fin du formulaire d’enregistrement.

Ces mentions devront être différenciées des autres informations non liées à la vie privée, et ainsi se distinguer des " conditions générales d’utilisation ", et être rédigées en plusieurs langues à destinationdes ressortissants étrangers non francophones.

D. Sur les mesures de sécurité

La rapidité de la mise en place de la solution opérationnelle induit un risque plus élevé concernant la présence de vulnérabilités. La CNIL prend note de la mise en œuvre d’audits de sécurité, dont des tests d’intrusion, nécessaires au regard des référentiels de sécurité auxquels la solution doit répondre, et invite le ministère à prévoir, avec son prestataire, une capacité de réaction rapide à la détection de vulnérabilités ou de dysfonctionnements éventuels.

Lors du passage des personnes au niveau des points de contrôle, les laissez-passer seront contrôlés à l’aide de terminaux mobiles mis à disposition des personnes chargées d’effectuer ces contrôles. Ces terminaux seront fournis par le prestataire, avec une application installée manuellement et des modalités de blocage à distance de l’appareil.

Ces terminaux permettent l’accès aux données stockées dans les codes QR via la saisie de l’identifiant alphanumérique de celui-ci. Les accès des agents de la direction de la sécurité de proximité de l’agglomération parisienne (DSPAP) et de la direction de l’ordre public et de la circulation (DOPC) de la préfecture de Police permettent une recherche dans l’ensemble de la base. Les fonctionnalités de requêtage doivent faire l’objet de mesures de contrôles d’accès logique conformes à la recommandation relative aux mots de passe et autres secrets partagés, notamment en termes d’entropie (délibération 2022-100 du 21 juillet 2022) et les interfaces de programmation applicatives (API) doivent faire l’objet des mesures de sécurités décrites dans la recommandation relative à l'utilisation de ces interfaces (délibération 2023-050 du 25 mai 2023).

La diffusion des listes de révocation de laissez-passer sur l’ensemble de ces terminaux se fait uniquement par la diffusion d’identifiant associé à ces laissez-passer et non la diffusion de informations relatives à ceux-ci. Ces identifiants constituent des données à caractère personnel.

La CNIL prend acte du fait qu’un mécanisme de chiffrement authentifié est appliqué aux codes QR, de sorte que leur confidentialité soit préservée et leur intégrité garantie. Au regard de la forte sensibilité des données et du nombre de personnes concernées, il est indispensable que ces mesures de chiffrement soient conformes à l'annexe B1 du référentiel général de sécurité tant au niveau de l’ensemble des terminaux de contrôles que des bases de données et leurs sauvegardes.

Afin d’assurer le respect des durées de conservation, la CNIL invite le ministère à porter une vigilance particulière, notamment en matière de journalisation, sur toute diffusion de données, dans la mesure où les fonctionnalités d’export de la base de données doivent être activées, du fait de pouvoir répondre à de possibles réquisitions judiciaires.

Enfin, concernant la mise en œuvre des mesures de journalisation, la CNIL prend acte que celle-ci se limite à la journalisation des actions des utilisateurs habilités en excluant strictement les remontées relatives au scan d’un code QR, ou le requêtage de l’identifiant alphanumérique. Par ailleurs, un mécanisme proactif de contrôle automatique des données de journalisation est mis en œuvre, contribuant à la sécurité du traitement par la génération automatique d’alertes.

La présidente,

M.-L. Denis