Délibération n° 2005-167 du 30 juin 2005 portant avis sur la mise en oeuvre par la direction générale des douanes et droits indirects du système d'information des douanes <BR>

J.O. 281 du 3 décembre 2005 J.O. disponibles Alerte par mail Lois,décrets codes AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance

Délibération n° 2005-167 du 30 juin 2005 portant avis sur la mise en oeuvre par la direction générale des douanes et droits indirects du système d'information des douanes

NOR : CNIX0508885X

La Commission nationale de l'Informatique et des Libertés,

Saisie pour avis par le ministère de l'économie, des finances et de l'industrie d'un projet d'arrêté relatif au « système d'information des douanes »,

Vu la convention no 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la convention sur l'emploi de l'informatique dans le domaine des douanes du 26 juillet 1995, ratifiée en application de la loi no 2000-537 du 16 juin 2000 et complétée par le protocole du 12 mars 1999 relatif au champ d'application du blanchiment de revenus dans la convention sur l'emploi de l'informatique dans le domaine des douanes et à l'inclusion du numéro d'immatriculation du moyen de transport dans la convention, lui-même ratifié en application de la loi no 2000-530 du 16 juin 2000 ;

Vu le règlement CE no 515/97 du 13 mars 1997 relatif à l'assistance mutuelle entre les autorités administratives des Etats membres et à la collaboration entre celles-ci et la Commission en vue d'assurer la bonne application des réglementations douanière et agricole, notamment ses articles 23 et 27 précisant la finalité du système, ses articles 24 et 25 énumérant les catégories de données enregistrées et son article 33 fixant la durée de conservation des données ;

Vu la directive no 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ;

Vu le code des douanes, notamment ses articles 413 bis, 414, 415, 459 et 465 ;

Vu les articles 1791 à 1816 du code général des impôts ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 26 ;

Après avoir entendu M. Jean Massot, commissaire, en son rapport et Mme Charlotte Marie Pitrat, commissaire du Gouvernement, en ses observations,

Emet l'avis suivant :

La direction générale des douanes et droits indirects (DGDDI) est chargée de la gestion et de l'exploitation du « système d'information des douanes » (SID) sur le territoire national. Ce traitement repose sur la mise en place d'un réseau d'ordinateurs dans les Etats partenaires de l'Union européenne (UE) et à la Commission européenne, en liaison avec un serveur central, géré au plan technique par l'Office européen de lutte antifraude.

Sur la procédure suivie :

Les dispositions qui régissent le SID prévoient que le traitement doit être considéré, dans chaque pays, comme un fichier national, soumis aux lois nationales, en particulier en ce qui concerne la protection des personnes physiques à l'égard du traitement des données personnelles. La demande dont le ministre de l'économie, des finances et de l'industrie a ainsi saisi la CNIL constitue une demande d'avis au sens du I de l'article 26 de la loi du 6 janvier 1978 modifiée. En effet, les finalités du SID intéressent notamment la sécurité publique, ainsi que la recherche, la constatation et la poursuite d'infractions pénales.

Sur les finalités du traitement :

Le SID est une base de données dont l'objet est d'aider à prévenir, rechercher et poursuivre les fraudes douanières et agricoles. L'origine des réglementations concernées étant pour partie communautaire, pour partie nationale, le SID se compose de deux fichiers distincts :

- le premier fichier réunit les signalements relatifs à des opérations contraires aux réglementations communautaires qui régissent la circulation des marchandises et la politique agricole commune. Il résulte du règlement (CE) no 515/97 du Conseil du 13 mars 1997 ;

- le second fichier relève du « 3e pilier » de l'UE et se rapporte à l'intervention des douanes dans la lutte contre la violation des réglementations édictées par un Etat membre, d'une part, en matière d'interdiction, de restriction ou de contrôle de l'importation, de l'exportation, du transit ou du séjour de marchandises, d'autre part, en matière de lutte contre le blanchiment de capitaux. Il est régi par la convention susvisée sur l'emploi de l'informatique dans le domaine des douanes du 26 juillet 1995.

Dispositif d'alerte, le SID a une finalité purement opérationnelle. Il vise à renforcer l'efficacité des procédures de coopération multilatérale et de contrôle des autorités douanières de l'UE par la mise en commun des signalements de personnes physiques, de marchandises de moyens de transport ou d'entreprises susceptibles d'intéresser ces Etats. Des données ne peuvent y être enregistrées qu'en relation avec une suggestion de conduite à tenir, qui peut être : exercer une surveillance discrète, engager un contrôle spécifique, observer et rendre compte.

Il appartient à la commission de s'assurer que les modalités d'utilisation du SID définies par la DGDDI, tant pour l'introduction de nouveaux signalements que pour la consultation de la base, sont conformes aux finalités du traitement et que l'ensemble des dispositions de la loi du 6 janvier 1978 se trouve ainsi respecté.

