Question de Mme LIENEMANN Marie-Noëlle (Paris - CRCE-R) publiée le 19/03/2020

Mme Marie-Noëlle Lienemann attire l'attention de M. le Premier ministre concernant des doutes importants qui pèsent sur le décret autorisant l'application «GendNotes ».
En effet, de nombreux élus, citoyens et associations de défense des Droits de l'Homme se sont émus de la publication du décret n° 2020-151 du 20 février 2020 autorisant l'usage d'une « application mobile de prise de notes » par les gendarmes. Appelée « GendNotes », elle est intégrée aux smartphones et tablettes Neogend qu'ils utilisent déjà.

Or plusieurs éléments permettent de considérer que cette application représente une violation des dispositions de l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme. Il s'agit notamment de :

1. La finalité du recueil des données
Le décret permet une ingérence injustifiée et disproportionnée dans le droit de toute personne à sa vie privée. L'enregistrement, même s'il n'était effectué que dans les cas de « nécessité » absolue, de données faisant apparaître les origines « raciales » ou ethniques, d'informations relatives à la santé ou à la vie sexuelle, ne respecte pas le principe de proportionnalité inscrit à l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. De telles données ne sont ni adéquates, ni pertinentes, ni proportionnées à la finalité d'information du traitement « GendNotes ». Or le décret ne définit nullement les cas de nécessité absolue dans lesquels celles-ci seraient susceptibles d'être collectées. En outre, le texte n'offre aucune garantie pour une parfaite correspondance entre la collecte de données sensibles et la finalité du recours au traitement automatisé.

2. La nature des données collectées
Le décret n'assure aucune exigence de protection particulière de la vie privée des enfants (des mineurs en général). Cette absence de protection spécifique s'agissant de la nature des données collectées est d'autant plus inquiétante que leur vulnérabilité devrait appeler à de telles garanties.

3. La conservation des données
Il n'existe aucune garantie suffisante pour assurer un niveau satisfaisant de sécurité et de protection de la confidentialité des données. Le texte ne fait référence qu'à un encadrement de la durée de la conservation des données et précise les personnes pouvant y avoir accès. Or la Commission nationale de l'informatique et des libertés (CNIL) avait fait part de son inquiétude : « De façon générale, la commission regrette fortement que le ministère n'ait pas prévu des mesures de chiffrement des terminaux ainsi que des supports de stockage ; ce type de mesure de sécurité […] apparaît comme étant le seul moyen fiable de garantir la confidentialité des données stockées sur un équipement mobile en cas de perte ou de vol. » Le décret ne respecte pas non plus les recommandations de la CNIL ce qui est pourtant obligatoire.

4. La transmission
Là encore, aucune garantie d'une protection effective du droit au respect de la vie privée des citoyens. Si le décret établit la liste des accédants, militaires et non militaires, pour les non militaires, il indique qu'ils sont destinataires « dans la stricte limite du besoin d'en connaître ». Cependant, nulle précision qui nous permettrait de savoir en quoi consiste une « limite ». Or, le texte réglementaire l'a érigé en condition déterminante.

5. Le croisement des fichiers
L'article premier du décret précise que le recueil et la conservation de données sont effectués « en vue de leur exploitation dans d'autres traitements de données », sans précision. Quels sont ces autres fichiers vers lesquels un transfert peut être effectué ? Le décret reste muet.

Elle lui demande comment un tel décret a-t-il pu être publié malgré ces éléments inquiétants.
Elle demande donc au Gouvernement de bien vouloir retirer ce décret tant que la résolution des éléments précités n'aura pas été obtenue.

