AMENDEMENT

Rétablir cet article dans la rédaction suivante :

Le chapitre I^er du titre V du livre II de la deuxième partie du code des transports est complété par un article L. 2251-11 ainsi rédigé :

« Art. L. 2251-11. – Les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens sont autorisés à collecter et traiter des données sensibles, à l’exception des données génétiques, biométriques, ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique, conformément à l’article 88 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce traitement est mis en œuvre après avis de la Commission nationale de l’informatique et des libertés.

« Ces données sont collectées pour les seuls besoins de leur mission de prévention prévue par l’article l’article L. 2251-1 du présent code, dans la mesure où ces données sont strictement nécessaires à la poursuite de cette mission, en interface avec les services de police et de gendarmerie, dans le cadre du traitement d’infractions flagrantes punies d’une peine d’emprisonnement, et pour la durée strictement limitée au traitement en temps réel du fait de sûreté pour lequel les données sont collectées. La durée de conservation de ces données sensibles ne saurait excéder 24 heures à compter de leur collecte.

« Ces données sont transmises aux services de police et de gendarmerie.

« Ces données sensibles ne peuvent faire l’objet d’aucun traitement statistique. »

Cet amendement vise à rétablir l’article 10 de la proposition de loi supprimé en commission.

Des évolutions de rédaction ont été intégrées afin de mieux encadrer les dispositions de cet article et de prendre en compte les débats tenus en commission.

Depuis l’intégration dans le droit français des dispositions issues de la réglementation européenne sur la protection des données personnelles, les services de sécurité de la RATP et de la SNCF ne sont plus autorisés à procéder à la collecte et au traitement de données sensibles. Cependant ces informations sont nécessaires dans le cadre de communications réalisées tant au sein de ces vices qu’avec les services de police et de gendarmerie. 

Le traitement de certaines de ces données sensibles permettent d’identifier plus efficacement des individus présumés auteurs d’infractions limitant ainsi le risque d’erreur et pouvant éviter potentiellement des actes de récidive.

La collecte de données sensibles dans ce cadre doit donc être désormais prévue par une mesure réglementaire ou législative.

La CNIL a rappelé cette nécessité lors de l’Analyse d’Impact relative à la Protection des Données – AIPD sur le pilotage de la sûreté du système d’Aide à l’Intervention Globale des Lignes en Exploitation employé par la RATP depuis 1994.

Un descriptif opérationnel qui avait été produit pour l’AIPD décrit précisément les modalités opérationnelles de l’usage de ces données sensibles.

Un fait de sûreté porté à la connaissance de la RATP ou de la Préfecture de Police va engendrer l’ouverture d’une fiche de traitement dudit fait au Poste Central de Sécurité. Cette fiche prise en compte par le service interne de sécurité de la RATP reste active jusqu’à la fin du traitement du fait de sûreté permettant une meilleure coordination entre les agents de sûreté évoluant sur le terrain et un effectif de police. 

Ces données sensibles n’ont pas vocation à être conservées dans le cadre d’un traitement de données statistiques et ne servent qu’à la résolution dudit fait.

Leur conservation n’est nécessaire que pour la durée limitée au traitement du fait de sûreté, de son signalement et de l’éventuelle saisie d’un Officier de Police Judiciaire sur le fondement de l’article 73 du code de procédure pénale.

Cette durée de conservation ne peut excéder un maximum de 24h, puisque le principe de minimisation des données issues de la loi informatique et liberté impose de ne pas conserver ses informations plus que nécessaire. Ce délai de 24 heures correspond à la durée initiale de la garde à vue

Il faut relever que les articles 2 et 5 du décret n° 2022-1405 du 4 novembre 2022 portant « autorisation d’un traitement de données à caractère personnel assurant le suivi des missions de coordination du centre d’information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris » prévoit que les données collectées par les services de police, dont des données sensibles, peuvent être transmises aux services internes de sécurité de la RATP et de la SNCF. 

Pour autant, et conformément à l’article 88 de la loi informatique et libertés, ces services ne peuvent collecter et traiter de telles données que si ce traitement est autorisé par une disposition législative ou réglementaire.

Il est donc nécessaire de permettre aux services internes de sécurité de la RATP et de la SNCF de collecter et traiter ces données sensibles, ainsi que les transmettre aux services de police et de gendarmerie, eu égard, notamment, aux menaces sécuritaires pesant sur les réseaux de transport public de personnes.

Le traitement envisagé s’inscrit dans la mission des agents du GPSR prévue à l’article L. 2251-1 du code des transports, et la durée de conservation des données sensibles est limitée au seul temps nécessaire au traitement du fait de sûreté.

Au regard de la sensibilité des données collectées, l’avis préalable de la CNIL apparait nécessaire au regard de l’article 8 de la loi informatique et libertés.

Le dispositif proposé permet de répondre à l’objectif à valeur constitutionnel de prévention des atteintes à l’ordre public, tout en assurant une conciliation avec la liberté des personnes qui font l’objet d’un traitement de leurs données sensibles.

L’atteinte à la liberté des individus apparait strictement nécessaire et proportionnée. Il y a adéquation entre le but poursuivi et les moyens mis en œuvre pour protéger la sécurité des voyageurs.