La CNIL vient de mettre en demeure le ministère de l'Économie de cesser l'utilisation du fichier SIRENE (Système d’information du renseignement des navires et équipages), créé sans acte législatif ou réglementaire, ou de le régulariser. Elle a constaté que près de 46 000 personnes, dont 392 mineurs, y sont illégalement recensées avec plus de 12 000 copies de passeports et cartes d'identité.
La CNIL a constaté que les douanes françaises utilisent un fichier non déclaré pour recenser les personnes contrôlées en mer ou à quai, après un signalement effectué en mars 2022. Elle demande au ministère soit de faire cesser ce recensement, soit d' « édicter un acte législatif ou règlementaire après avis de la CNIL », comme l'impose la loi Informatique et liberté.
Après s'être déplacée, en août 2022, auprès de l’unité garde-côtes des douanes Manche-Mer du Nord-Atlantique, la CNIL a pu observer que cette unité « inscrit de manière systématique les personnes contrôlées en mer ou à quai par les douanes dans le fichier SIRENE sans que ces personnes n’en soient informées », explique-t-elle dans sa décision du 3 avril dernier.
Ce fichier n'a jamais été officiellement créé et ne dispose donc d'aucune base légale, même si la CNIL a pu accéder à un projet d’acte réglementaire rédigé par la direction générale des douanes et des droits indirects (DGDDI)
Fichier illégal
Comme le rappelle la CNIL, les articles 31 et 33 à 36 de la loi Informatique et Libertés prévoient que les traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, doivent être prévus par une disposition législative ou règlementaire.
D'autre part, la CNIL a constaté que le fichier SIRENE contient des « données relatives à la géolocalisation de tous les navires dès que le signal de leur balise est capté ». Elle explique que sa délégation a « été informée que le SGCD MMNA avait automatiquement accès à " de nombreuses informations ", sans préciser lesquelles, lorsqu’il se trouve à proximité de navires équipés d’un transpondeur AIS (automatic identification system) ».
Ce traitement de données de géolocalisation personnelles dans SIRENE est potentiellement à large échelle puisque la Commission explique que « si a priori seul le propriétaire est intégré au fichier SIRENE, les agents participant au contrôle du navire peuvent aléatoirement intégrer tous les occupants au dit fichier ». Dès lors, le ministère aurait dû, en plus de créer une disposition législative ou réglementaire, lui adresser d'abord une analyse d'impact sur la protection des données personnelles de cet éventuel texte, ce qu'il n'a pas fait.
45 793 personnes concernées dont 392 mineurs, 24 000 personnes géolocalisées
Selon cette décision de la CNIL, ce n'est rien de moins que 24 000 personnes qui seraient concernées par ce traitement de leur géolocalisation en mer ou à quai par les douanes françaises sans aucune base légale.
Mais, en tout, SIRENE comporterait 45 793 personnes, dont 392 mineurs. En outre, la délégation de la Commission qui s'est rendue sur place a constaté que « le fichier contenait les copies de 9 646 passeports et de 3 051 cartes nationales d’identité ».
Pas de distinction entre victimes et coupables dans le fichier
Selon la CNIL, le fichier SIRENE violerait encore un autre article de la loi Informatique et Libertés, l'article 98, qui impose qu'une distinction claire soit faite entre les données des personnes liées à une infraction pénale : suspects, coupables, victimes et tiers de l'affaire ne doivent pas être mis dans le même sac.
Or, selon l'autorité, « la distinction entre les personnes soupçonnées d’une infraction, coupables, victimes ou tiers n’est pas établie. La délégation a été informée que la qualification d’un navire de […], est réalisée dans SIRENE sans toutefois distinguer les catégories de personnes sur le navire. ».
La Commission constate aussi qu'aucune information n'est mise à la disposition du public sur ce fichier et que les personnes contrôlées ne sont pas informées du traitement de leurs données personnelles dans SIRENE, ce qui est contraire aux articles 104 et 107 de la loi Informatique et Libertés.
