Vu la procédure suivante :
Par une requête sommaire et un mémoire complémentaire, enregistrés les 7 avril et 7 juillet 2023 au secrétariat du contentieux du Conseil d'Etat, la commune de Beaucaire demande au Conseil d'Etat :
1°) à titre principal, d'annuler pour excès de pouvoir la décision n° MED-2023-006 du 6 février 2023 par laquelle la Commission nationale de l'informatique et des libertés l'a mise en demeure de prendre, sous un délai de six mois, différentes mesures afin de se conformer aux dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
2°) à titre subsidiaire, d'abroger cette décision ;
3°) de mettre à la charge de la Commission nationale de l'informatique et des libertés la somme de 4 000 euros au titre de l'article L. 761-1 du code justice administrative.
Vu les autres pièces du dossier ;
Vu :
- le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ;
- la loi n° 78-17 du 6 janvier 1978 ;
- le décret n° 2019-536 du 29 mai 2019 ;
- le code de la sécurité intérieure ;
- le code de justice administrative ;
Après avoir entendu en séance publique :
- le rapport de M. Emmanuel Weicheldinger, maître des requêtes en service extraordinaire,
- les conclusions de M. Laurent Domingo, rapporteur public ;
La parole ayant été donnée, après les conclusions, à la SCP Boré, Salve de Bruneton, Mégret, avocat de la commune de Beaucaire ;
Considérant ce qui suit :
1. Il ressort des pièces du dossier qu'à la suite d'un signalement de la chambre régionale des comptes, une délégation de contrôle de la Commission nationale de l'informatique et des libertés (CNIL) a effectué, les 27 mai, 1er juillet et 30 novembre 2021, des contrôles sur place et sur pièces auprès de la commune de Beaucaire (Gard) afin de contrôler la conformité des dispositifs informatiques et de vidéoprotection de cette commune. Par une décision du 6 février 2023, prise en application du II de l'article 20 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la présidente de la CNIL a mis la commune en demeure de mettre un terme, sous un délai de six mois, à différents manquements, constatés par la délégation de contrôle, à l'article 32 du règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, dit RGPD, et aux articles 87 et 90 de la loi du 6 janvier 1978. La commune de Beaucaire demande l'annulation pour excès de pouvoir de cette décision.
Sur le manquement aux articles 87 et 90 de la loi du 6 janvier 1978 :
2. En premier lieu, aux termes de l'article 87 de la loi du 6 janvier 1978, le titre III de cette loi " s'applique, sans préjudice du titre Ier, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente. / Ces traitements ne sont licites que si et dans la mesure où ils sont nécessaires à l'exécution d'une mission effectuée, pour l'une des finalités énoncées au premier alinéa, par une autorité compétente au sens du même premier alinéa et où sont respectées les dispositions des articles 89 et 90. Le traitement assure notamment la proportionnalité de la durée de conservation des données à caractère personnel, compte tenu de l'objet du fichier et de la nature ou de la gravité des infractions concernées. " De plus, dans sa rédaction applicable à la date de la décision attaquée, l'article L. 251-2 du code de la sécurité intérieure prévoyait que : " La transmission et l'enregistrement d'images prises sur la voie publique par le moyen de la vidéoprotection peuvent être mis en œuvre par les autorités publiques compétentes aux fins d'assurer : / 1° La protection des bâtiments et installations publics et de leurs abords ; / 2° La sauvegarde des installations utiles à la défense nationale ; / 3° La régulation des flux de transport ; / 4° La constatation des infractions aux règles de la circulation ; / 5° La prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés à des risques d'agression, de vol ou de trafic de stupéfiants ainsi que la prévention, dans des zones particulièrement exposées à ces infractions, des fraudes douanières prévues par le dernier alinéa de l'article 414 du code des douanes et des délits prévus à l'article 415 du même code portant sur des fonds provenant de ces mêmes infractions ; / 6° La prévention d'actes de terrorisme, dans les conditions prévues au chapitre III du titre II du présent livre ; / 7° La prévention des risques naturels ou technologiques ; / 8° Le secours aux personnes et la défense contre