Réf. : Décret n° 2020-151 du 20 février 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (N° Lexbase : L1792LWB)
Lecture: 8 min
N2378BYQ
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 26 Février 2020
► Le décret n° 2020-151 du 20 février 2020 a été publié au Journal officiel du 22 février 2020 et prévoit la mise en œuvre d’un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes)
Concrètement, l’article 1er du décret prévoit que ce traitement a deux finalités principales :
« 1° Faciliter le recueil et la conservation, en vue de leur exploitation dans d'autres traitements de données, notamment par le biais d'un système de pré-renseignement, des informations collectées par les militaires de la gendarmerie nationale à l'occasion d'actions de prévention, d'investigations ou d'interventions nécessaires à l'exercice des missions de polices judiciaire et administrative ;
2° Faciliter la transmission de comptes rendus aux autorités judiciaires. »
Données personnelles visées. Les données à caractère personnel et les informations pouvant être enregistrées, dans la stricte mesure où elles sont nécessaires, adéquates et proportionnées aux finalités mentionnées à l'article 1er, sont définies en annexe du décret. Ces données sont relatives, d’une part, à l'ensemble des éléments relatifs aux personnes, aux lieux ou aux objets qui sont recueillis dans le cadre des interventions des militaires de la gendarmerie nationale ou de l'exécution de leur service ; et d’autre part, à l'ensemble des éléments de procédure qui sont transmis aux magistrats lors de gardes à vue ou lors du traitement de certaines infractions relatives à la police de la route. Les données dites sensibles telles que celles relatives « à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l'appartenance syndicale, à la santé ou à la vie sexuelle ou l'orientation sexuelle » peuvent être collectées uniquement « en cas de nécessité absolue pour les seules fins et dans le strict respect des conditions définies au présent décret, dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ». Ces données peuvent figurer dans des zones de commentaires libres.
Durée de conservation. Sur ce point, l’article 3 du décret prévoit que les données à caractère personnel peuvent être conservées pendant une durée de trois mois à compter de la date de leur enregistrement. En cas de modification dans ce délai, la durée de conservation est prorogée de trois mois à compter de la date de la dernière modification. La durée maximale de conservation ne peut excéder un an.
Accès et destinataires. L’article 4 du décret détermine les personnes ayant accès aux données à caractère personnel ainsi que les destinataires de ces données. La première catégorie vise les militaires de la gendarmerie nationale et les rédacteurs de la note tandis que la seconde catégorie cible les autorités judiciaires, les maires et les préfets.
Droit d’opposition inapplicable. Les droits des personnes concernées par la collecte des données à caractère personnel sont régis par la loi n° 78-17 du 6 janvier 1978 (N° Lexbase : L8794AGS), à l’exception du droit d’opposition. En effet, l’article 5 du décret prévoit que « Le droit d'opposition prévu à l'article 110 de la loi du 6 janvier 1978 susvisée ne s'applique pas au présent traitement ».
Enregistrement de l’opération de traitement. Selon l’article 6 du décret, les opérations de collecte, de modification, de consultation, de communication et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement. Les opérations de consultation et de communication enregistrées établissent l'identifiant de l'auteur, la date, l'heure, le motif de l'opération et, le cas échéant, les destinataires des données. Ces informations sont conservées pendant un délai de six ans.
La publication de ce décret mettant en place l’application « GendNotes » nous conduit à nous interroger sur le précédent décret qui a créé le très contesté fichier « EDVIGE ».
Créé par le décret n° 2008-632 du 27 juin 2008 (N° Lexbase : L5382H7H), le fichier « EDVIGE » avait été mis en place pour collecter des informations sur des personnes susceptibles de porter atteinte à l'ordre public. Cette finalité de protection de l’ordre public diffèrait de celle de l’application « GendNotes » comme en témoigne l’article 1 du décret n° 2020-151 du 20 février 2020. Dans les deux cas, il existait toutefois un objectif pratique. Dans le cas du fichier « EDVIGE », cet objectif tendait à centraliser et analyser les données collectées, tandis que dans le cas de l’application « GendNotes », le but est de faciliter le traitement des données collectées.
