Des annuaires de crise en fichiers... CNIL, délib. n° 2012-389, 8 nov. 2012, dispense de déclaration, traitements automatisés de données à caractère personnel, gestion de crise...

Le 28 novembre 2012, par Geneviève Koubi,

La Commission nationale de l’informatique et des libertés (CNIL), dans une délibération n° 2012-389 du 8 novembre 2012, prend en considération "les plans de continuité d’activité" afin de dispenser de déclaration les traitements automatisés de données à caractère personnel mis en œuvre par les ministères dans le cadre de gestion de crise aux fins de pouvoir mobiliser leurs ressources humaines et celles d’autres structures prestataires de services (Dl-018) [1]. La base de ses observations est la circulaire n° 5567/SG du secrétariat général du Gouvernement en date du 2 janvier 2012 relative à l’organisation gouvernementale pour la gestion des crises majeures

Suivant cette ligne, la CNIL ne s’interroge pas sur la délimitation de la notion de "crise majeure" et adopte nécessairement le point de vue des autorités publiques. Dans la chronique de l’administration à la Revue française d’administration publique en 2012 [2], il est indiqué que cette circulaire du 2 janvier 2012 s’inscrit « dans les orientations du Livre blanc sur la défense et la sécurité nationale et de la loi du 29 juillet 2009 relative à la programmation militaire pour les années 2009 à 2014 et portant diverses dispositions concernant la défense. La crise majeure est celle qui s’étend à plusieurs secteurs et justifie ainsi une coordination interministérielle renforcée. La direction politique et stratégique des crises majeures est assurée par le Premier ministre en liaison avec le Président de la République. Certains ministres ont une responsabilité particulière dans la préparation et la conduite des crises : défense, intérieur, affaires étrangères et européennes. Un dispositif structuré permet d’assurer la coordination : la cellule interministérielle de crise (CIC). Le Premier ministre peut désigner un ministre chargé de la conduite opérationnelle et de la direction de la cellule interministérielle de crise. Celle-ci assure trois fonctions principales : situation, communication, décision. » [3] La CNIL s’appuie sans doute sur de mêmes approches révélant une perception minimale de la notion de ’crise majeure’ afin de retenir les « schémas d’organisation gouvernementale de conduite de crise afin d’assurer, en cas de crise, la sûreté, la sécurité et le fonctionnement de l’État » tels qu’ils sont proposés dans la circulaire n° 5567/SG en date du 2 janvier 2012.

.

La CNIL fait alors référence à des plans de continuité d’activité (PCA) qui ne sont pas directement visés par ladite circulaire. Ils y sont cependant clairement sous-entendus au-delà des plans de protection et de sécurité civile, sans omettre leur mise en place lors des mesures de prévention et de protection instituées face aux risques de pandémie grippale en 2009. Ils sont souvent signalés au sein de l’organisation des ministères. Ainsi, un décret en Conseil des ministres peut effectivement envisager de recourir au service de sécurité nationale et faire en sorte que les salariés concernés par un plan de continuité d’activité - d’importance vitale - ne pourront être autorisés à quitter leur travail ou seront obligés de rejoindre leur poste de travail. L’article L. 2171-1 du Code de la défense les présupposent également : « En cas de survenance, sur tout ou partie du territoire national, d’une crise majeure dont l’ampleur met en péril la continuité de l’action de l’État, la sécurité de la population ou la capacité de survie de la Nation, le Premier ministre peut recourir au dispositif de réserve de sécurité nationale par décret. / Le dispositif de réserve de sécurité nationale a pour objectif de renforcer les moyens mis en œuvre par les services de l’État, les collectivités territoriales ou par toute autre personne de droit public ou privé participant à une mission de service public. Il est constitué des réservistes de la réserve opérationnelle militaire, de la réserve civile de la police nationale, de la réserve sanitaire, de la réserve civile pénitentiaire et des réserves de sécurité civile. » Le dispositif de réserve de sécurité nationale renvoie donc à une notion de plan de continuité d’activité que la CNIL retient dans son argumentation.

La CNIL observe ainsi que ces plans de continuité d’activité « sont obligatoires pour les administrations de l’État et les services des hauts fonctionnaires à la défense (SHFD) jouent à cet égard un rôle essentiel. »

.

