Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement,
Emet l'avis suivant :
La Commission a été saisie par le ministère de l'intérieur, sur le fondement de l'article 31 de la loi du 6 janvier 1978 modifiée, d'une demande d'avis concernant un projet d'arrêté autorisant la mise en œuvre d'un traitement automatisé de données à caractère personnel relatif aux atteintes aux systèmes de traitement automatisé de données dénommé « MISP-PJ ».
Le traitement « Malware Information Sharing Platform - Police Judiciaire », ci- après « MISP-PJ », mis en œuvre par la direction générale de la police nationale du ministère de l'intérieur, vise à centraliser les informations contenues dans les procédures judiciaires en matière d'atteintes aux systèmes de traitement automatisé de données, ainsi qu'à faciliter l'identification de l'auteur d'une infraction et les investigations correspondantes par le recoupement et l'analyse de ces informations.
Il est alimenté par des données techniques issues, d'une part, des logiciels de rédaction des procédures judiciaires de la police nationale (LRPPN) et de la gendarmerie nationale (LRPGN) et, d'autre part, du traitement de recueil d'informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d'information mis en œuvre par le centre d'alerte et de réaction aux attaques informatiques de la police judiciaire (CSIRT-PJ).
La Commission constate que la multiplication des risques liés à la cybersécurité et la sophistication croissante des moyens des attaquants requièrent en effet une adaptation des outils à la disposition des services de police et de gendarmerie nationales. La diversité des cibles et de l'origine des attaques peut justifier la recherche de rapprochements entre différentes situations. D'une manière générale, la Commission accueille favorablement ce projet qui contribuera à une lutte plus efficace contre la cybercriminalité.
Dans la mesure où les finalités poursuivies par le traitement permettent la prévention, la recherche, la constatation ou la poursuite des infractions pénales, la Commission considère qu'il relève des dispositions des titres I et III de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement
L'article 1er du projet d'arrêté prévoit que le traitement MISP-PJ a pour finalités :

- d'une part, de centraliser, au niveau national, les informations contenues dans les procédures judiciaires ouvertes dans les services de police et de gendarmerie nationales en matière d'atteintes au système de traitement automatisé de données ;
- d'autre part, de renforcer l'efficacité des investigations par le recoupement et l'analyse des informations recueillies.

La Commission relève que la centralisation des informations et les recoupements constituent des moyens par lesquels la finalité générale du traitement, à savoir le renforcement de l'efficacité des investigations peut être poursuivie. Elle prend acte de ce que le ministère a modifié l'article 1er du projet d'arrêté en conséquence.
Le traitement MISP-PJ vise ainsi à permettre de recouper des éléments techniques (ou indicateurs de compromission) collectés dans les différentes procédures judiciaires. Les recoupements seront effectués automatiquement au sein même de l'application MISP-PJ qui prévoit de signaler lorsque plusieurs dossiers partagent un indicateur technique identique. Ils permettront aux enquêteurs de réaliser des liens entre certaines atteintes et ainsi faciliteront leurs investigations. La Commission prend acte de ce que le résultat des analyses de ces recoupements et les suites de l'enquête ne seront pas enregistrés dans le traitement MISP-PJ mais dans le dossier judiciaire.
S'agissant des traitements relevant de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016, dite « directive police/justice », l'article 90 de la loi du 6 janvier 1978 modifiée prévoit que si le traitement est susceptible d'engendrer un risque élevé pour les droits et les libertés des personnes physiques, le responsable de traitement effectue une analyse d'impact relative à la protection des données à caractère personnel (AIPD). Si le traitement est mis en œuvre pour le compte de l'Etat, cette AIPD est adressée à la Commission avec la demande d'avis prévue à l'article 33.
Le ministère considère, en accord avec le délégué ministériel à la protection des données, dont l'avis a été transmis à la Commission dans le cadre de la présente demande d'avis, que, dans la mesure où le traitement MISP-PJ n'est pas susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, la réalisation d'une AIPD n'est pas nécessaire.
La Commission rappelle toutefois que la réalisation d'une AIPD est recommandée même lorsqu'elle n'est pas obligatoire, notamment au regard des finalités poursuivies par le traitement et à son périmètre. Une AIPD permettrait notamment au ministère d'évaluer si des risques nouveaux relatifs aux personnes concernées et liés au fait de centraliser les informations doivent être pris en compte ainsi que de suivre l'évolution de ces risques au fur et à mesure de la montée en puissance du dispositif.
Sur la nature des données traitées
L'article 2 du projet d'arrêté prévoit la collecte de données à caractère personnel et informations s'agissant des victimes (personnes morales ou physiques), des faits et de l'auteur de l'attaque, ou encore des services d'enquêtes accédant au traitement.