S’agissant des personnes concernées, en comparant l’article 2 du décret n° 2020-151 du 20 février 2020 avec l’article 1 du décret n° 2008-632 du 27 juin 2008, le nombre de personnes dont les données sont potentiellement susceptibles d’être collectées semble être plus important dans le cas de l’application « GendNotes » que dans le cas du fichier « EDVIGE ».
Données personnelles visées. En outre, en confrontant l’article 2 du décret n° 2020-151 du 20 février 2020 avec l’article 2 du décret n° 2008-632 du 27 juin 2008, il est possible d’affirmer que les données personnelles visées par l’application « GendNotes » sont bien plus nombreuses que celles visées par le fichier « EDVIGE ».
Durée de conservation. Dans le cadre du fichier « EDVIGE », les données collectées pour les seuls besoins d'une enquête administrative peuvent être conservées pour une durée maximale de cinq ans à compter de leur enregistrement ou de la cessation des fonctions ou des missions au titre desquelles l'enquête a été menée. Concernant l’application « GendNotes », la durée est fixée à trois ans.
Destinataires potentiels. Par ailleurs, dans le cas du fichier « EDVIGE », le but était d’informer le Gouvernement et les représentants de l'Etat dans les départements et collectivités, tandis que dans l’application « GendNotes », les destinataires potentiels des données sont les maires, les préfets et les sous-préfets, le Gouvernement n’étant pas mentionné.
Enregistrement. A l’inverse de l’application « GendNotes », aucune précision sur l’enregistrement de l’opération de traitement des données n’est apportée dans le cas du fichier « EDVIGE ».
Meilleur encadrement. Soumis à de vives critiques, le fichier « EDVIGE » avait finalement été abandonné. Près d’un an après, le Gouvernement avait publié deux décrets (décret n° 2009-1249 du 16 octobre 2009 portant création d'un traitement de données à caractère personnel relatif à la prévention des atteintes à la sécurité publique N° Lexbase : L8688IEI ; décret n° 2009-1250 du 16 octobre 2009 portant création d'un traitement automatisé de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique N° Lexbase : L8689IEK) pris après avis de la CNIL (délibération n° 2009-355 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application relative à la prévention des atteintes à la sécurité publique (saisine n° AV 08023079) N° Lexbase : X6244AGD ; délibération n° 2009-356 du 11 juin 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de l'application concernant les enquêtes administratives liées à la sécurité publique (saisine n° AV 08023079) N° Lexbase : X6245AGE). La CNIL est parvenue à obtenir plusieurs garanties tels que deux fichiers distincts, correspondant à deux objectifs différents, alors que le projet initial (Edvige I) ne prévoyait qu’un fichier central unique. Selon elle, ce mécanisme améliorera l’efficacité du contrôle de la CNIL. Les autres garanties obtenues sont l’absence de fichage des personnalités, l’absence d’enregistrement de données ayant trait à la santé ou à la vie sexuelle des personnes, l’absence d’interconnexion avec d’autres fichiers et l’absence de reconnaissance faciale.
Avis de la CNIL au sujet de l’application « GendNotes ». Par sa délibération n° 2019-123 du 3 octobre 2019 (N° Lexbase : Z164799R), la CNIL a validé le texte du décret ici rapporté. Elle a indiqué avoir obtenu la garantie « que les informations enregistrées dans ces champs libres ne pourront pas alimenter d'autres traitements et qu'elles seront uniquement accessibles via l'application ». La géolocalisation et la non-utilisation de la reconnaissance faciale sur les photos d’identité sont des garanties que la CNIL a également réussi à obtenir. Elle a pris acte du fait que les données seront accessibles à des militaires de la gendarmerie, aux autorités judiciaires, mais aussi au préfet ou au maire de la commune concernée « dans la stricte limite où l'exercice de leurs compétences le rend nécessaire, sous réserve que le cadre dans lequel ces informations ont été collectées rende possible cette communication, et dans la stricte limite du besoin d'en connaître ». Toutefois, la CNIL reproche l’absence de chiffrement des données et des supports de stockage. Elle critique également la politique de sécurité promue par le ministère de l’Intérieur en ce qui concerne les mots de passe et la fonction de verrouillage à distance des terminaux.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:472378
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.