Du fait de la dispense de déclaration [4], elle autorise l’imbrication entre gestion d’une crise et prévention de la crise (majeure ?). Or, en se penchant essentiellement sur les plans de continuité d’activité, elle remarque que « le PCA est avant tout le fruit d’une démarche de prévention organisationnelle, et se veut tout d’abord un outil d’analyse permettant d’évaluer les activités et les postes indispensables au maintien de l’activité de l’organisme. »

Ainsi que le "cadre de référence" annexé à la circulaire le signifie, une "préparation" à la gestion d’une crise majeure est nécessaire. Outre la détermination des modes de répartition des responsabilités entre les différentes autorités gouvernementales et entre les services de défense, l’idée principale est d’assurer la continuité de l’État... au plan "civil". Car, secret oblige et la circulaire du 2 janvier 2012 le rappelle formellement, « les engagement des armées qui obéissent à des principes constitutionnels spécifiques et à une organisation particulière ne sont pas traités » dans le document qui lui est annexé. Dès lors, la fonction des plans de continuité n’est pas agencée autour de la continuité de l’État mais plutôt autour de la continuité des services administratifs centraux, - plus que que de la continuité des services publics en général. La circulaire du 2 janvier 2012 use de l’expression "continuité de la vie de la Nation", mais elle l’invoque en sus de la protection de la population et du territoire, du maintien du fonctionnement des pouvoirs publics [5].

Il n’en demeure pas moins que, dans son avis, la CNIL ne cherche pas à dissocier les deux aspects civil et militaire [6]. Dans la circulaire du 2 janvier 2012, la répartition des responsabilités permet cependant de distinguer les formes des crises majeures : dans l’espace militaire, « le ministre de la défense est responsable de l’anticipation et du suivi des crises intéressant la défense », ce qui peut conduire à l’engagement des forces armées par le Président de la République ; dans l’espace civil, « le ministre de l’intérieur est responsable de l’anticipation et du suivi des crises susceptibles d’affecter la sécurité intérieure et la sécurité civile. Il est chargé de la conduite opérationnelle des crises sur le territoire de la République... » ; et, dans l’espace international, « le ministre des affaires étrangères et européennes coordonne la gestion des crises extérieures... » ; dans l’espace économique, le ministre chargé de l’économie « prend les mesures de sa compétence garantissant la continuité de l’activité économique en cas de crise majeure et assure la protection des intérêts économiques de la Nation » ; etc.

En cas de crise majeure, qu’il s’agisse de la prévenir ou de la gérer, le civil et le militaire sont corrélés.

.

Pour autant, les domaines d’intervention de la CNIL dans ce schéma de préparation à la gestion de crise sont concentrés sur la désignation des titulaires des fonctions essentielles à la continuité de la chaîne de décisions. La CNIL note ainsi que « dans le cadre de ces plans, des traitements de données peuvent être mis en œuvre, notamment aux fins de constitution d’annuaires des personnes physiques susceptibles d’assurer les fonctions cruciales identifiées au sein des services des hauts fonctionnaires de défense. »

Tandis que les services de renseignements sont le sujet principal ou accessoire de plusieurs commissions parlementaires [7], l’interférence de cette délibération de la CNIL dans le débat devrait pourtant inciter à une réflexion sur la composante d’une "crise majeure". En effet, la notion de crise majeure n’est pas arrêtée. La circulaire du 2 janvier 2012 précise "qu’une crise, avant de devenir majeure, peut ne concerner qu’un seul secteur d’activités". Elle relève alors les cas dans lesquels une crise, « en fonction de son intensité et de son impact (...) peut être qualifiée de majeure dès son apparition ou le devenir pendant son développement. L’État doit être en mesure d’anticiper cette évolution et de se préparer à la montée en puissance progressive de son dispositif de réponse. » [8]

