| N° de demande d’avis : 25007008. | Thématiques : aviation civile ; dépistage ; contrôle d’alcoolémie. |
| Organisme(s) à l’origine de la saisine : ministère de la transition écologique, de la biodiversité, de la forêt, de la mer et de la pêche. | Fondement de la saisine : article 31-II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés. |
L’essentiel :
1. En complément des données à caractère personnel « nominatives », le projet de décret prévoit la collecte de données « complémentaires » à des fins de transmission à l’Agence de l’Union européenne pour la sécurité aérienne (AESA). Le ministère précise que le risque de réidentification des personnes concernées par ces données apparaît extrêmement faible dès lors que les données « nominatives » sont supprimées, et conclut à ce titre à leur anonymisation. La CNIL considère que l’analyse ne permet pas à ce stade d’exclure le risque de réidentification et recommande en conséquence de compléter l’analyse de réidentification.
2. La CNIL invite le ministère à compléter les dispositions du projet de décret portant sur les droits des personnes concernées afin d’y faire figurer le droit à l’information des personnes concernées.
La Commission nationale de l’informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31-II ;
Après avoir entendu le rapport de M. Didier Kling, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
L’ordonnance n° 2022-830 du 1er juin 2022 relative aux contrôles de l’alcoolémie et de l’usage de stupéfiants dans le domaine de l’aviation civile permettant le dépistage de l’alcoolémie et de l’usage de stupéfiants par la gendarmerie et la police chez les membres de l’équipage de cabine, introduit :
– des mesures administratives de rétention et de suspension des titres aéronautiques ou des autorisations d’exercer des personnels concernés ;
– ainsi qu’un régime de sanctions pénales en cas de test positif ou en cas de refus de se soumettre au dépistage.
Le décret n° 2022-978 du 2 juillet 2022 relatif aux contrôles de l’alcoolémie et de l’usage de stupéfiants dans le domaine de l’aviation civile précise les modalités d’application de l’ordonnance n° 2022-830 du 1er juin 2022. Il prévoit notamment la transmission d’informations nominatives aux autorités compétentes pour la délivrance du titre aéronautique et pour la surveillance du transporteur aérien.
Concrètement, le code des transports prévoit que les personnels concernés (énumérés à l’article L. 6225-1) peuvent être soumis à des contrôles de vérification de l’état alcoolique, ainsi qu’à des contrôles de l’usage de substances ou plantes classées comme stupéfiants, opérés par la gendarmerie et la police.
Dans le cas d’un test positif (alcool ou stupéfiants), les données à caractère personnel des personnes concernées font ainsi l’objet d’un traitement par la direction générale de l’aviation civile (ci-après « DGAC »), qui peut prononcer des sanctions administratives en application des articles L. 6231-5 et L. 6231-6, et notamment la suspension du ou des titres aéronautiques de la personne concernée. Dans le cas où un personnel aéronautique ne détiendrait pas un titre aéronautique délivré par la DGAC, celle-ci pourrait notifier une interdiction d’exercer dans l’espace aérien français.
De surcroît, en cas d’ivresse positif, de refus de se soumettre aux vérifications établissant la preuve de l’état alcoolique, la DGAC transmet des données « complémentaires » à l’Agence de l’Union européenne pour la sécurité aérienne (ci-après « AESA »).
Enfin, un suivi des procédures liées aux mesures de police et aux sanctions administratives est également prévu entre la DGAC et les autorités judiciaires compétentes en application des articles L. 6231-8, L. 6232-23, R. 6231-41 et R. 6231-42 du code des transports.
B. – L’objet de la saisine
Le projet de décret précise les modalités d’application de l’ordonnance n° 2022-830 du 1er juin 2022 et du décret n° 2022-978 du 2 juillet 2022 relatif aux contrôles de l’alcoolémie et de l’usage de stupéfiants dans le domaine de l’aviation civile dont les dispositions sont codifiées dans le code des transports.
Il prévoit également, lorsque la DGAC n’est pas l’autorité compétente (par exemple dans le cas d’un pilote étranger), d’assurer la transmission d’informations destinées à informer l’autorité compétente pour la délivrance du titre aéronautique et, le cas échéant, l’autorité compétente pour la surveillance du transporteur aérien.
Par ailleurs, le projet de décret modifie certains articles règlementaires du code des transports. A ce titre, il supprime les mentions relatives à la délivrance de l’information au préfet du lieu de l’infraction. Il prévoit également la transmission de données « complémentaires » à l’AESA en cas de refus de se soumettre aux vérifications établissant la preuve de l’usage de substances ou plantes classées comme stupéfiants.