l'incendie ; / 9° La sécurité des installations accueillant du public dans les parcs d'attraction ; / 10° Le respect de l'obligation d'être couvert, pour faire circuler un véhicule terrestre à moteur, par une assurance garantissant la responsabilité civile ; / 11° La prévention et la constatation des infractions relatives à l'abandon d'ordures, de déchets, de matériaux ou d'autres objets. (...) ". Enfin, l'article L. 233-1 du code de la sécurité intérieure dispose : " Afin de prévenir et de réprimer le terrorisme, de faciliter la constatation des infractions s'y rattachant, de faciliter la constatation des infractions criminelles ou liées à la criminalité organisée au sens des articles 706-73 et 706-73-1 du code de procédure pénale, des infractions de vol et de recel de véhicules volés, des infractions de contrebande, d'importation ou d'exportation commises en bande organisée, prévues et réprimées par le dernier alinéa de l'article 414 du code des douanes, ainsi que la constatation, lorsqu'elles portent sur des fonds provenant de ces mêmes infractions, de la réalisation ou de la tentative de réalisation des opérations financières définies à l'article 415 du même code et afin de permettre le rassemblement des preuves de ces infractions et la recherche de leurs auteurs, les services de police et de gendarmerie nationales et des douanes peuvent mettre en œuvre des dispositifs fixes ou mobiles de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants, en tous points appropriés du territoire, en particulier dans les zones frontalières, portuaires ou aéroportuaires ainsi que sur les grands axes de transit national ou international. / L'emploi de tels dispositifs est également possible par les services de police et de gendarmerie nationales, à titre temporaire, pour la préservation de l'ordre public, à l'occasion d'événements particuliers ou de grands rassemblements de personnes, par décision de l'autorité administrative ", tandis que l'article L. 233-1-1 du même code prévoit que : " Afin de faciliter la constatation des infractions au code de la route, permettre le rassemblement des preuves de ces infractions et la recherche de leurs auteurs ainsi que mettre en œuvre les dispositions de l'article L. 121-4-1 du code de la route, les services de police et de gendarmerie nationales peuvent mettre en œuvre des dispositifs fixes ou mobiles de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants, en tous points appropriés du territoire ".
3. Il ressort des pièces du dossier que le dispositif de vidéoprotection mis en œuvre par la commune de Beaucaire depuis 1995 comportait, à la date de la décision attaquée, 73 caméras implantées sur la voie publique et en extérieur, dont six étaient équipées de dispositifs de lecture automatisée des plaques d'immatriculation des véhicules, et avait été autorisé en dernier lieu par un arrêté du préfet du Gard du 9 novembre 2020. La décision attaquée retient que le traitement de données à caractère personnel lié à la mise en œuvre de ce dispositif méconnaît l'article 87 de la loi du 6 janvier 1978 dès lors que la commune ne serait pas une autorité compétente pouvant mettre en œuvre des dispositifs de lecture automatisée des plaques d'immatriculation des véhicules conformément aux articles L. 233-1 et L. 233-1-1 du code de la sécurité intérieure et, qu'en outre, la collecte des données des plaques d'immatriculation ayant pour seule finalité de répondre aux réquisitions des forces de l'ordre pour l'exercice de leurs missions de police judiciaire, relatives à des infractions, ne correspondrait pas à l'une des finalités énumérées à l'article L. 251-2 du même code.
4. Si les articles L. 233-1 et L. 233-1-1 du code de la sécurité intérieure autorisent les seuls services des douanes, de police et de gendarmerie nationales à mettre en œuvre les dispositifs de contrôle automatisé des données signalétiques des véhicules prenant la photographie de leurs occupants pour les finalités qu'ils prévoient, ils n'ont pas pour effet d'interdire aux autorités compétentes de mettre en œuvre, sur le fondement de l'article L. 251-2 de ce même code, des dispositifs de lecture automatisée des plaques d'immatriculation des véhicules. Toutefois, ces autorités ne peuvent le faire que pour l'une des finalités énumérées par cet article et dans le respect du titre V du livre II de ce même code.