Sur les données susceptibles d'être enregistrées par la DGDDI et les conditions de leur conservation :

La commission prend acte :

1° Que chaque signalement sera justifié par des soupçons d'infraction fondés sur des indices réels récents ; il est notamment exclu qu'un signalement s'appuie sur la seule existence de condamnations inscrites au casier judiciaire ;

2° Que, s'agissant du fichier relevant du troisième pilier, les infractions graves aux lois françaises susceptibles de donner lieu à signalement sont exclusivement :

- les passages de vive force et les oppositions à fonction passibles de contraventions douanières de cinquième classe (article 413 bis du code des douanes) ;

- les délits douaniers de première et de deuxième classe des articles 414 et 415 du même code ;

- les infractions à la législation sur les relations financières avec l'étranger réprimées aux articles 459 et 465 du même code ;

- les délits en matière de contributions indirectes, sanctionnés aux articles 1791 à 1816 du code général des impôts.

Des données à caractère personnel ne pourront être saisies dans la base qu'en liaison avec les signalements consacrés aux marchandises, aux moyens de transport, aux entreprises ou aux personnes physiques. La commission rappelle que ces informations ne devront être enregistrées que pour autant qu'elles sont en adéquation avec la finalité opérationnelle du fichier et qu'elles présentent un intérêt pour faciliter l'identification des marchandises, moyens de transport, sommes, titres ou valeurs circulant en fraude.

La commission prend acte de l'engagement de la DGDDI de n'intégrer dans la base que des signalements complets de personnes physiques, c'est-à-dire comportant les nom, prénom, date et lieu de naissance de la personne, afin d'éviter tout risque d'homonymie.

Le règlement et la convention susvisés limitent strictement les données à caractère personnel susceptibles d'être enregistrées aux catégories suivantes : nom, prénom, nom d'emprunt, date et lieu de naissance, nationalité, sexe, signes particuliers effectifs et permanents, motifs d'introduction des données, actions suggérées, numéro d'immatriculation des moyens de transport, éventuellement code d'alerte en présence d'un danger.

La commission prend acte que le caractère exhaustif de cette énumération exclut la saisie de toute autre donnée concernant directement ou indirectement une personne physique ; que l'interdiction d'intégrer des informations révélant l'origine raciale, les opinions politiques, les convictions religieuses et philosophiques, l'appartenance syndicale, la santé ou la vie sexuelle concerne les deux fichiers du SID ; qu'en particulier, les signes particuliers effectifs et permanents susvisés ne devront pas faire apparaître directement ou indirectement les origines ethnico-raciales de la personne ; que l'ensemble de ces règles s'applique en particulier aux zones commentaires, dont l'objet doit se limiter à apporter des précisions sur l'action à entreprendre suggérée dans le signalement.

La commission constate, par ailleurs, que toute saisie d'informations, que ce soit à l'occasion de l'intégration de signalements ou de leur modification, fera l'objet d'un triple contrôle : de légalité, notamment au regard des règles de protection des donnnées ; de qualité, pour s'assurer de la clarté du cas de fraude exposé et de l'action à entreprendre suggérée ; d'opportunité, afin de s'assurer de l'intérêt de l'introduction des données pour les utilisateurs du SID et les Etats membres.

Ce contrôle a priori systématique sera exercé, au sein de la direction nationale du renseignement et des enquêtes douanières (DNRED), par des agents habilités de la division cotation fichier de la direction du renseignement et de la documentation. Il leur appartiendra de valider les propositions de signalement à introduire, de faire compléter celles qui s'avéreraient incomplètes et de demander toutes précisions ou documents complémentaires utiles pour qu'ils soient en mesure de se prononcer sur le bien-fondé de ces propositions.

La DGDDI s'engage à ce que les renseignements traités à cette occasion ne soient pas conservés, sur quelque support que ce soit, une fois ces contrôles réalisés.

Les signalements ne doivent être conservés dans le « SID » que le temps nécessaire pour atteindre l'objectif qui en a motivé l'insertion. La nécessité de la prorogation de leur conservation dans le « SID » sera vérifiée chaque année par le service qui les a introduits. Cet examen est permis par l'envoi systématique au service concerné de la liste des cas à examiner un mois avant la date d'échéance.

La commission recommande qu'une trace des opérations de contrôle effectuées à cette occasion soit conservée par le service qui les aura réalisées.

La commission demande à avoir communication des instructions consacrées aux modalités d'introduction et de prorogation de la conservation des données dans le « SID » et aux contrôles à effectuer à ces occasions ; elle exprime le souhait que ces instructions reprennent l'ensemble des observations qui précèdent.

Sur les modalités d'exploitation en France des données du « SID » :

L'installation de 83 terminaux de consultation est prévue sur le territoire national. Ils bénéficieront à 300 utilisateurs enregistrés, spécialement habilités et munis d'un mot de passe personnel qu'ils devront changer tous les trois mois.