L'article 2 du projet d'arrêté prévoit que pourront faire l'objet d'une collecte au titre des « données et informations relatives à l'auteur de l'attaque » les données à caractère personnel et informations suivantes : « adresses électroniques, adresses IP, pseudonymes, nom(s) de profil sur les réseaux sociaux ou identifiants, nom(s) de domaine, numéro de port, courriel de demande de rançon, note de rançon, données relatives aux fichiers chiffrés et signature de fichier, adresse de portefeuille de monnaie virtuelle ».
A cet égard, le ministère a précisé qu'en plus des données issues de la procédure judiciaire en cours, le traitement MISP-PJ pourra être alimenté par des données techniques issues de sources ouvertes telles que des articles de sociétés d'antivirus et de sociétés de services en cybersécurité travaillant sur des familles de rançongiciels ou autres logiciels malveillants.
La Commission considère qu'une vigilance particulière doit être prêtée au recueil de données via des sources ouvertes, afin de s'assurer que seules les données strictement nécessaires aux finalités poursuivies par le traitement soient traitées et enregistrées. A cet égard, la Commission relève que la réalisation d'une AIPD permettrait au ministère d'identifier les mesures de sécurité adéquates pour éviter une collecte trop large de données issues de sources ouvertes.
Sur la durée de conservation des données
L'article 3 du projet d'arrêté prévoit que les données à caractère personnel et informations sont conservées pour une durée de six ans à compter de leur enregistrement.
La Commission prend acte des éléments apportés par le ministère selon lesquels une telle durée se justifie, d'une part, par le fait que les auteurs des infractions visées peuvent réutiliser les mêmes indicateurs de compromission à plusieurs reprises sur de longues périodes et, d'autre part, par le fait que cette durée correspond au délai de prescription en matière délictuelle.
La Commission relève que la durée de conservation des données n'est pas modulée selon les suites judiciaires apportées. Le ministère a précisé à cet égard que les suites judiciaires ne sont pas enregistrées dans le traitement MISP-PJ.
La Commission rappelle que la durée de conservation des données ne saurait être fixée, par principe, au regard de la seule durée de prescription de l'action publique, sans considération des finalités pour lesquelles elles sont traitées, et dans le respect des dispositions de l'article 4-5° de la loi du 6 janvier 1978 modifiée. Elle souligne la nécessité de veiller à ce que seules les données strictement nécessaires aux finalités poursuivies par le traitement soient enregistrées, notamment en supprimant les signalements et plaintes dont l'analyse aura permis de déterminer qu'ils ne portent pas sur des atteintes aux systèmes de traitement automatisé de données ou encore en supprimant les signalements et plaintes qui n'auraient pas déclenché l'ouverture d'une procédure judiciaire ou auraient été classés sans suite après enquête.
La Commission prend également acte de ce qu'une vérification trimestrielle est réalisée, au cours de laquelle un état des données dont la conservation excède le délai prescrit est établi. Les données concernées sont alors effacées manuellement par les personnes disposant de droits d'administrateur. La Commission recommande néanmoins la mise en œuvre d'une suppression automatisée permettant d'assurer une conservation des données n'excédant pas la durée de conservation établie.
Sur les accédants et destinataires
L'article 4 du projet d'arrêté prévoit la liste des personnes pouvant accéder aux données et informations du traitement ou en être destinataires, à raison de leurs attributions et dans la limite du besoin d'en connaitre. La liste des accédants n'appelle pas de remarque de la Commission.
Peuvent être notamment destinataires des données à caractère personnel et informations du traitement, les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers, qui présentent, conformément aux prescriptions de l'article L. 235-1 du code de la sécurité intérieure un niveau de protection suffisant de la vie privée, des libertés et des droits fondamentaux des personnes à l'égard du traitement dont ces données font l'objet ou peuvent faire l'objet.
Le même article prévoit que les services de police et de gendarmerie nationales peuvent recevoir des données contenues dans les traitements gérés par les organismes de coopération internationale en matière de police judiciaire ou les services de police étrangers dans le cadre des engagements prévus au présent article. La Commission prend acte de ce que seules des données techniques transmises dans le cadre d'une demande d'entraide judiciaire ou d'une demande de coopération internationale (MLAT) seront enregistrées dans le traitement MISP-PJ. Ces données devront correspondre aux données décrites à l'article 2 du projet d'arrêté.
De manière générale, la Commission rappelle que les transferts de données à caractère personnel vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne devront s'effectuer dans le respect des dispositions des articles 112 à 114 de la loi du 6 janvier 1978 modifiée.