Ces modulations ne sont pas l’objet de la décision n° 2012-389 du 8 novembre 2012 de la CNIL. La CNIL, retenant la détermination d’un plan de continuité qui n’est pas formellement exposé dans la circulaire du 2 janvier 2012, s’intéresse à la « constitution d’annuaires des personnes physiques susceptibles d’assurer les fonctions cruciales identifiées au sein des services des hauts fonctionnaires de défense. » Il ne s’agit donc pas de discerner quelles sont les fonctions indispensables en cas de crise majeure mais de désigner quelles sont les personnes les plus à même de les assurer. Confiance et disponibilité, loyalisme et loyauté sont inévitablement au cœur du projet. Sont là principalement visés les hauts fonctionnaires de défense et de sécurité [9], mais il faut penser qu’ils ne sont pas les seuls... La composition de cet échantillon ’crucial’ implique une sélection spécifique des personnes concernées et, inévitablement la constitution d’un fichier qui, sous le nom bureaucratique d’annuaire, permettrait de les situer et de suivre leur parcours. Ce modèle ne relève pas directement "des catégories les plus courantes de traitements de données à caractère personnel, celles qui sont dispensées de déclaration", aussi la CNIL considère que « compte tenu des finalités, des catégories de personnes concernées, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des destinataires des traitements des données à caractère personnel relatives aux annuaires de crise », les traitements en cause ne peuvent faire l’objet d’une dispense de déclaration qu’à certaines conditions, et, plus exactement, selon ses propres formules, « sous réserve du strict respect des dispositions .... Ce sont ces dispositions qui composent la teneur de sa décision n° 2012-389 du 8 novembre 2012.

.

Le principe initial est que « le traitement doit avoir pour seules finalités : a) De contribuer à l’élaboration d’un plan de continuité d’activité (PCA) dans le contexte d’une crise impactant l’administration nationale française en identifiant les personnes susceptibles d’être disponibles, au sein des SHFD, en raison de leur situation familiale ou/et de leur mode de déplacement ; / b) Dans le cadre du suivi du PCA, de mobiliser les personnes identifiées par l’organisme. / Le traitement ne peut pas être utilisé pour la gestion courante du personnel. » (art. 2) Or, ces dispositifs sont indéniablement détachées des descriptifs de la circulaire du 2 janvier 2012 qui concerne surtout les responsabilités gouvernementales. La détermination d’un plan de continuité d’activité s’entend nécessairement sur un terrain sectoriel, même si plusieurs secteurs doivent être envisagés dans le cas d’une crise majeure. Peut-être que des textes spécifiques, non diffusés et non publiés, sont intervenus ’en interne’ pour rendre compte des liens à renforcer entre l’organisation de la Cellule de crise interministérielle (CIC) comme celle des autres cellules (de crise sanitaire ou de continuité économique), centres opérationnels et services administratifs et la situation des personnels attachés à ces autres cellules, centres et services. Car, de toute évidence, ce ne sont pas les seuls hauts fonctionnaires de défense et de sécurité qui entrent dans cet annuaire particulier.

Les informations collectées et traitées concernent, en effet, « les agents des services des hauts fonctionnaires de défense (SHFD) [et] les agents d’autres administrations de l’État ou d’organismes publics ou privés avec qui le SHFD du ministère concerné entretient des relations. » (art. 3) En ce que « la collecte de ces données a lieu directement auprès des personnes concernées » (art. 3), on peut penser que ces dernières, en acceptant de les délivrer - et à condition qu’elles soient informées de la raison d’être du questionnaire éventuel -, adhèrent sans réserve au jeu de la gestion des crises majeures décidé par l’État, - étant entendu que ces données seront « conservées jusqu’à la cessation définitive de leurs fonctions afférentes aux dispositifs de gestion de crise. » Ceci suppose donc qu’elles « doivent faire l’objet d’une mise à jour régulière afin de maintenir le caractère opérationnel de l’annuaire de crise. Les données non exactes ou non mises à jour doivent être supprimées en conséquence. » (art. 5)

