Question écrite sur posée le 10/03/2020 :
Monsieur Bastien Lachaud interroge le ministre de l’Intérieur sur l’utilité, la finalité, mais surtout la légalité de l’application Gendnotes dont l’emploi par la gendarmerie nationale a été autorisé par le décret n° 2020-151 du 20 février 2020.
Le 9 octobre 2019, la CNIL a rendu son avis sur le projet de décret autorisant l’utilisation par la gendarmerie de l’application GendNotes de traitement automatisé de données à caractère personnel. D’une part, dans le décret publié le 20 février, les manquements constatés n’ont pas été corrigés et d’autre part, la CNIL a manqué de relever d’autres irrégularités induites par l’interconnexion de cette nouvelle application avec les autres fichiers existants. Il y a tout lieu de s’inquiéter de violations du droit à la protection des données personnelles que permet cette application.
Avant de présenter les différentes violations des droits humains résultant du fichage massif de la population qu’accentue cette application, il convient de noter que ce fichier est d’ores et déjà utilisé par la gendarmerie depuis au moins 2 ans. Cependant, jusqu’au décret du 20 février dernier, aucun dispositif législatif ou réglementaire ne régissait son emploi. Le vide juridique qui a entouré le recours à cette application jusqu’au décret est donc particulièrement choquant. Il interroge sur le respect par le ministère des exigences de l’État de droit. Aussi l’adoption de ce décret régularisant a posteriori cette situation de déni de droit, et entérinant l’emploi d’un tel dispositif, démontre un d’intérêt particulièrement inquiétant porté par le ministère à la protection de l’État de droit.
Le gouvernement détourne les dispositifs d’exception pour réprimer toute contestation sociale, procédé digne d’un régime autoritaire. La mobilisation des mesures d’état d’urgence, entrées dans le droit commun à l’initiative de votre gouvernement, tout comme la généralisation de l’utilisation et l’interconnexion de fichiers recueillant des données personnelles particulièrement sensibles sont utilisées pour exercer une surveillance de masse insidieuse. Cette attitude est la marque au mieux d’un gouvernement aux abois qui essaie par tout moyen de maîtriser la contestation sociale, au pire d’une dérive totalitaire en marche.
Espérons que la première hypothèse est la bonne. Cependant, force est de reconnaître que vous sombrez dans la seconde. Car oui, le fichage des données relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale, à la santé, à la vie ou à l’orientation sexuelle constitue la preuve d’une dérive totalitaire. Qu’est-ce que le totalitarisme si ce n’est la volonté d’un pouvoir politique de soumettre l’ensemble des activités des individus au contrôle de l’État.
C’est précisément ce que vous faites en permettant aux forces de sécurité de collecter un maximum d’informations personnelles et en permettant leur consultation et leur utilisation par les pouvoirs publics. Votre politique répressive qui sombre progressivement vers le totalitarisme doit être dénoncée. M. Bastien Lachaud alerte sur les atteintes aux droits humains que permet l’application Gendnotes du fait des lacunes du cadre réglementaire que vous avez posé.
Premièrement, vous précisez que le renseignement des informations sensibles (photos, opinions, orientation sexuelle, origine raciale…) ne peut intervenir qu’en cas d’absolue nécessité. Or, vous ne garantissez nullement le respect de cette exigence. Aucun contrôle n’est organisé et ne peut raisonnablement être institué. Le prérenseignement de ces informations ne peut suffire car il ne garantit nullement le respect de ces indications par les forces de l’ordre. Comment pouvez-vous alors vous assurer que les gendarmes respectent cet impératif ?
Deuxièmement, cette application permet la collecte des codes PIN et PUK dans l’application. Cependant, vous ne précisez pas les circonstances dans lesquelles cette information personnelle particulièrement sensible est renseignée : dans tous les cas ou seulement dans certaines hypothèses dans lesquelles cette information est nécessaire à la poursuite d’une infraction. Cette absence des motifs justifiant la collecte de ces données porte atteinte au droit à la protection des données personnelles.
Troisièmement, vous prétendez que les données sensibles renseignées dans Gendnotes respectent le cadre de protection des données personnelles défini par la loi de 1978 telle que modifiée pour correspondre au RGPD. En effet, dans l’application GendNotes, la suppression des données, dans le délai maximum d’un an en cas de modification, correspond au cadre légal de protection des données personnelles. Seulement, vous oubliez de préciser, comme la CNIL, que les données renseignées dans l’application alimentent automatiquement d’autres fichiers comme le LRPGN et la base de données « Messagerie tactique » et que ceux-ci alimentent d’autres fichiers (FPR, SNPC, AGDREF, TAJ). Il y a donc dans Gendnotes une « backdoor » qui permet de déroger aux règles de conservation des données. L’interconnexion des fichiers porte donc atteinte au droit à la protection des données personnelles.
