La Commission nationale de l’informatique et des libertés (CNIL) a partagé, le 20 avril, sa décision de mettre en demeure le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Elle accuse la direction générale des douanes et droits indirects (DGDDI) de s’être servie d’un système d’information du renseignement des navires et équipages (SIRENE) pour recenser les personnes contrôlées en mer ou à quai. Or, celui-ci « ne repose sur aucun texte légal et n’est pas conforme à la loi sur plusieurs points ».
Le fichier SIRENE remis en cause
Le service garde-côte des douanes Manche-Mer du Nord-Atlantique, rattaché à la DGDDI, lui-même sous la gouvernance du ministère de l’Économie, est pointé du doigt pour l’utilisation du fichier SIRENE. Ce dernier recense de nombreuses informations sur les passagers comme leur état civil, leur profession, leur adresse, mais aussi des données correspondant à la location et la géolocalisation de leur embarcation. « 45 793 personnes, dont 392 mineurs, sont intégrées au fichier SIRENE qui contient également des copies de titres d’identité et la mention d’infractions pénales », note la CNIL.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
Toutefois, l’autorité chargée de la protection des données personnelles en France souligne que « la création et l’utilisation du fichier SIRENE ne sont prévues par aucun texte ». Elle précise ne pas avoir été « saisie d’une demande d’avis concernant sa mise en place » ce qui constitue une violation des articles 87 et 89 de la loi Informatique et Libertés.
De nombreux manquements
Le ministère n’a pas non plus fait parvenir une analyse d’impact relative à la protection des données personnelles. Il s’agit d’un outil permettant de s’assurer que le traitement des informations comportant un risque élevé pour les droits et libertés des individus est conforme au RGPD et respectueux de leur vie privée. « Une telle formalité est nécessaire, car la DGDDI met en œuvre, pour le compte de l’État, un traitement de données de localisation à large échelle susceptible d’engendrer [un tel] risque », affirme la CNIL, en accord avec l’article 90 de la loi.
En outre, elle alerte sur l’absence de « distinction claire entre les données des différentes catégories de personnes concernées, telles que celles soupçonnées d’une infraction, les victimes ou les témoins (article 98) ». Enfin, la CNIL révèle que les individus contrôlés et intégrés au fichier SIRENE n’en sont pas tenus informés et « ignorent jusqu’à l’existence même de ce fichier ». Une infraction à l’article 104 de la loi Informatique et Libertés.
Six mois pour être conforme
Face à ces manquements, Marie-Laure Denis, présidente de l’Autorité met en demeure le ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Une annonce rendue publique « dans la mesure où le fichier concerné est illicite, a pour objet la recherche d’infractions, concerne un nombre conséquent de personnes et traite des données sensibles ».
Le département ministériel dispose de six mois pour se mettre en conformité. Passé ce délai, la CNIL pourra prononcer une sanction à son encontre.