Toutefois, la CNIL précise que «  le traitement doit se limiter aux données suivantes : / a) Pour l’identité : nom, nom marital, prénoms, adresses postale et électronique personnelles, coordonnées téléphoniques personnelles ; / b) Pour la situation familiale : présence au foyer d’enfants à charge de moins de trois ans, présence au foyer d’enfants à charge scolarisés (école maternelle et primaire), autres contraintes personnelles pouvant empêcher de se rendre sur son lieu de travail en cas de crise (telles que parents à charge). Les données collectées dans cette catégorie doivent se limiter à des réponses par oui ou non aux questions posées ; / c) Pour la fonction exercée : lieu de travail, numéro d’identification interne (à l’exclusion du NIR), emploi occupé, caractéristiques du poste (tels que contact avec le public, déplacements fréquents) ; / d) Pour les moyens de déplacement des personnes : mode de transport habituel, mode de transport alternatif, distance lieu de résidence/lieu de travail, permis de conduire. » (art. 3) Elle ajoute aussi que « les informations traitées (...) ne doivent pas être relatives aux infractions, condamnations ou mesures de sûreté ni faire apparaître, directement ou indirectement, les origines raciales, les opinions politiques, philosophiques, religieuses, l’appartenance syndicale des personnes ni être relatives à la santé ou à la vie sexuelle de celles-ci. » (art. 3) Mais même si elle signale que des contrôles pourraient être mis en place, le risque est que la condition relative aux "infractions, condamnations ou mesures de sûreté" soit difficilement respectée puisque l’objectif d’un plan de continuité d’activité le susciterait plus ou moins dans la mesure où il s’agirait de répondre à des fonctions ’cruciales’ pour la défense et la sécurité...

Il est alors nécessaire de prévoir des « mesures de protection physique et logique (...) afin de préserver la sécurité du traitement et l’intégrité des données traitées ainsi que d’empêcher tout accès ou toute utilisation détournés ou frauduleux de celles-ci, notamment par des tiers non autorisés. » (art. 7) L’annuaire de crise est alors à la seule disposition des gestionnaires de la crise... sectorielle ou majeure.

Mais l’incertitude quant à la définition de la "crise", inévitablement circonscrite par les autorités gouvernementales, grève toujours quelque peu le propos.

.

Pour la constitution de tels traitements automatisés de données à caractère personnel, même sous le label d’annuaire de crise, la référence à la circulaire du 2 janvier 2012 relative à l’organisation gouvernementale pour la gestion des crises majeures en apparaît donc que plus problématique...

.

Notes :

[1] JO 28 nov. 2012.

[2] RFAP 2012/1, n° 141.

[3] V. par ailleurs, Gk, « Une circulaire pour une gestion des "crises majeures" » (25 janvier 2012).

[4] Délib. n° 2012-389 du 8 nov. 2012, art. 8 : « Effets de la dispense de déclaration. / Les traitements répondant aux conditions visées aux articles 2 à 7 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL. / La dispense de déclaration préalable auprès de la CNIL n’exonère le responsable de tels traitements d’aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel. En particulier, la commission rappelle qu’elle se réserve le droit de contrôler le respect des dispositions de la présente délibération. »

[5] Relire l’article 16 de la Constitution ne serait pas inutile...

[6] Ce qui est désormais courant. Par ex., pendant la session extraordinaire 2010-2011, lors du débat à l’Assemblée nationale sur la proposition de loi, adoptée par le Sénat, tendant à faciliter l’utilisation des réserves militaires et civiles en cas de crise majeure, le président de la commission de la défense nationale et des forces armées (de l’époque) avait tenu ce discours : « Quel que soit le scénario de crise, la sécurité civile et la sécurité intérieure sont toujours les premières à intervenir. (...) Les cas potentiels de crise majeure ont tendance à se multiplier, pour plusieurs raisons. La complexité croissante de notre économie nous pousse à investir dans des installations représentant des risques technologiques importants, quand bien même leur conception et leur réalisation répondent aux plus hautes normes de sécurité technologique dont notre pays est capable. Notre économie dépend également d’un certain nombre d’infrastructures vitales, dont le caractère critique tend à s’accentuer avec le développement de leur technicité. Nous ne sommes pas à l’abri d’un risque d’attaques contre ces infrastructures, et nous ne pouvons pas en ignorer les conséquences. Enfin, une multiplication des catastrophes naturelles ne peut être exclue (...) : il suffit de se souvenir de la tempête Xynthia ou des inondations dans le Var (...). Ces éléments contribuent à expliquer le lien si étroit entre la défense et la sécurité de notre territoire, lien qui tend à devenir de plus en plus fort. (...) Défendre notre pays en effet, ce n’est pas seulement prévoir les menaces extérieures mais également parer à celles venant de l’intérieur... »

[7] V. par ex., à l’Assemblée nationale, la mission d’information : "Évaluation du cadre juridique applicable aux services de renseignement". Sans compter les différentes propositions de création de commission d’enquête sur le fonctionnement des renseignements généraux et l’évolution des missions des services de renseignement intérieur. V. en outre, L. n° 2007-1443 du 9 octobre 2007 portant création d’une délégation parlementaire au renseignement, JO 10 oct. 2007.