Enfin, le décret indique qu’en ce qui concerne les données personnelles sensibles, « il est interdit de sélectionner une catégorie particulière de personnes à partir de ces seules informations ». Or, cette interdiction est insuffisante au regard de la sensibilité de ces informations et du caractère potentiellement discriminatoire d’un tel référencement. Il est donc impératif que l’application elle-même ne puisse permettre de rechercher un individu sur la base de ces critères, ce qui n’est nullement garanti.
Aussi, M. Bastien Lachaud souhaite-t-il connaître les mesures que le ministre compte prendre pour garantir le respect du droit à la protection des données personnelles par les forces de l’ordre lors de la collecte de ces informations ainsi qu’après leur collecte dans le cadre de l’interconnexion des différents fichiers.
Réponse publiée le 15/09/2020 :
La préservation de l’Etat de droit n’est pas seulement une préoccupation du Gouvernement, c’est avant tout son devoir. Gendnotes est une application pour les téléphones et les tablettes gendarmerie NEOGEND qui a pour objectif de faciliter la retranscription de notes prises par les gendarmes sur les interventions ou lors de leurs interventions sur le terrain. Elle a donc pour seul objet de dématérialiser les prises de notes nécessaires à l’exécution des missions quotidiennes des gendarmes. Le logiciel permet d’intégrer notamment une image, une identité, une note. Il offre la possibilité à l’utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ».
Concernant sa légalité et son cadre réglementaire, le traitement de données à caractère personnel respecte l’ensemble des obligations imposées par la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l’informatique, aux fichiers et aux libertés. Son cadre réglementaire est fixé non pas au moyen d’un arrêté ministériel, mais d’un décret pris en Conseil d’Etat, après avis motivé et publié de la Commission nationale de l’informatique et des libertés (CNIL). Le décret n° 2020-151 du 20 février 2020 a autorisé ce traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes ».
Plusieurs des observations formulées par la CNIL dans son avis du 3 octobre 2019 ont bien été prises en compte, par exemple :
– Gendnotes ne comporte pas de dispositif de reconnaissance faciale ce qui a été précisé au 12° du I de l’annexe au décret n° 2020-151 ;
– les terminaux NEOGEND sont intégralement chiffrés, selon les recommandations de l’Agence nationale de la sécurité des systèmes d’information dans ce domaine.
Pour ce qui concerne les interconnexions, la délibération de la CNIL n°2019-123 du 3 octobre 2019 sur le traitement Gendnotes liste les mises en relation de ce traitement de manière exhaustive :
– Gendnotes est interconnecté avec le traitement de rédaction de procédures « LRPGN » (logiciel de rédaction des procédures de la gendarmerie nationale) au sens d’une alimentation de ce dernier par le premier. Cette alimentation est à sens unique et ne concerne que les données présentes dans les champs formatés (identité, objet), à l’exclusion de toute autre et spécialement les champs libres ;
– Gendnotes permet, au travers de l’application « Messagerie Tactique », d’interroger les traitements FPR (fichiers des personnes recherchées), AGDREF (application de gestion des dossiers des ressortissants étrangers en France) et SNPC (système national des permis de conduire).
Elle pré-alimente uniquement les champs relatifs à l’état-civil de la personne contrôlée afin de réduire les délais du contrôle. Il n’y a aucune alimentation de Gendnotes par l’un de ces traitements. Elle peut également interroger le TAJ (traitement des antécédents judiciaires), dans le cadre de la procédure des amendes forfaitaires délictuelles uniquement.
La collecte des données relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, à la santé ou à la vie ou l’orientation sexuelle des personnes est réalisée auprès des personnes concernées uniquement lorsqu’elles sont strictement nécessaires ou qu’elles permettent d’établir les circonstances de commission d’une infraction, voire une circonstance aggravante de celle-ci.
Elle n’est possible que dans le cadre des dispositions des articles 6, 31 et 32 de la loi précitée de 1978. La loi informatique et libertés permet donc aux forces de l’ordre de traiter ce type de données (articles 31 et 32), mais en contrepartie de contraintes juridiques beaucoup plus strictes. L’interface « Note » n’a aucunement pour objectif de collecter des données de quelque nature que ce soit mais uniquement de permettre à l’enquêteur de prendre des notes sous format dématérialisé qu’il utilisera ultérieurement dans le cadre de l’établissement de la procédure judiciaire.
Il est impossible de sélectionner une catégorie de personnes à partir de ces informations, ni de les reprendre automatiquement dans d’autres traitements. Les données de cette application sont conservées 3 mois renouvelables jusqu’à la limite d’un an maximum. La collecte des codes PIN et PUK est soumise aux mêmes principes de stricte nécessité, d’adéquation et de proportionnalité que l’ensemble des autres données collectées dans Gendnotes.