- page 1312

Transmise au Ministère de l'intérieur


Réponse du Ministère de l'intérieur publiée le 10/09/2020

La préservation de l'État de droit n'est pas seulement une préoccupation du Gouvernement, c'est avant tout son devoir. Gendnotes est une application pour les téléphones et les tablettes gendarmerie NEOGEND qui a pour objectif de faciliter la retranscription des pièces de procédures de notes prises par les gendarmes sur les interventions ou lors de leurs interventions sur le terrain. Elle a donc pour seul objet de dématérialiser les prises de notes nécessaires à l'exécution des missions quotidiennes des gendarmes. Le logiciel permet d'intégrer notamment une image, une identité, une note. Il offre la possibilité à l'utilisateur de compléter, outre des champs prédéfinis, des zones de commentaires libres dans une interface « Note ». Concernant sa légalité et son cadre réglementaire, le traitement de données à caractère personnel respecte l'ensemble des obligations imposées par la loi n° 78-17 du 6 janvier 1978 modifiée, relative à l'informatique, aux fichiers et aux libertés. Son cadre réglementaire est fixé non pas au moyen d'un arrêté ministériel, mais d'un décret pris en Conseil d'État, après avis motivé et publié de la Commission nationale de l'informatique et des libertés (CNIL). Le décret n° 2020-151 du 20 février 2020 a autorisé ce traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes ». Plusieurs des observations formulées par la CNIL dans son avis du 3 octobre 2019 ont bien été prises en compte, par exemple : Gendnotes ne comporte pas de dispositif de reconnaissance faciale ce qui a été précisé au 12° du I de l'annexe au décret n° 2020-151 ; les terminaux NEOGEND sont intégralement chiffrés, selon les recommandations de l'Agence nationale de la sécurité des systèmes d'information dans ce domaine. Pour ce qui concerne les interconnexions, la délibération de la CNIL n°2019-123 du 3 octobre 2019 sur le traitement Gendnotes liste les mises en relation de ce traitement de manière exhaustive : Gendnotes est interconnecté avec le traitement de rédaction de procédures « LRPGN » (logiciel de rédaction des procédures de la gendarmerie nationale) au sens d'une alimentation de ce dernier par le premier. Cette alimentation est à sens unique et ne concerne que les données présentes dans les champs formatés (identité, objet), à l'exclusion de toute autre et spécialement les champs libres ; Gendnotes permet, au travers de l'application « Messagerie Tactique », d'interroger les traitements FPR (fichiers des personnes recherchées), AGDREF (application de gestion des dossiers des ressortissants étrangers en France) et SNPC (système national des permis de conduire). Elle pré-alimente uniquement les champs relatifs à l'état-civil de la personne contrôlée afin de réduire les délais du contrôle. Il n'y a aucune alimentation de Gendnotes par l'un de ces traitements. Elle peut également interroger le TAJ (traitement des antécédents judiciaires), dans le cadre de la procédure des amendes forfaitaires délictuelles uniquement. La collecte des données relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, à la santé ou à la vie ou l'orientation sexuelle des personnes est réalisée auprès des personnes concernées. Elle n'est possible que dans le cadre des dispositions des articles 6, 31 et 32 de la loi précitée de 1978 et, uniquement, lorsqu'elles sont strictement nécessaires ou qu'elles permettent d'établir les circonstances de commission d'une infraction, voire une circonstance aggravante de celle-ci. La loi informatique et libertés permet donc aux forces de l'ordre de traiter ce type de données (articles 31 et 32), mais en contrepartie de contraintes juridiques beaucoup plus strictes. L'interface « Note » n'a aucunement pour objectif de collecter des données de quelque nature qu elle soit mais uniquement de permettre à l'enquêteur de prendre des notes sous format dématérialisé qu'il utilisera ultérieurement dans le cadre de l'établissement de la procédure judiciaire. Il est impossible de sélectionner une catégorie de personnes à partir de ces informations, impossible de les reprendre automatiquement dans d'autres traitements. Sa justification est fonctionnelle et les conditions sont imposées pour l'enregistrement. Les données de cette application sont conservées 3 mois renouvelables jusqu'à la limite d'un an maximum.

- page 4144

Page mise à jour le