[8] V. annexe à la circulaire, p, 6 du .pdf : § 2 De la crise sectorielle à la crise majeure.

[9] V. art. R. 1143-1 et s. du Code de la défense.

Droit cri-TIC ou Droit cri TIC

Cri TIC, cri-TIC en Droit. Cri-TIC de droit : critique du droit, droit de la critique, droit à la critique, droit critique.

La forme interrogative étant un des signes de l’esprit critique qui anime toute recherche et parcourt tout enseignement, ce site a pour objet, en quelques articles ou brèves, de faire part de questionnements, incomplets et inachevés, sur des thèmes diversifiés... en Droit certes, mais aussi à côté ou aux alentours du Droit.

Pr. Geneviève Koubi

Dans la même rubrique

Citer H. Marcuse pour dire les droits de l’homme
Les mirages de l’interdiction d’un référentiel ethno-racial…
Lutter contre la traite des êtres humains...
Distinguer entre droits individuels et droits collectifs
Droit et droit de résistance à l’oppression (I)
Droit de résistance à l’oppression et droit à l’insurrection (II)
Dans un monde où rien n’échappe à l’œil de la machine…
Droit de résistance à l’oppression et désobéissance civique (III)
La lettre annexée : retour à l’antienne de la « diversité »
Des droits sociaux dans une société mondialisée
Supprimer le mot « électronique » et ne pas écrire « biométrique »
Les droits des peuples face à la mondialisation
Pour un emploi, des "devoirs" plus que des "droits "
Droits de l’homme Recoins constitutionnels : le « Défenseur des droits »
Droits de l’homme Refondation des modes de nomination à la CNCDH
Le fichage des enfants continue...
Comprendre plus qu’apprendre la désobéissance...
Droit des étrangers Le critère de l’assiduité à la formation pour l’obtention du visa
La protection des données personnelles sous Hadopi
Sous l’habit du voyageur
Le retrait d’Edvige
L’évaluation du niveau de connaissance, par les étrangers, de la langue française et des valeurs de la République
Les fichiers de police en attendant EDVIRSP
Label "diversité". La promotion de la discrimination active
Droit(s) et Colonisation(s) Distinguer entre peuples colonisés et peuples indigènes
La formation aux valeurs d’une République...
Vers une organisation des Nations-Unies indigènes et autochtones
"Presse en ligne". Modération des commentaires ?
V’là le Sal-Vac, le sac à VAC (Violence Associée au Crime)
Engeance d’agence des fichiers en Europe
Droit de l’éducation Aller à l’école sans "coiffe" de couleur religieuse
Un Défenseur des droits compact
Remplacer EDVIGE, éviter EDVIRSP : fichiers de prévention de la sécurité publique...
La protection de l’enfance, des droits à protection en déclin ?
Naître, n’être pas... Français ?!
A propos des « pays d’origine sûrs » de l’OFPRA…
Droit des étrangers Codification du « fichier des non-admis » (FNAD)
Un "NON" à la réécriture du Code de procédure pénale...
Obligation de travaux à la charge du locataire...
Veillez à ôter ce voile en sortant…
Droit et diversité culturelle La diversité à l’aune de l’argent versé
La "recherche" dans le « fichier des personnes recherchées »
Les fichiers BIOAP, le suivi de circulation en prison
VISABIO : des prestataires "à titre expérimental"
Droit de l’éducation Diplômes du Saint-Siège équivalents aux diplômes d’Etat
Accumulation inutile des rapports sur la "diversité"
L’existence d’un "délit de solidarité" confirmée
Pays "sûrs"... pas si sûrs pour le Conseil d’Etat
Droit de l’éducation Droits et libertés dans les filets du lycée
L’Etat de la vidéoprotection...
Conséquences de la décision QPC sur l’article 7 du Code électoral par voie de circulaire...
Fichier PARAFE. Par affres ?
A la frontière entre le fichier et le service ? L’S en plus ou en moins.
De l’abri au logement, des mots sans actes
A visage découvert...
- Les mots "Défenseur des droits" pour effacer les autres...