La CNIL met donc en demeure le Ministère de l'Économie, des finances et de la souveraineté industrielle et numérique, responsable de la direction générale des douanes, de publier d'ici à six mois, après lui avoir demandé son avis sur le texte en question, un acte législatif qui encadre la création de ce fichier ou de « cesser de procéder au traitement des données en cause », en prenant soin qu'il distingue victimes, suspects, coupables et tiers. Le Ministère doit aussi prévenir convenablement les personnes y étant inscrites.
Commentaires (17)
#1
J’avoue avoir mis du temps à comprendre que l’on ne parlait pas du fichier SIRENE des sociétés …
#1.1
Merci du signalement, j’ai ajouté la signification du sigle (système d’information du renseignement des navires et équipages) dans le chapô pour que ça soit plus clair.
#2
#2.1
Merci !
#3
Vu le respect pour le RGPD et la vie privée par les membres du Gouvernement, j’ai hâte de voir les suites de ce cas intéressant.
#3.1
La douane maritime fait partie du gouvernement ? O_o Ou j’ai mal compris ?
#3.2
Comme indiqué par l’article, la direction générale des douanes est sous la responsabilité du Ministère de l’économie qui a reçu la mise en demeure de la CNIL.
#3.3
Dans un ministère, combien de personnes font partie du gouvernement ?
#3.4
Celui qui décide et qui est responsable : le ministre.
#4
Et juste en aparté comme le sous-titre fait de l’humour là-dessus, SIRENE n’est pas un acronyme mais un “Backronym” , enfin une rétroacronymie en Français mais c’est plus clair en Anglais:
“Backronyme”: acronyme formé à partir d’un mot déjà existant en développant ses lettres dans les mots d’une phrase. Les backronymes peuvent être inventés avec une intention sérieuse ou humoristique, ou ils peuvent être un type de fausse étymologie ou d’étymologie populaire. Le mot est un portemanteau : back+acronyme
(Wikipedia + Google Translate)
#5
Je n’ai pas du tout la même lecture de la décision de la CNIL. Pour moi elle dit juste, “arrêtez, c’est pas bien, sinon on risque de sévir”. La CNIL n’étrille personne. Pour ces faits particulièrement graves, elle ne fait que mettre en demeure le ministère et ajoute qu’il faut légiférer pour se mettre en conformité. Décision molle et pas très équitable vis-à-vis des entreprises qu’elle a sanctionné pour moins que ça.
#5.1
L’autorité fait ce qu’elle peut.
Toute autorité de “contrôle” sans moyens adéquats d’action et/ou de sanction n’est (plus) là que pour un faux-semblant.
Il y a beaucoup d’autorités dans ce cas, en France, à l’heure actuelle, qu’elles soient anciennes et dépossédées de moyens ou nouvellement créées sans coercition possible des sujets de pouvoir censés être contrôlés.
Au bilan, un pouvoir sans contre-pouvoir. Que cela peut-il produire ? Quelles conséquences ?
#5.2
La CNIL a pouvoir de sanction, contrairement à la cours des comptes par exemple.
#5.3
Un pouvoir de sanction contre les entreprises, oui. Contre l’administration, je n’en suis pas sûr !
#5.4
Apparement la CNIL a quand même certains leviers et cela même contre l’administration puisqu’il y est écrit:
Et en aparté, quand on entend parler de certains rapports de la Cours des Comptes qui ont l’air en général d’être très pointus et fouillés (ca vaut bien au moins du McKinsey) mais qui partent systématiquement au placard car aucun pouvoir de coercition sur l’Etat, ca doit etre un peu démotivant pour ceux qui pondent toutes ces analyses. (et ca nous coute en plus pour les rapports !
)
#6
Comme c’est loin d’être le premier cas de fichier illégal dans l’administration, et que les autres cas, on n’en entend plus trop parler, je suppose que les suites de ce cas sera comme la suite des autres cas : Pas grand chose.
#6.1
C’est effectivement une crainte au vu de l’irresponsabilité des responsables dans l’administration hélas.