La twittosphère s’est échauffée pendant le week-end après la publication au Journal Officiel du décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes). Intégrée aux smartphones et tablettes Neogend, cette application permet aux gendarmes de prendre des notes lors d’une intervention, d’une enquête ou d’une action en prévention. Différentes données sont collectées (nom, prénom, sexe, profession, etc.), mais il existe aussi une zone de commentaires libres où des informations sensibles peuvent être indiquées comme celles relatives « à la prétendue origine raciale ou ethnique, aux opinions politiques, philosophiques ou religieuses, à l'appartenance syndicale, à la santé ou à la vie sexuelle ou l'orientation sexuelle ».
Cette référence a fait bondir plusieurs personnes sur Twitter, criant au fichage et au croisement des fichiers. Virginie Gautron, pénaliste et maître de conférences à l’Université de Nantes, constate « Je n’avais pas vu pire fichier depuis EDVIGE », référence au fichier de police créé en 2008 qui collecte des informations sur des personnes susceptibles de porter atteinte à l'ordre public. Pour autant, l’article 2 du décret précise que la collecte des données sensibles « n'est possible qu'en cas de nécessité absolue pour les seules fins et dans le strict respect des conditions définies au présent décret, dans les limites des nécessités de la mission au titre de laquelle elles sont collectées ».
La Cnil tacle l'absence de chiffrement des données et des supports de stockage
Un encadrement validé par la Cnil qui a été saisie pour avis. Dans sa délibération, la commission indique avoir obtenu des garanties du ministère « à savoir que les informations enregistrées dans ces champs libres ne pourront pas alimenter d'autres traitements et qu'elles seront uniquement accessibles via l'application ». Plusieurs autres garanties ont été apportées comme la géolocalisation, la non-utilisation de la reconnaissance faciale sur les photos d’identité. Elle est rassurée aussi sur le fait que les données seront accessibles à des militaires de la gendarmerie, aux autorités judiciaires, mais aussi au préfet ou au maire de la commune concernée « dans la stricte limite où l'exercice de leurs compétences le rend nécessaire, sous réserve que le cadre dans lequel ces informations ont été collectées rende possible cette communication, et dans la stricte limite du besoin d'en connaître ».
La sécurité promue par le ministère de l’Intérieur n’est pas du goût de la Cnil. Sa politique de mot de passe n’est pas conforme, car « elle ne prévoit pas un verrouillage de l'accès au compte individuel après de multiples saisies erronées de mots de passe ». Par ailleurs, la fonction de verrouillage à distance des terminaux nécessite un accès à un réseau de communication et ne concerne pas les supports de stockage (carte SD par exemple). Enfin, la Cnil « regrette fortement que le ministère n'ait pas prévu des mesures de chiffrement des terminaux ainsi que des supports de stockage ». Pour elle, c’est « le seul moyen fiable de garantir la confidentialité des données stockées sur un équipement mobile en cas de perte ou de vol ».
Commentaire