Saisie par le ministère de l’intérieur les 27 mars et 13 juin 2008 d’un projet de décret créant notamment un traitement de données à caractère personnel dénommé « EDVIGE » (exploitation documentaire et valorisation de l’information générale), la CNIL a rendu un avis le 16 juin 2008.

La CNIL retient que les finalités du traitement EDVIGE sont :
« 1. De centraliser et d’analyser les informations relatives aux personnes physiques et morales ayant sollicité, exercé ou exerçant un mandat électif, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif, afin de donner au Gouvernement ou à ses représentants tous les éléments utiles à leur action ;
2. De centraliser et d’analyser les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public.
3. De permettre aux services de police d’exécuter les enquêtes administratives qui leur sont confiées, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l’exercice des fonctions ou des missions envisagées. »

Les principales réserves (limites et demandes de précisions) de la CNIL, détaillées dans son avis portent :
– sur les catégories de données (signalement, photographie, comportement et déplacements, titres d’identité, antécédents judiciaires, environnement de l’individu) ;
- sur les motifs d’enregistrement (données sensibles) ;
- sur les mineurs, dès l’âge de treize ans (traitement exceptionnel et conservation spécifique) ;
- sur la durée de conservation (mise à jour et apurement du fichier) ;
- sur les destinataires ;
- sur les mesures de sécurité (aucune interconnexion avec un autre traitement automatisé à l’exception de ceux mis en Å“uvre par le préfet de police pour sa mission d’information générale) ;
- sur les droits des personnes et le contrôle exercé par la CNIL ;
- sur les traitements mis en œuvre par la préfecture de police de Paris.

Le décret portant création du fichier EDVIGE a été adopté le 27 juin 2008.

Ce décret vise les personnes physiques âgées de treize ans et plus et envisage le traitement des catégories de données suivantes :
– « informations ayant trait à l’état civil et à la profession ;
- adresses physiques, numéros de téléphone et adresses électroniques ;
- signes physiques particuliers et objectifs, photographies et comportement ;
- titres d’identité ;
- immatriculation des véhicules ;
- informations fiscales et patrimoniales ;
- déplacements et antécédents judiciaires ;
- motif de l’enregistrement des données ;
- données relatives à l’environnement de la personne, notamment à celles entretenant ou ayant entretenu des relations directes et non fortuites avec elle. »

La CNIL, dans un avis du 2 juillet 2008, relève que son avis du 16 juin 2008 a été suivi sur les points suivants :
Рla publication de la cr̩ation du fichier ;
- l’absence d’interconnexion de ce fichier avec d’autres fichiers ;
- les personnes publiques sont davantage protégées (pas de traitement de leurs données de comportement ou de leurs déplacements et un traitement exceptionnelle de leurs données sensibles) ;
- une durée de conservation de 5 ans pour les données d’une personne faisant l’objet d’une enquête administrative.

Cependant, certaines réserves subsistent concernant :
– l’âge minimum de collecte fixé à 13 ans au lieu de 16 ans ;
- l’absence de limite générale dans la durée de conservation des données ;
- le peu de garanties assurées pour le traitement des données sensibles ;
- le peu de précisions sur les mesures de sécurité technique et la traçabilité des données ;
- l’absence de procédure formalisée pour la mise à jour et l’apurement des données.

Les modifications qui ont été apportées à ce décret prouve l’utilité de la CNIL dans son rôle de « garde-fou » concernant la protection des données à caractère personnel des individus, que le responsable du traitement soit privé ou public.

Cependant, il faut constater quand même la difficulté d’assurer la protection des données à caractère personnel, qui tend à être mise à mal par l’invocation récurrente de la protection de l’ordre public, notion à géométrie variable.

Il est donc à souhaiter que les avis de la CNIL soient de plus en plus suivis par les pouvoirs publics. L’avenir nous le dira…