Mis en œuvre pour le compte de l’Etat par la DGAC en tant que responsable de traitement, et intéressant la sécurité publique, le traitement doit être autorisé par un décret en Conseil d’Etat sur le fondement de l’article 31-II de la loi « informatique et libertés » en raison du traitement de données sensibles.
II. – L’avis de la CNIL
A. – Sur le régime juridique applicable
S’agissant du régime juridique applicable, le projet de décret a notamment pour objet de permettre le suivi des mesures de police et sanctions administratives prévu par le code des transports dans le cadre des contrôles de l’alcoolémie et de l’usage des stupéfiants.
Les contrôles d’alcoolémie et les opérations de dépistage en matière de stupéfiants sont réalisés, conformément aux articles L. 6225-3 et L. 6225-7 du code des transports, par les officiers ou agents de police judiciaire de la gendarmerie ou de la police nationales territorialement compétents. Ces opérations permettant la détection d’infractions pénales ne sont pas effectuées par la DGAC dont les échanges avec les autorités judicaires permettent uniquement la gestion et le suivi des décisions administratives mises en œuvre par la DGAC.
La CNIL prend acte des précisions du ministère sur ce point et estime par conséquent que le traitement ne relève pas de la directive « Police-Justice » dès lors que les dispositions du code des transports et les missions de la DGAC ne permettent pas de considérer que la DGAC est « autorité publique compétente ».
B. – Sur les finalités
a) Sur le transfert des données hors Union européenne
L’article R. 6225-8 du projet de décret a notamment pour finalité, lorsque la DGAC n’est pas l’autorité compétente, d’assurer la transmission d’informations destinées à informer l’autorité compétente pour la délivrance du titre aéronautique et, le cas échéant, l’autorité compétente pour la surveillance du transporteur aérien.
Cette finalité implique le transfert des données à caractère personnel des personnels navigants ou concourants à la sécurité données hors de l’Union européenne nécessaire pour des motifs d’intérêt public important conformément à l’article 49 (1, d) du RGPD.
La CNIL prend acte du motif d’intérêt public important qu’est l’objectif de sécurité aérienne poursuivi par cette finalité.
b) Sur la finalité statistique
Le ministère indique que le traitement des données « complémentaires » a également pour finalité d’établir des statistiques afin de rendre compte de l’activité de surveillance sur le territoire national.
Or cette finalité n’est pas prévue au sein de l’article R. 6225-8 du projet de décret.
La CNIL prend acte de l’engagement du ministère de faire figurer cette finalité au sein du projet de décret.
C. – Sur les données collectées et l’anonymisation des données « complémentaires »
L’article R. 6225-9 du projet de décret prévoit en son II la collecte de données « complémentaires ».
Le ministère précise que ces données font l’objet d’un risque de réidentification extrêmement faible dès lors que les données « nominatives » définies au I de ce même article sont supprimées dans les conditions prévues à l’article R. 6225-10. Il conclut, à ce titre, au caractère anonyme des données collectées au titre du II. L’analyse du risque de réidentification fournie par le ministère conclut que la DGAC ne sera pas en mesure de réidentifier les personnes testées, en particulier pas celles dont le résultat du test serait positif, en dehors de « circonstances particulièrement exceptionnelles ».
La CNIL appelle toutefois l’attention du ministère sur le fait que le risque de réidentification ne peut être entièrement écarté. En particulier, la présence de données précises telles que la date, l’heure et le lieu de l’infraction, le numéro de vol, les aérodromes de départ et de destination, le numéro d’immatriculation de l’aéronef, le nombre de membres d’équipage testés et le nombre de tests positifs, est susceptible de permettre la réidentification des personnes concernées, d’autant plus que le nombre de membres d’équipage (conduite et cabine) est limité dans un aéronef.
La CNIL relève en outre que l’analyse du ministère se contente d’évaluer le risque de réidentification du seul point de vue de la DGAC, sans prendre en compte la possibilité que d’autres personnes (accédants, destinataires ou autres tiers) susceptibles d’accéder, légitimement ou non, aux données parviennent à réidentifier des personnes concernées.
Or une telle évaluation doit considérer, tant pour la DGAC que pour toute autre personne, l’étendue des moyens et informations supplémentaires susceptibles d’être raisonnablement accessibles pour réidentifier les personnes concernées. La CNIL rappelle qu’il n’est pas nécessaire que ces informations soient entre les mains d’une seule entité. L’analyse doit donc évaluer les possibilités de combiner les données complémentaires mentionnées dans le II du R. 6225-9 à ces informations supplémentaires.
