AMENDEMENT

Rétablir cet article dans la rédaction suivante :

Le chapitre I^er du titre V du livre II de la deuxième partie du code des transports est complété par un article L. 2251-11 ainsi rédigé :

« Art. L. 2251-11. – Les services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens sont autorisés à collecter et traiter des données sensibles, à l’exception des données génétiques, biométriques, ou concernant la vie sexuelle ou l’orientation sexuelle, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique, conformément aux dispositions de l’article 88 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ce traitement est mis en œuvre après avis de la Commission nationale de l’informatique et des libertés.

« Ces données sont collectées pour les seuls besoins de leur mission, prévue par l’article L. 2251-1 du code des transports, dans la mesure où ces données sont strictement nécessaires à la poursuite de cette mission, en interface avec les services de police et de gendarmerie, dans le cadre du traitement d’infractions flagrantes punies d’une peine d’emprisonnement, et pour la durée strictement limitée au traitement en temps réel du fait de sûreté pour lequel les données sont collectées. La durée de conservation de ces données sensibles ne saurait excéder 24 heures à compter de leur collecte.

« Ces données peuvent être transmises aux services de police et de gendarmerie.

« Ces données sensibles ne peuvent faire l’objet d’aucun traitement statistique. »

Cet amendement tend à rétablir l’article 10 de la proposition de loi supprimé en commission, avec plusieurs évolutions de rédaction visant à mieux encadrer les dispositions prévues.

 A la suite de l’intégration dans le droit français des dispositions issues de la réglementation européenne sur la protection des données personnelles (RGPD et directive police-justice), les services internes de sécurité de la RATP et de la SNCF ne sont plus autorisés à procéder à la collecte et au traitement de données sensibles, telles que la prétendue origine raciale ou ethnique, ou l’état de vulnérabilité des personnes, la collecte de données sensibles dans ce cadre devant être prévue par une mesure réglementaire ou législative.

 Cette interdiction a été relevée par la Cnil, dans le cadre d’échanges avec la RATP, lors de la présentation de l'AIPD sur le pilotage de la sûreté au travers du Système Aigle exploité par la RATP. Les échanges ont notamment porté sur la qualité des termes utilisés entre le CCOS de la PP et le PC la sûreté RATP à propos de la recherche de personnes non identifiées, recherches déclenchées soit par le CCOS, soit par la sûreté RATP. Un descriptif opérationnel qui avait été produit pour l'AIPD décrit d’ailleurs précisément les modalités opérationnelles de l'usage de ces données sensibles (PJ).

 Or ces informations sont nécessaires dans le cadre de communications réalisées au sein de ces services internes de sécurité, mais également avec les services de police et de gendarmerie.

 En effet, le traitement de certaines de ces données sensibles permettent d’identifier plus efficacement des individus présumés auteurs d’infractions (limitant ainsi le risque d’erreur), notamment dans le cadre du suivi de faits de sûreté et des interactions entre les postes de commandement et les effectifs sur le terrain, mais également dans le cadre du continuum de sécurité entre les services internes de sécurité de la SNCF et de la RATP et les services de police et de gendarmerie.

 La conservation des données sensibles pertinentes, permettant effectivement d’identifier l’auteur d’une infraction flagrante, par les agents apparait indispensable afin de garantir un haut niveau de fiabilité des informations circulant entre les services de police, les agents du SIS RATP présents au sein du Poste de commandement sûreté (PCS), et des agents qui opèrent sur le terrain. En effet, un fait de sûreté porté à la connaissance de la RATP ou de la PP va engendrer l’ouverture d’une fiche de traitement dudit fait au PCS. La fiche reste active pour permettre la bonne prise en compte de ce fait par le SIS en coordination avec ses agents de sûreté évoluant sur le terrain et un effectif de police jusqu’à la fin du traitement du fait de sûreté. Aussi, la conservation de la donnée sensible n’est nécessaire que pour la durée limitée au traitement du fait de sûreté, de son signalement à l’éventuelle remise du mis en cause à un OPJ sur le fondement de l’article 73 du code de procédure pénale. Aussi, la durée de conservation ne peut excéder un maximum de 24h, puisque le principe de minimisation des données issues de la loi informatique et liberté impose de ne pas conserver ses informations plus que nécessaire. Le fichier de données sensibles sera ainsi purgé manuellement lorsque l’opérateur procèdera à son classement dans l’outil. En l’absence de classement manuel, une purge automatique interviendra dans l’outil 24 heures, après la création du fichier intégrant les données sensibles collectées. Ce délai de 24 heures correspond à la durée initiale de la garde à vue.

 Ces données sensibles n’ont pas vocation à être conservées dans le cadre d’un traitement de données statistiques et ne servent qu’à la résolution dudit fait dans le cadre du continuum sécurité.

 Par ailleurs, le décret n° 2022-1405 du 4 novembre 2022 portant autorisation d'un traitement de données à caractère personnel assurant le suivi des missions de coordination du centre d'information, de commandement et de coordination opérationnelle chargé de la sécurité du réseau de transport collectif de voyageurs de la zone de défense et de sécurité de Paris prévoit que les données collectées par les services de police, dont des données sensibles, peuvent être transmises aux services internes de sécurité de la RATP et de la SNCF (art 2 et 5 du décret). Pour autant, et conformément à l’article 88 de la loi informatique et libertés, ces services ne peuvent collecter et traiter de telles données que si ce traitement est autorisé par une disposition législative ou réglementaire.

 Il est donc nécessaire de permettre aux services internes de sécurité de la RATP et de la SNCF de collecter et traiter ces données sensibles, ainsi que les transmettre aux services de police et de gendarmerie, eu égard, notamment, aux menaces sécuritaires pesant sur les réseaux de transport public de personnes.

 Un tel traitement existe au bénéfice des forces de l’ordre et sa légalité a été admise par le Conseil d’Etat, dans une décision du 13 avril 2021 (n° 439360).

 Au regard de la sensibilité des données collectées, l’avis préalable de la CNIL apparait nécessaire au regard de l’article 8 de la loi informatique et libertés.

 Le dispositif proposé permet de répondre à l’objectif à valeur constitutionnel de prévention des atteintes à l’ordre public, tout en assurant une conciliation avec la liberté des personnes qui font l’objet d’un traitement de leurs données sensibles. Le traitement envisagé s’inscrit en effet dans la mission des agents du GPSR prévue à l’article L. 2251-1 du code des transports, et la durée de conservation des données sensibles est limitée au seul temps nécessaire au traitement du fait de sûreté. Ce faisant, l’atteinte à la liberté des individus apparait strictement nécessaire et proportionnée.