Comment établir le PV de la ’dissimulation du visage’...
Sectes sous surveillance mesurée en sécurité
- Expérimentation : "un chez-soi d’abord" !
Transports collectifs de voyageurs : "Le billet tique !"
Eligible au programme PARAFE !?
Domesticité : la reconnaissance du droit du travail
Participation-dénonciation, un acte citoyen ?
Vers un fichier des "citoyens honnêtes"...
Résistance de la loi de 1905 à l’épreuve du temps et de l’intérêt public local...
Sanctions disciplinaires à l’épreuve des mesures de responsabilisation...
Contrôle de l’assimilation : à la recherche du défaut.
La consultation du FIJAIS pour l’encadrement des activités sportives et l’accueil des mineurs
Hospitalisation d’office, une hospitalisation sans consentement dite « de soins psychiatriques »
Discriminations au pluriel ? Une pluralité de questions.
Fichier de la fraude documentaire et l’usurpation d’identité
Au point de non-retour, quand dire c’est aussi se dédire...
Circulaire supplémentaire plus que complémentaire...
Une charte... Des droits et des devoirs "de" ou "du" citoyen français ?
Une circulaire de l’Intérieur relue par une dépêche de la Justice...
Le chant des SIRHEN...
- Exercice. Les différentes lectures d’un arrêt (à partir de CE ass., 11 avr. 2012, GISTI et FAPIL, n° 322326).
Sur les naturalisations, une circulaire si peu informative...
Etrangers d’une circulaire à l’autre...
Téléservice, le service dématérialisé de l’alternance ?
Pour le droit à la liberté de "prier autrement"...
Accompagnement des opérations d’évacuation des campements...
Des fichiers créés pour un passage du format papier au format numérisé.
Version à signer, version assignée de la Charte des droits et devoirs du citoyen devenu Français.
Carte nationale d’identité pour personnes détenues.
Des annuaires de crise en fichiers...
Des rives policières de Manche à Calais...
- Engagements sur démesures dans les centres pénitentaires.
Entrée au musée ... l’égalité dans la gratuité ?
Egalité professionnelle. Procédure et sanction "effectives" ?
AGDREF et VISABIO révisés pour RMV2 (réseau mondial visas)...
Emprise des empreintes génétiques : FNAEG, le fichier des mis en cause à mettre en cause.
La gestion du "dépôt" des palais de justice...
Pays d’origine "sûr" : tirer les conséquences d’une décision du Conseil d’État du 4 mars 2013.
Lutte contre l’immigration irrégulière. Des indicateurs sans chiffres ?
Remplacement du FPA par le SETRADER - Des combinaisons à repenser ?
Décrets PASP, GI-PASP. Précisions sur la donnée "origine géographique"..
- Adopter le mariage sans "altérité sexuelle" ... Et le réfléchir ?
Pauvreté en prison. Un travail entre aides et gratuité.
Un guide méthodologique ’interdirectionnel’ pour la surveillance électronique.
Le fichier ADONIS doublé par le téléservice SVAIR
- Un référendum d’initiative partagée... et non pas ’populaire’.
La "fiche de renseignements administratifs", un téléservice en procédure de fichage scolaire
Réduire les taux de non-recours aux droits sociaux ou améliorer l’accès aux droits sociaux ?
- Distinguer multiculturalisme et pluriculturalisme ? (Complément à un cours - I)
- Distinguer multiculturalisme et pluriculturalisme ? (Complément à un cours - II)
La télédéclaration ou l’auto-fichage au service de l’administration des sports.
Un logiciel pour des places d’hébergement d’urgence des demandeurs d’asile.
La porte étroite du droit au compte bancaire...
Réaménager la mesure d’opposition à la sortie du territoire de l’enfant mineur....
Limiter les techniques biométriques ? (I. - Sénat)
GENESIS... une application logicielle détaillée pour remplacer GIDE

À propos de cet article

Dernière mise à jour le :
28 novembre 2012
Statistiques de l'article :
4 visiteurs aujourd'hui
2826 visiteurs cumulés

Votre recherche

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 1874 (1202148)