GendNotes : halte aux transferts de données vers d’autres fichiers via le carnet virtuel de la gendarmerie !

Author: teamtaomanews
20 mai 2021
0

Par décision du 13 avril 2021, le Conseil d’Etat annule partiellement le décret autorisant la mise en œuvre de l’application de collecte de données destinée à la gendarmerie dénommée GendNotes, en supprimant la possibilité de transferts des données recueillies dans le cadre de l’application vers d’autres fichiers. 

Une application avec une zone de commentaires libres sujette à critiques

Afin de faciliter le travail des gendarmes sur le terrain et notamment le recueil et la conservation de données collectées lors de leurs interventions, le décret n°2020-151 du 20 février 2020 est venu implémenter chez la gendarmerie nationale une application dénommée GendNotes, permettant la prise de note dématérialisée.

Les données susceptibles d’être collectées via cette application concernent notamment l’identité des personnes et les données de procédure destinées à l’autorité judiciaire.

A priori, la collecte de ces données reste somme toute relativement classique : elle se borne aux nécessités de la procédure et ne paraît pas heurter de manière démesurée les droits et libertés de l’individu. Ce n’est donc pas sur ce point que la polémique autour de GendNotes a émergé, mais sur une partie du décret bien spécifique : la « zone de commentaires libres ».

Cette zone permet notamment aux gendarmes de renseigner des données relatives à la santé de la personne, à son origine raciale ou ethnique, à ses opinions politiques, philosophiques ou religieuses, à son appartenance syndicale ou encore à sa vie et son orientation sexuelle, soit des données particulièrement sensibles.

Un outil facilitant la transmission de comptes rendus aux autorités judiciaires  et encadré par décret

Alors que ces cinquante dernières années ont été émaillées de controverses sur la question du fichage de la population – on se souvient par exemple des oppositions déclenchées par le projet SAFARI en 1974 ou encore par le fichier Edvige en 2008 – Gendnotes s’est également heurté à l’action de nombreuses associations voyant dans cette application un outil de « fichage politique ».

Le décret prévoyait pourtant un encadrement de la collecte des données, en précisant que « ne peuvent être enregistrées dans les zones de commentaires libres que les données et informations strictement nécessaires,adéquates et non excessives au regard des finalités poursuivies ».

A savoir :

  • La facilitation du recueil et de la conservation, en vue de leur exploitation dans d’autres traitements de données, notamment par le biais d’un système de pré-renseignement, des informations collectéespar les militaires de la gendarmerie nationale à l’occasion d’actions de prévention, d’investigations ou d’interventions nécessaires à l’exercice des missions de polices judiciaire et administrative.
  • La facilitation de la transmission de comptes rendus aux autorités judiciaires.

Le décret pose, par ailleurs, une protection supplémentaire en ne permettant la collecte des données personnelles visées par la loi de 1978 qu’en cas de « nécessité absolue » et « dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».

Enfin, la protection des données personnelles est renforcée par l’impossibilité de sélectionner une catégorie particulière de personnes à partir des informations tirées de la zone de commentaires libres. Impossible donc d’effectuer une recherche sur des critères de religion ou d’orientation sexuelle.

Des risques liés au  transfert de données et à la durée de conservation pointés par plusieurs associations de défense des droits et libertés et la CNIL

Le cadre posé par le décret ne parvenait cependant pas à convaincre les représentants d’associations de défense des droits et libertés parmi lesquelles figurent, entre autres, la ligue des droits de l’homme, le syndicat de la magistrature, le conseil national de barreaux ou encore la quadrature du net, qui continuaient de pointer du doigt les dangers liés à GendNotes. Leurs principales critiques portaient sur le risque de transfert des données vers d’autres fichiers non énumérés par le décret et sur la question du délai maximal de conservation des données dans ces autres fichiers. En effet, si le décret prévoyait un temps de conservation sur GendNotes de 3 mois (porté jusqu’à un an maximum), rien n’était dit du délai de conservation sur les autres fichiers.

La question de l’alimentation par GendNotes d’autres fichiers avait déjà retenu l’attention de la CNIL (Commission Nationale de l’Informatique et des Libertés) dans son avis du 3 octobre 2019, alors qu’elle se prononçait sur le décret instituant GendNotes, encore à l’état de projet.

Elle avait considéré que les traitements pouvant être mis en relation ou faisant l’objet d’interconnexions avec GendNotes devraient être mentionnés explicitement par le décret.

Son avis, simplement consultatif, n’avait pas été suivi sur ce point par le gouvernement.

L’annulation par le Conseil d’Etat de la possibilité de transfert des données recueillies sur GendNotes vers d’autres fichiers

Dans une décision du 13 avril 2021, le Conseil d’Etat se prononce sur la légalité du décret à l’origine de GendNotes.

Il conclut à la conformité générale du texte à la loi informatique et libertés du 6 janvier 1978 (transposant au sein de son titre III la directive européenne 2016/680 du 27 avril 2016), mais annule toutefois la possibilité de diffusion des données collectées vers d’autres fichiers.

Le Conseil d’Etat juge que le décret n’indique pas avec suffisamment de précision les fichiers concernés par ces transferts, pas plus que le procédé selon lequel les données y seraient traitées, ainsi que l’objectif visé par ces fichiers dans le traitement des données.

La finalité du transfert n’étant pas « déterminée, explicite et légitime » selon les exigences de la loi informatique et libertés, le Conseil d’Etat supprime toute possibilité de transfert de données à partir de GendNotes.

Les autres dispositions du décret sont validées, notamment celles relatives à l’étendue des données collectées, à leur durée de conservation, aux personnes y ayant accès. De même le droit d’opposition limité des personnes dont les données sont entrées sur l’application, la collecte des données de personnes mineures ou encore la question de la sécurisation générale des données ne soulèvent pas de difficultés aux yeux du juge administratif.

 

Anne-Cécile Pasquet
Auditrice de justice

Anne Laporte
Avocate à la Cour

 

Abonnez-vous à la newsletter de TAoMA !