Plusieurs manquements à la loi Informatique et Libertés

À la suite d’un signalement relatif au fichier SIRENE, la CNIL a contrôlé le service garde-côtes des douanes Manche-Mer du Nord-Atlantique, service à compétence nationale de la direction générale des douanes et des droits indirects (DGDDI).

Les vérifications ont permis de constater que le recours à ce fichier n’était pas conforme à la loi Informatique et Libertés, ce qui a conduit la présidente de la CNIL a mettre en demeure le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique de se mettre en conformité dans un délai de six mois.

Le fichier SIRENE recense des informations sur les passagers des navires contrôlés, comprenant leur état civil, adresse, profession, fonction à bord du navire ainsi que les informations relatives à la propriété ou à la location du navire et leur géolocalisation. 45 793 personnes, dont 392 mineurs, sont intégrées au fichier SIRENE qui contient également des copies de titres d’identité et la mention d’infractions pénales (trafic de drogue, contrefaçon, travail dissimulé, refus d’obtempérer, agressions sexuelles, détention d’armes prohibées, homicide volontaire ou assassinat).

Pourtant, la création et l’utilisation du fichier SIRENE ne sont prévues par aucun texte (par exemple une loi ou un décret). De plus, la CNIL n’a pas été saisie d’une demande d’avis concernant sa mise en place, en violation de la loi Informatique et Libertés (articles 87 et 89).

En outre, le ministère n’a pas adressé à la CNIL d’analyse d’impact relative à la protection des données personnelles. Or, une telle formalité est nécessaire, car la DGDDI met en œuvre, pour le compte de l’État, un traitement de données de localisation à large échelle susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques (article 90 de la loi).

Par ailleurs, le fichier SIRENE ne fait pas de distinction claire entre les données des différentes catégories de personnes concernées, telles que celles soupçonnées d’une infraction, les victimes ou les témoins (article 98 de la loi).

Enfin, les personnes intégrées au fichier SIRENE n’en sont pas informées et aucune information générale n’est mise à disposition du public concernant ce fichier. Ainsi, les personnes concernées ignorent jusqu’à l’existence même de ce fichier (article 104 de la loi).

Une mise en demeure de respecter la loi Informatique et Libertés

La présidente de la CNIL a mis en demeure le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique de se mettre en conformité dans un délai de six mois.

La CNIL a décidé de rendre cette mise en demeure publique dans la mesure où le fichier concerné est illicite, a pour objet la recherche d’infractions, concerne un nombre conséquent de personnes et traite des données sensibles.

Si le ministère de l’Économie ne se conforme pas à la mise en demeure, la présidente pourra saisir la formation restreinte de la CNIL, qui pourra prononcer une sanction.