La finalité de lutte contre les fraudes douanières et agricoles du « SID » a conduit à en réserver l'accès direct à des agents de certains services de la DGDDI :

- des services d'enquête : la direction nationale du renseignement et des enquêtes douanières (DNRED) ; les services d'enquête régionaux ; le service national de la douane judiciaire, habilité à effectuer des enquêtes judiciaires sous le contrôle et la direction des autorités judiciaires pour exécuter les commissions rogatoires internationales, rechercher et constater les infractions dans les domaines couverts par l'article 28-1 du code de procédure pénale ;

- les cellules de ciblage portuaires et aéroportuaires, qui consulteront le « SID » pour orienter l'action des services de contrôle ;

- les centres de liaison interservices, qui sont en relation constante avec les brigades mobiles de surveillance en cours de contrôle ou les équipes de recherche de la DNRED et consulteront la base de données sur leur demande.

Plus généralement, les utilisateurs enregistrés précités pourront communiquer des informations issues du « SID » à l'ensemble des agents des douanes ayant une mission en matière de lutte contre la fraude.

Ceux de la DNRED pourront, en outre, les transmettre, sous réserve de l'accord du partenaire ayant fourni les informations, à :

- des autorités nationales non douanières, sur la base de dispositions législatives instituant un droit de communication ou un pouvoir d'enquête ou de contrôle ;

- des Etats non membres de l'UE ;

- des organisations internationales ou régionales.

La commission prend acte que la totalité des demandes de consultation indirecte reçues par un service sera référencée sur un registre, manuel ou électronique, prévu à cet effet, comportant les nom, prénoms et fonction des demandeurs ainsi que la date et l'objet précis de la consultation. Ces informations y seront conservées pendant deux ans.

En ce qui concerne les demandes provenant de services situés hors de France, l'article 7 du projet d'arrêté prévoit que la DNRED veillera à la sécurité des données transmises et s'assurera de l'exercice, dans l'Etat de destination, de garanties suffisantes en matière de protection des données.

La commission rappelle que, sauf circonstances exceptionnelles exigeant la communication ponctuelle d'une information nécessaire à la sauvegarde de l'intérêt public, les conditions des transferts organisés d'informations douanières à caractère personnel vers des Etats ne répondant pas aux conditions de l'article 68 de la loi du 6 janvier 1978 doivent être fixées par décret en Conseil d'Etat pris après avis motivé et publié de la commission.

La commission demande à avoir communication des instructions adressées aux services sur le traitement des demandes de consultation indirecte et sur la tenue des registres correspondants.

Sur les mesures de sécurité :

La sécurité du système d'information repose sur l'identification des utilisateurs, le contrôle des interrogations de la base et la sécurité des transmissions d'informations. Notamment, aucune interconnexion ne peut être mise en place avec le « SID », que ce soit pour l'alimenter, le consulter ou en diffuser le contenu.

La commission estime que les mesures prises au niveau national pour assurer la sécurité du « SID » et la confidentialité des informations qu'il contient sont satisfaisantes.

Sur le régime de protection des données :

Les données restent la propriété du service qui les a introduites. Il est responsable de leur exactitude et de leur légalité. Il est seul à avoir le droit de les modifier, compléter, corriger ou effacer, que ce soit de sa propre initiative ou sur la suggestion d'un tiers, notamment d'une autorité de contrôle en charge de la protection des données.

Toute personne physique peut s'adresser à l'une quelconque des autorités de contrôle nationales pour exercer le droit d'accès, faire corriger ou effacer les informations la concernant, en faire effectuer la vérification ou obtenir des dommages-intérêts.

Le droit d'accès s'exercera, en France, auprès de la Commission nationale de l'Informatique et des Libertés, conformément aux articles 36 du règlement no 515/97 et 15 de la convention précitée, sous les conditinos de l'article 41 de la loi no 78-17 du 6 janvier 1978.

Il en résulte que la communication des informations au requérant pourra être envisagée, sous réserve :

- que le partenaire fournisseur du signalement ait eu la possibilité de prendre position ;

- que l'action à entreprendre suggérée ne soit ni « exercer une surveillance discrète » ni « observer et rendre compte » et que la communication ne porte atteinte ni à l'action spécifiée dans le rapport ni à la protection des droits et libertés d'autrui.

La commission prend acte que la DGDDI propose de mettre en place sur son site internet une information sur l'existence du « SID ». Elle se réserve cependant la possibilité de prendre des initiatives sur son site internet pour compléter cette information.

Sur la mission de contrôle confiée à la CNIL :

La commission a été désignée, d'une part, pour contrôler que l'insertion et l'exploitation des données du « SID » sur le territoire national se feront dans le respect du droit des personnes, d'autre part, pour participer à l'autorité de contrôle commune chargée de surveiller le fonctionnement du système d'information des douanes, en concertation notamment avec les autorités nationales de contrôle.

La commission est, à cette fin, habilitée à accéder au « SID » à partir des terminaux de consultation de la DGDDI pour pratiquer des contrôles indépendants. Elle pourra, en outre, accéder à la zone du « SID » à accès limité, où sont transférées les données retirées de la base consultable pour permettre la vérification de leur exactitude et de leur légalité.

Elle pourra également consulter, dans le cadre de ses contrôles, les données du système central de journalisation des connexions, conservées pendant six mois, ainsi que le registre, manuel ou informatisé, des demandes de consultation indirecte reçues que devra tenir chacun des services habilités à accéder directement au « SID ».

Le président,

A. Türk