Village de la Justice www.village-justice.com

Fichier SIRENE et non-conformité à la Loi Informatique et Libertés. Par Hélène Brandela, Elève-Avocat.
Parution : mercredi 24 mai 2023
Adresse de l'article original :
https://www.village-justice.com/articles/plateforme-fichier-sirene-non-conformite-loi-informatique-libertes,46200.html
Reproduction interdite sans autorisation de l'auteur.

Le 3 avril 2023, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en demeure le ministère de l’Economie, des Finances et de la Souveraineté industrielle et numérique de mettre en conformité le fichier Système d’information du renseignement des navires et des équipages (SIRENE) avec la Loi Informatique et Libertés (LIL).

Le fichier SIRENE est utilisé par la Direction générale des douanes et des droits indirects (DGDDI), qui est rattachée au ministère de l’Economie, pour y inscrire les personnes contrôlées en mer ou à quai par les douanes.

A la suite d’un signalement, la CNIL a mené un contrôle sur ce fichier afin de vérifier sa conformité aux dispositions de la LIL et a relevé plusieurs manquements : (I) un manquement relatif à la licéité du traitement et à l’absence d’analyse d’impact, (II) un manquement relatif à la distinction entre les données à caractère personnel des différentes catégories de personnes concernées, et (III) un manquement relatif à l’information des personnes.

I) Sur le manquement relatif à la licéité du traitement et à l’absence d’analyse d’impact.

Concernant la licéité du traitement, l’article 87 de la LIL prévoit que les traitements visés par la directive « Police-Justice » de 2016 ne sont licites que s’ils sont nécessaires à l’exécution d’une mission effectuée par une autorité compétente et uniquement pour la prévention et la détection des infractions pénales, les enquêtes et poursuites en matière pénale ou pour l’exécution de sanctions pénales.

L’article 89 précise que si le traitement de données est mis en œuvre pour le compte de l’Etat pour une de ces finalités, le traitement doit être prévu par une disposition législative ou réglementaire.

Toutefois, la CNIL constate que le fichier SIRENE est bien mis en œuvre pour le compte de l’Etat pour la prévention, la détection et l’enquête dans le cadre d’infractions pénales, mais qu’aucun texte, qu’il soit législatif ou réglementaire, n’autorise et n’encadre ce traitement de données à caractère personnel.

Concernant l’absence d’analyse d’impact, l’article 90 de la LIL prévoit que lorsqu’un traitement mis en œuvre par l’Etat est susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, une analyse d’impact doit être effectuée et adressée à la CNIL.

Lors de son contrôle, la CNIL note que le fichier SIRENE contient des données relatives à la géolocalisation de tous les navires dès que le signal de leur balise est capté. Par ailleurs, elle note que le traitement est fait à grande échelle car 45 793 personnes sont intégrées au fichier SIRENE, dont 392 mineurs, le fichier contenant notamment les copies de 9 646 passeports et de 3 051 cartes nationales d’identité.

Compte tenu du traitement de données de géolocalisation des navires, conduisant à une surveillance quasi systématique de leur équipage, et au volume conséquent de personnes concernées, la CNIL conclut que la DGDDI met en œuvre pour le compte de l’Etat un traitement de données susceptible d’engendrer un risque élevé pour les droits et les libertés des personnes physiques, qui devait donc faire l’objet d’une analyse d’impact adressée à la CNIL.

Le fichier SIRENE, mis en œuvre sans avoir été prévu par un acte législatif ou règlementaire et sans réalisation préalable d’une analyse d’impact, constitue donc une activité de traitement illicite.

II) Sur le manquement relatif à la distinction claire entre les données à caractère personnel de différentes catégories de personnes concernées.

L’article 98 de la LIL prévoit que le responsable de traitement doit établir une distinction claire entre les données à caractère personnel des différentes catégories de personnes concernées.

La CNIL relève que si le fichier SIRENE contient les données relatives aux commandants des navires contrôlés, il contient également les données relatives aux autres personnes à bord, et ce sans distinguer entre les personnes soupçonnées d’une infraction, coupables, victimes, ou tiers. Cette absence de distinction constitue donc un manquement à l’article 98 de la LIL.

III) Sur le manquement relatif à l’information des personnes.

L’article 104 de la LIL impose au responsable de traitement de mettre à disposition des personnes concernées une information relative au traitement de leurs données à caractère personnel (identité et coordonnées du responsable de traitement et de son délégué à la protection des données, finalités poursuivies et différents droits dont disposent les personnes concernées).

L’article 107 de la même loi prévoit quant à lui la possibilité de restreindre les droits des personnes concernées lorsque la restriction est une mesure nécessaire et proportionnée et qu’elle est prévue par l’acte instaurant le traitement.

La CNIL souligne que les personnes dont les données à caractère personnel sont traitées dans le fichier SIRENE n’en sont pas informées, et qu’aucune information générale n’est mise à la disposition du public. Par ailleurs, elle relève qu’il n’existe aucun acte encadrant les traitements liés à l’utilisation du fichier SIRENE et donc qu’aucune restriction prévue par un tel acte ne permet de limiter le droit des personnes concernées à recevoir les informations prévues par l’article 104.

L’autorité de protection des données conclut dès lors à un manquement aux articles 104 et 107 de la LIL.

Par conséquent, le ministère de l’Economie a six mois à compter de la notification de cette décision pour se mettre en conformité en :

Le cas échéant, une sanction pourra être alors prononcée par la CNIL.

Hélène Brandela, Élève-Avocat