Afin de contribuer à réduire le risque de réidentification, il appartient par conséquent au ministère de veiller à ce que la suppression des données « nominatives » soit effective, qu’aucune copie de celles-ci ne subsiste, y compris à son insu, et qu’elles ne puissent pas être retrouvées ou inférées par des moyens raisonnables. Il conviendra de limiter le risque d’accès illégitime aux données mentionnées dans le II du projet d’article R. 6225-9, dans la mesure où la réduction de la vraisemblance de tels accès contribue à la diminution du risque de réidentification. Il importe également que la DGAC ne puisse pas, seule ou en coopération avec un tiers, combiner les données du II du R. 6225-9 à des informations supplémentaires.
La CNIL considère qu’en l’absence de ces éléments, l’analyse fournie par le ministère ne permet pas à ce stade d’exclure le risque de réidentification.
Elle recommande en conséquence de compléter l’analyse de risque de réidentification relatif aux données concernées par le paragraphe II du projet d’article R. 6225-9, en tenant en compte des éléments mentionnés précédemment. La CNIL invite également le ministère à adopter le cadre d’analyse basé sur les trois critères (individualisation, corrélation et inférence) définis par l’avis n° 05/2014 sur les techniques d’anonymisation adopté par le groupe de l’article 29 (ex-G29).
Si cette analyse complétée ne permettait pas de conclure que le risque de réidentification était insignifiant, les données concernées devraient en principe être considérées comme des données à caractère personnel, soumises à l’ensemble des règles du RGPD.
Dans cette hypothèse, la CNIL appelle l’attention du ministère sur les conséquences à en tirer notamment sur la durée de conservation des données « complémentaires » et l’information aux personnes concernées. La CNIL prend acte de ce que le ministère a apporté une justification de leur conservation pendant cinq ans à compter du procès-verbal de constatation de l’infraction, compte tenu des obligations de la direction de la sécurité de l’aviation civile (DSAC) auprès des instances européennes. Elle prend également acte de ce que la mention d’information aux personnes concernées sera précisée.
D. – Sur les accédants
L’article R. 6225-11 (I) du projet de décret prévoit que peuvent avoir accès au traitement, en raison de leurs attributions et dans la limite du besoin d’en connaître, les agents de la DSAC.
Le ministère précise que seuls les agents affectés à la direction technique Personnels navigants auront accès aux données à caractère personnel. Ainsi, les personnels compétents seront habilités selon leur fonction.
Ainsi, compte tenu de la sensibilité des données collectées, la CNIL attire l’attention du ministère sur la vigilance à porter sur la gestion des accès. A ce titre, elle estime que les personnels pouvant accéder aux données devraient être individuellement désignés et spécialement habilités par la DGAC, et prend acte de l’engagement du ministère de modifier le projet de décret en ce sens.
E. – Sur le droit à l’information
L’article R. 6225-12 du projet de décret relatif à l’exercice des droits conférés aux personnes concernées ne comporte pas de mention relative au droit à l’information des personnels concernés.
La CNIL invite par conséquent le ministère à compléter le projet de décret s’agissant du droit à l’information et des modalités d’information des personnes concernées en application de l’article 48 de la loi du 6 janvier 1978 modifiée et conformément aux articles 12 à 14 du RGPD.
F. – Sur le droit d’opposition
L’article R. 6225-13 du projet de décret écarte expressément l’exercice du droit d’opposition en application de l’article 56 de la loi du 6 janvier 1978 modifiée.
Le ministère précise que si les dispositions du code des transports imposent ces tests d’alcoolémie et de consommation de produits stupéfiants, il estime que l’ensemble du traitement repose sur une mission d’intérêt public. Le ministère précise ainsi que le droit d’opposition est ainsi écarté sur le fondement de l’article 23 c du RGPD.
A ce titre, la CNIL rappelle qu’afin de pouvoir valablement apporter des limitations au droit d’opposition des personnes, la mesure normative prise à cet effet doit contenir certaines « dispositions spécifiques » minimales énumérées à l’article 23.2 du RGPD. Aussi, l’article 56 de la loi énonce qu’une telle exclusion doit être prévue par « une disposition expresse de l’acte instaurant le traitement ».
La CNIL prend acte de l’engagement du ministère de compléter le projet de décret afin de satisfaire entièrement aux exigences de ces articles.
Les autres dispositions du projet de décret n’appellent pas d’observations de la part de la CNIL.