Sur les mises en relation
Le ministère prévoit de mettre en relation le traitement MISP-PJ d'une part avec les logiciels de rédaction des procédures LRPPN et LRPGN et, d'autre part avec le recueil d'informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d'information mis en œuvre par le CSIRT-PJ. Ces traitements alimenteront le traitement MISP-PJ, au moyen de rapprochements manuels, par les données techniques détaillées à l'article 2 du projet d'arrêté.
La Commission estime que ces mises en relations s'inscrivent dans les finalités poursuivies par le traitement MISP-PJ à savoir le renforcement de l'efficacité des investigations en matière d'atteintes au système de traitement automatisé de données par le recoupement et l'analyse des informations recueillies.
Elle relève que, le CSIRT-PJ met en œuvre un traitement de données et informations relatives aux logiciels malveillants conservant des données relatives à des incidents de sécurité détectés via des sources ouvertes ou transmis par des organismes partenaires. Selon le ministère, la mise en relation avec le traitement MISP-PJ doit permettre de contextualiser les données d'enquête grâce à ces données complémentaires. La Commission prend acte de ce que les données enregistrées dans le traitement MISP-PJ issues du traitement mis en œuvre par le CSIRT-PJ seront exclusivement des adresses IP de serveurs de commande ou des machines impliquées dans les incidents de sécurité, des courriels et des adresses de cyber-monnaies et pseudonymes utilisés lors d'attaques.
Sur la sécurité des données et la traçabilité des actions
S'agissant des éléments de sécurité mis en œuvre pour encadrer le traitement, la Commission recommande l'élaboration d'une AIPD précisant les solutions techniques déployées en vue de couvrir les risques liés aux données traitées. Cette AIPD n'ayant été jugée nécessaire par le ministère eu égard aux caractéristiques du traitement, la Commission ne peut se prononcer en profondeur s'agissant de ces aspects.
La Commission rappelle également que la réunion en un seul et même endroit des données ci-après listées et de leur utilisation dans le cadre de procédures judiciaires peut présenter des risques en cas de perte de confidentialité. En effet, les données rapprochées, telles que les informations relatives à l'auteur de l'attaque (adresses IP et numéros de port, adresses de courrier électronique utilisées dans le cadre de l'attaque, identifiants, pseudonymes, noms des profils sur les réseaux sociaux, noms de domaine ou adresses courriel de demande de rançon) sont des éléments dont le traitement nécessite un niveau de sécurité adéquat.
Le ministère précise par ailleurs le fait que les données contenues dans le traitement seront enregistrées manuellement. Il précise qu'il s'agit de données techniques issues, d'une part, des logiciels de rédaction des procédures judiciaires LRPPN et LRPGN et, d'autre part, du traitement de recueil d'informations techniques relatives aux incidents de sécurité sur les réseaux et systèmes d'information mis en œuvre par le CSIRT-PJ. A ce titre, la Commission s'interroge sur les risques induits par un enregistrement manuel et sur les garanties techniques et organisationnelles permettant d'assurer la qualité des données ainsi enregistrées dans le traitement MISP-PJ, ainsi que l'intégrité de ces données dans le temps. Elle recommande à cet égard de retenir des modalités d'importation automatique.
Le ministère ne précise pas les solutions de sauvegarde ou de cloisonnement qui permettront de limiter les pertes de confidentialité ou d'intégrité ainsi que la conservation dans le temps des données traitées. Il précise cependant que la solution sera déployée sur son intranet.
La Commission retient à ce titre qu'un chiffrement du flux d'accès au traitement sera mis en œuvre et que les accès seront gérés au travers d'une authentification par identifiant/mot de passe. En conséquence, elle rappelle le besoin de mettre en œuvre des procédures de gestion des habilitations permettant de limiter les accès au seul droit d'en connaître et que cette procédure devra prendre en compte une revue régulière des accès ainsi octroyés.
Concernant les contrôles d'accès aux données, la Commission rappelle que l'authentification des personnes habilitées à accéder aux données traitées doit être conforme à l'article 99 de la loi du 6 janvier 1978 modifiée, tel qu'éclairé par sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe.
Enfin, concernant la traçabilité, le ministère précise qu'une traçabilité sera mise en œuvre au sein du traitement pour couvrir toutes les opérations réalisées sur celui-ci. S'agissant de leur conservation, le ministère précise qu'une conservation d'une durée de 6 ans sera réalisée. La Commission rappelle qu'il n'est pas possible de motiver la durée de conservation des données de traçabilité pour la seule durée de prescription des infractions pénales liées au mésusage des données du traitement par ceux qui y accèdent. Elle estime, dans le cas d'espèce, qu'une conservation des traces pour une durée de trois ans pourrait être considérée comme justifiée. Elle rappelle, en tout état de cause, que celle-ci devrait s'accompagner d'un système automatisé de gestion d'alertes permettant la détection d'un usage malveillant de la solution déployée.