5. Il ressort des pièces du dossier que si la commune de Beaucaire est une autorité compétente au sens des articles L. 251-2 du code de la sécurité intérieure et 87 de la loi du 6 janvier 1978, elle n'a mis en œuvre les dispositifs litigieux qu'aux seules fins de répondre aux réquisitions des forces de l'ordre en mettant les données ainsi collectées à leur disposition pour l'exercice de leurs missions de police judiciaire. Il s'ensuit que la CNIL, qui n'a au demeurant pas commis d'erreur factuelle quant à l'indétermination des finalités poursuivies, a retenu à bon droit que cette finalité n'est pas au nombre de celles prévues par l'article L. 251-2 du code de la sécurité intérieure et que la mise en œuvre des dispositifs litigieux méconnaît donc l'article 87 de la loi du 6 janvier 1978. Par conséquent, la commune de Beaucaire n'est pas fondée à soutenir que la décision attaquée serait illégale en ce qu'elle la met en demeure de cesser de mettre en œuvre des dispositifs de lecture automatisée des plaques d'immatriculation des véhicules.
6. En deuxième lieu, aux termes du premier alinéa de l'article 90 de la loi du 6 janvier 1978, en vigueur depuis le 1er juin 2019 : " Si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, notamment parce qu'il porte sur des données mentionnées au I de l'article 6, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel ". Les dispositions du premier alinéa du I de l'article 130 du décret du 29 mai 2019 pris pour l'application de cette loi précisent que : " Le fait qu'un type de traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques nécessitant la réalisation d'une analyse d'impact en application de l'article 90 de la loi du 6 janvier 1978 susvisée est déterminé par le recours aux nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement ".
7. Il ressort des pièces du dossier que le dispositif de vidéoprotection mis en œuvre par la commune de Beaucaire comportait, à la date de la décision attaquée, 73 caméras implantées dans des zones accessibles au public, notamment à proximité d'axes de passage importants et de plusieurs services et infrastructures publics. Par conséquent, la CNIL, qui a suffisamment motivé sa décision, a exactement qualifié les faits en retenant que la mise en œuvre du dispositif de vidéoprotection litigieux était, eu égard à sa nature et à son ampleur, susceptible de présenter un risque élevé pour les droits et libertés des personnes physiques et nécessitait par conséquent la réalisation d'une analyse d'impact relative à la protection des données à caractère personnel en application des dispositions citées au point 6. La commune de Beaucaire n'est donc pas fondée à demander l'annulation de la décision contestée en ce qu'elle l'a mise en demeure de réaliser une telle analyse d'impact.
Sur les manquements à l'article 32 du RGPD :
8. D'une part, conformément au I de l'article 8 de la loi du 6 janvier 1978, la CNIL est l'autorité de contrôle nationale au sens et pour l'application du RGPD. Elle est notamment chargée d'informer toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et de veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi du 6 janvier 1978 et aux autres dispositions relatives à la protection des données personnelles prévues par les textes législatifs et réglementaires, le droit de l'Union européenne et les engagement internationaux de la France. Elle peut, à ce titre, établir et publier des lignes directrices, recommandations ou référentiels destinés à faciliter la mise en conformité des traitements de données à caractère personnel avec les textes applicables. En vertu des articles 19 à 23 de la même loi, elle peut également faire procéder à des vérifications portant sur tous traitements et prendre des mesures correctrices et des sanctions lorsqu'une opération de traitement méconnaît le RGPD ou la loi du 6 janvier 1978.
9. D'autre part, aux termes de l'article 32 du RGPD : " 1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins : / a) la pseudonymisation et le chiffrement des données à caractère personnel ; / b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ; / c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ; / d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement (...) ".
10. En premier lieu, la décision attaquée retient un manquement à l'obligation d'assurer la sécurité des données à caractère personnel objet d'un traitement, prévue par l'article 32 du RGPD, en raison de l'insuffisance de la complexité des mots de passe utilisés pour trois applications mises en œuvre par la commune de Beaucaire, pouvant ainsi conduire à une compromission des comptes et des données qu'ils contiennent. Si les motifs de la décision attaquée reprennent des éléments également mentionnés dans une délibération n° 2022-100 du 21 juillet 2022 portant adoption d'une recommandation relative aux mots de passe et autres secrets partagés, prise par la CNIL sur le fondement des dispositions de l'article 8 de la loi de 1978 afin d'interpréter l'article 32 du RGPD, la Commission ne retient pas un manquement à ce dernier article en raison d'une méconnaissance, en tant que telle, de cette recommandation mais s'est bornée, comme elle pouvait le faire à bon droit, à tenir compte des éléments de cette recommandation pour apprécier le respect des dispositions dont elle a pour seul objet de contribuer à la mise en œuvre.
