La CNIL vient de mettre en demeure le ministère de l'Économie de cesser l'utilisation du fichier SIRENE (Système d’information du renseignement des navires et équipages), créé sans acte législatif ou réglementaire, ou de le régulariser. Elle a constaté que près de 46 000 personnes, dont 392 mineurs, y sont illégalement recensées avec plus de 12 000 copies de passeports et cartes d'identité.
La CNIL a constaté que les douanes françaises utilisent un fichier non déclaré pour recenser les personnes contrôlées en mer ou à quai, après un signalement effectué en mars 2022. Elle demande au ministère soit de faire cesser ce recensement, soit d' « édicter un acte législatif ou règlementaire après avis de la CNIL », comme l'impose la loi Informatique et liberté.
Après s'être déplacée, en août 2022, auprès de l’unité garde-côtes des douanes Manche-Mer du Nord-Atlantique, la CNIL a pu observer que cette unité « inscrit de manière systématique les personnes contrôlées en mer ou à quai par les douanes dans le fichier SIRENE sans que ces personnes n’en soient informées », explique-t-elle dans sa décision du 3 avril dernier.
Ce fichier n'a jamais été officiellement créé et ne dispose donc d'aucune base légale, même si la CNIL a pu accéder à un projet d’acte réglementaire rédigé par la direction générale des douanes et des droits indirects (DGDDI)
Fichier illégal
Comme le rappelle la CNIL, les articles 31 et 33 à 36 de la loi Informatique et Libertés prévoient que les traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, doivent être prévus par une disposition législative ou règlementaire.
D'autre part, la CNIL a constaté que le fichier SIRENE contient des « données relatives à la géolocalisation de tous les navires dès que le signal de leur balise est capté ». Elle explique que sa délégation a « été informée que le SGCD MMNA avait automatiquement accès à " de nombreuses informations ", sans préciser lesquelles, lorsqu’il se trouve à proximité de navires équipés d’un transpondeur AIS (automatic identification system) ».
Ce traitement de données de géolocalisation personnelles dans SIRENE est potentiellement à large échelle puisque la Commission explique que « si a priori seul le propriétaire est intégré au fichier SIRENE, les agents participant au contrôle du navire peuvent aléatoirement intégrer tous les occupants au dit fichier ». Dès lors, le ministère aurait dû, en plus de créer une disposition législative ou réglementaire, lui adresser d'abord une analyse d'impact sur la protection des données personnelles de cet éventuel texte, ce qu'il n'a pas fait.
45 793 personnes concernées dont 392 mineurs, 24 000 personnes géolocalisées
Selon cette décision de la CNIL, ce n'est rien de moins que 24 000 personnes qui seraient concernées par ce traitement de leur géolocalisation en mer ou à quai par les douanes françaises sans aucune base légale.
Mais, en tout, SIRENE comporterait 45 793 personnes, dont 392 mineurs. En outre, la délégation de la Commission qui s'est rendue sur place a constaté que « le fichier contenait les copies de 9 646 passeports et de 3 051 cartes nationales d’identité ».
Pas de distinction entre victimes et coupables dans le fichier
Selon la CNIL, le fichier SIRENE violerait encore un autre article de la loi Informatique et Libertés, l'article 98, qui impose qu'une distinction claire soit faite entre les données des personnes liées à une infraction pénale : suspects, coupables, victimes et tiers de l'affaire ne doivent pas être mis dans le même sac.
Or, selon l'autorité, « la distinction entre les personnes soupçonnées d’une infraction, coupables, victimes ou tiers n’est pas établie. La délégation a été informée que la qualification d’un navire de […], est réalisée dans SIRENE sans toutefois distinguer les catégories de personnes sur le navire. ».
La Commission constate aussi qu'aucune information n'est mise à la disposition du public sur ce fichier et que les personnes contrôlées ne sont pas informées du traitement de leurs données personnelles dans SIRENE, ce qui est contraire aux articles 104 et 107 de la loi Informatique et Libertés.
La CNIL met donc en demeure le Ministère de l'Économie, des finances et de la souveraineté industrielle et numérique, responsable de la direction générale des douanes, de publier d'ici à six mois, après lui avoir demandé son avis sur le texte en question, un acte législatif qui encadre la création de ce fichier ou de « cesser de procéder au traitement des données en cause », en prenant soin qu'il distingue victimes, suspects, coupables et tiers. Le Ministère doit aussi prévenir convenablement les personnes y étant inscrites.
