POLITIQUE & INSTITUTIONS — Institutions

Fichier central

La CNPD va aider la police à être conforme au RGPD



267291.jpg

La présidente de la CNPD, Tine A. Larsen, a proposé à la police la création d’un comité ad hoc. C’est son commissaire, Christophe Buschmann, qui représentera le «gendarme de la protection des données» dans ce groupe de travail. Sans vouloir le diriger.  (Photo: Paperjam)

La Commission nationale pour la protection des données rend aujourd’hui, mercredi 18 septembre, son avis sur le fichier central de la police et le RGPD. La CNPD a proposé la création d’un comité ad hoc et l’implication d’un de ses commissaires, Christophe Buschmann, dans ce dossier sensible.

«Nous n’allons pas faire du project management!» La première phrase de Christophe Buschmann, ce mercredi matin à Belval, à l’occasion de la présentation du rapport annuel de la Commission nationale pour la protection des données (CNPD), est claire.

Le «gendarme de la protection des données» ne va pas se substituer à l’institution pour qu’elle se conforme à ses obligations, nées du règlement européen sur la protection des données, en vigueur depuis le 25 mai dernier. Mais va s’y impliquer.

Une première réunion de ce comité pourrait avoir lieu dans les 15 jours qui viennent. Et c’est M. Buschmann qui sera le représentant de la CNPD.

«On espère que la police aura ainsi davantage de moyens à y consacrer et que cela sera une priorité, même si l’on sait que la police a beaucoup de sujets prioritaires», commente la présidente de la CNPD, Tine A. Larsen .

Les quatre points qui posent problème

Dans les 34 pages de l’avis que la Commission nationale pour la protection des données s’apprêtait à rendre, quatre points posent problème:

- la CNPD ne dit pas que le nombre élevé d’accès à ce fichier central est illégal, mais s’interroge sur l’utilisation effective de ces accès par les agents et appelle à revoir le nombre d’accès;

- la CNPD appelle à la mise en place d’une journalisation conforme. Aujourd’hui, elle est seulement technique. C’est-à-dire que l’on sait quel agent s’est connecté au fichier central quel jour et à quelle heure et même pour lequel de la vingtaine des motifs qui existent, mais pas pour quelle enquête ou quel acte d’investigation. Par exemple, quand un agent sur le terrain procède à une interpellation et appelle le central pour avoir des informations, c’est son collègue qui cherche ces informations qui va être enregistré et pas celui qui procède à l’arrestation.

- enfin, la question du délai de conservation active des données est ambiguë. La police l’a fixé à dix ans en s’appuyant sur un règlement de 1978... qui a été abrogé. La justice peut jouer un rôle dans cet aspect-là, en fonction de la prescription des délits et des crimes. Quant à la conservation pour les archives, elle est prévue pendant 60 ans. Comme le fichier n’existe pas depuis 60 ans, rien n’a encore été supprimé.

À quelle échéance la police sera-t-elle conforme , comme tout un chacun, institutions, collectivités ou entreprises? Mystère. «C’est un sujet complexe», commente sobrement Mme Larsen, qui continue à préférer la pédagogie à la sanction.

Laquelle, dans ce cas, ne manquerait pas de piquant: l’établissement public (dépendant de l’État) sanctionnerait l’État.

Les autres statistiques du rapport annuel

- En 2018, la CNPD a reçu 1.112 demandes de renseignement, plus du double de l’année précédente (528), qui ont porté sur la mise en conformité à la nouvelle législation, la vidéosurveillance et les droits de personnes concernées.

- Le nombre de réclamations a lui aussi plus que doublé, passant de 200 en 2017 à 450 l’an dernier.

- La CNPD a participé à de très nombreuses opérations de sensibilisation à ce texte entré en vigueur le 25 mai dernier, comme la distribution de 12.000 exemplaires de la nouvelle brochure sur les droits des citoyens ou l’élaboration de nouvelles lignes directrices concernant la vidéosurveillance.

- La CNDP a ouvert 25 audits thématiques pour vérifier la conformité des organismes en matière de désignation et d’implémentation du rôle de data protection officer (DPO). Douze enquêtes sur place ont eu lieu autour des questions de vidéosurveillance, de géolocalisation, de publicité et de marketing.

- Depuis le 25 mai, acteurs privés ou publics ont 72 heures pour signaler une violation à partir du moment où ils en ont pris connaissance. 172 violations ont été notifiées, la plupart en raison d’erreurs humaines (57% des cas).

- 493 DPO ont été déclarés auprès de la CNPD et 818 responsables du traitement des données ont simplement communiqué les coordonnées de leur DPO auprès de la CNPD.

- La CNPD participe activement aux travaux du board européen (EDPB), où elle est par exemple rapporteur pour l’adéquation avec le Japon, pour la législation européenne sur la preuve numérique et sur les interactions entre le RGPD et la directive européenne sur les services de paiement (PSD2).

- Les effectifs devraient passer de 38 personnes fin 2018 à 48 d’ici la fin de l’année, avec un budget annuel augmenté à 5,5 millions d’euros.