11. En deuxième lieu, si la décision attaquée cite des extraits de recommandations techniques, dépourvues de valeur normative, relatives à l'administration sécurisée des systèmes d'information et formulées par l'Agence nationale de la sécurité des systèmes d'information, ces éléments n'ont que pour objet d'expliciter les bonnes pratiques techniques, notamment de mise à jour, qui, selon la CNIL, permettent de garantir un niveau de sécurité adapté au risque conformément à l'article 32 du RGPD dont elle est chargée d'assurer le respect. La Commission a donc pu légalement caractériser un manquement à cet article en raison de l'utilisation par la commune d'un système d'exploitation qui n'est plus mis à jour par son éditeur.
12. En troisième lieu, la commune ne conteste pas sérieusement que, comme le soutient la CNIL, les seuls systèmes de sécurité annexes ne permettent pas d'assurer un niveau de sécurité approprié en cas d'obsolescence d'un système d'exploitation. Elle n'est donc pas davantage fondée à soutenir que la décision attaquée serait entachée d'illégalité en retenant, en dépit du recours allégué à de tels systèmes de sécurité annexes, une méconnaissance de cette obligation en raison de l'hébergement par la commune de cinq serveurs utilisant un système d'exploitation qui n'était plus maintenu par son éditeur depuis le 14 juillet 2015.
13. En quatrième lieu, la décision attaquée retient un manquement à l'obligation de sécurité imposée par l'article 32 du RGPD à raison de l'absence de segmentation du réseau de la commune de Beaucaire. Ce faisant, la CNIL a exposé dans la décision attaquée, ainsi qu'elle en la faculté pour l'exercice de ses missions rappelées au point 8, les mesures techniques dont la mise en œuvre est, selon elle, de nature à garantir le respect des dispositions de l'article 32 du RGPD. La commune de Beaucaire, qui se borne à contester l'existence de recommandations techniques sans établir que la CNIL méconnaîtrait les dispositions de cet article en la mettant en demeure de procéder à la segmentation de son réseau, n'est donc pas fondée à soutenir que la décision attaquée serait à ce titre entachée d'illégalité.
Sur les demandes d'abrogations partielles de la décision contestée :
14. Si la commune de Beaucaire demande l'abrogation de la décision attaquée en ce qu'elle la met en mesure de procéder à certaines mises en conformité, au motif qu'elle s'est conformée ou est en train de se conformer aux mises en demeure litigieuses, des conclusions à fin d'abrogation d'une décision de mise en demeure prise en application des dispositions du II de l'article 20 de la loi du 6 janvier 1978 ne sont pas recevables.
15. Il résulte de tout ce qui précède que la commune de Beaucaire n'est pas fondée à demander l'annulation de la décision qu'elle attaque. Sa requête doit donc être rejetée, y compris ses conclusions tendant à l'application de l'article L. 761-1 du code de justice administrative.
D E C I D E :
--------------
Article 1er : La requête de la commune de Beaucaire est rejetée.
Article 2 : La présente décision sera notifiée à la commune de Beaucaire et à la Commission nationale de l'informatique et des libertés.
Copie en sera adressée au ministre de l'intérieur et des outre-mer.
Délibéré à l'issue de la séance du 5 avril 2024 où siégeaient : M. Rémy Schwartz, président adjoint de la section du contentieux, présidant ; M. Bertrand Dacosta, Mme Anne Egerszegi, présidents de chambre ; M. Olivier Yeznikian, Mme Rozen Noguellou, M. Nicolas Polge, M. Vincent Daumas, M. Didier Ribes, conseillers d'Etat et M. Emmanuel Weicheldinger, maître des requêtes en service extraordinaire-rapporteur.
Rendu le 30 avril 2024.
Le président :
Signé : M. Rémy Schwartz
Le rapporteur :
Signé : M. Emmanuel Weicheldinger
La secrétaire :
Signé : Mme Claudine Ramalahanoharana
