|
Texte de la QUESTION :
|
Mme Delphine Batho interroge Mme la garde des sceaux, ministre de la justice, sur la publication du décret n° 2009-528 autorisant la mise en oeuvre du traitement automatisé dénommé « Cassiopée ». D'une part, l'article 26 de la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés prévoit que les actes autorisant la création de traitements de données à caractère personnel, mis en oeuvre pour le compte de l'État, qui ont pour objet "la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté", font l'objet d'un avis motivé et publié de la CNIL. Cet article précise également que l'avis de la Commission nationale de l'informatique et des libertés est publié au Journal officiel avec l'acte réglementaire autorisant la création du traitement. Or l'avis de la CNIL concernant le traitement Cassiopée n'a pas été publié avec le décret publié au Journal officiel du 13 mai 2009. Il est ainsi permis de s'interroger sur la validité du décret n° 2009-528, dans la mesure où les circonstances de sa publication semblent méconnaître les dispositions de la loi informatique et libertés. D'autre part, la CNIL semble avoir émis plusieurs remarques que le Gouvernement n'a pas pleinement prises en compte dans la rédaction du décret. C'est pourquoi elle lui demande de bien vouloir faire connaître les raisons de l'absence de publication au Journal officiel de l'avis de la CNIL sur ce décret ainsi que l'avis du Gouvernement sur les conséquences juridiques de cette carence. Elle souhaite également connaître les raisons qui ont conduit à ne pas tenir compte sur certains points des observations de la CNIL sur le fond.
|
|
Texte de la REPONSE :
|
Les conditions de publication du décret n° 2009-528 autorisant la mise en oeuvre du traitement automatisé dénommé « Cassiopée » sont conformes aux prescriptions de l'article 26 de la loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés. En effet, seuls sont soumis à publication au Journal officiel les avis de la Commission nationale de l'informatique et des libertés pour les traitements institués par arrêté ministériel, et ceux autorisés par décret en Conseil d'État, portant sur des données mentionnées au I de l'article 8 (données dites sensibles). Selon l'avis de la section de l'intérieur du Conseil d'État, rendu le 7 avril 2009, « ne font pas partie des données » à caractère personnel mentionnées au I de l'article 8 les informations qui ne servent qu'à désigner la qualification juridique d'une infraction, telles que les informations relatives aux circonstances de l'infraction contenues dans la nature des infractions (NATINF) du ministère de la justice, dès lors qu'elles ne font pas apparaître, notamment dans le domaine des atteintes aux personnes, des informations nominatives concernant les victimes ». C'est donc à bon droit que le décret, pris en application de l'article 48-1 du code de procédure pénale, n'a pas expressément autorisé la collecte et le traitement de données dites « sensibles » au sens de la loi Informatique et libertés. À ce titre, il ne relevait pas de l'un des cas de publication obligatoire susvisés. Sur le fond, le ministère de la justice et des libertés a tenu compte des observations, des remarques et recommandations de la CNIL dans la rédaction du décret, plus précisément s'agissant des finalités du traitement ainsi que la durée de conservation des données. La CNIL a également insisté sur la nécessité d'assurer un fort degré de sécurité à ce système, en avançant un certain nombre de préconisations de nature technique. Le ministère de la justice et des libertés s'est engagé à rappeler par note circulaire aux chefs de cour et de juridictions leurs responsabilités et obligations en matière de sécurité, s'agissant tout particulièrement de la délivrance des habilitations et du respect des consignes de vigilance.
|