L’application GendNotes est-elle conforme au RGPD ?

L’application GendNotes est-elle conforme au RGPD ?
⏱ Lecture 4 min

Par Gérard Haas et Aurélie Puig

Dans le cadre du plan de modernisation des forces de l’ordre, un décret en date du 20 février 2020 a mis en place une nouvelle application mobile pour les gendarmes : « GendNotes ».

Destinée à remplacer le bon vieux calepin à spirale, cette application est loin de faire l’unanimité.

Si elle sert à dématérialiser la prise de notes par les militaires de la gendarmerie nationale lors de leurs interventions, beaucoup craignent en effet que cette prise de note ne se transforme en un fichage de la population via la collecte de « données sensibles ».

Et pourtant, cette application a été autorisée par la CNIL lors de sa délibération du 3 octobre 2019.[1]

Retour sur les informations collectées par GendNotes et les garanties prises pour protéger vos données.

1. Quelles sont les données collectées par GendNotes ?

L’annexe du décret du 20 février 2020 [2] autorisant la mise en place de l’application liste les différentes données personnelles traitées. Parmi elles, la photographie de la personne concernée, ainsi que la possibilité d’enregistrer des informations dans les zones de commentaires libres.

Dans sa délibération, la CNIL met en garde contre l’utilisation de « zones libres » via l’application. En effet, GendNotes permet aux personnels ayant accès au traitement de renseigner des champs libres.

Pour rappel, les données traitées doivent être pertinentes, adéquates et non excessives au regard de la finalité poursuivie. Afin de respecter le principe de minimisation, la CNIL conseille d’encadrer les zones de commentaires libres afin qu’elles ne contiennent que des données objectives. Les gendarmes devront être vigilant quant à la pertinence des données renseignées.

Pour être RGPD compliant sur ce point, des mesures organisationnelles et techniques peuvent être prises, parmi lesquelles :

  • le remplacement, dans la mesure du possible, de la zone par un menu déroulant proposant des appréciations objectives ;
  • la mise en place d'un contrôle automatique des champs à travers la définition de mots interdits (filtre "CNIL") ;
  • la sensibilisation des équipes, qui peut prendre la forme de notes d'information, de messages d'alerte en cas d'utilisation des zones de commentaires libres, d'infobulles près des zones concernées...

Le ministre de l’intérieur s’est donc engagé à paramétrer l’application GendNotes, afin de pré-renseigner ces champs libres. La CNIL rappelle qu’un contrôle strict devra être assuré à ce titre…

Mais ce qui fait scandale, c’est que ces champs libres permettent de recueillir des « données sensibles ».

Ces données, qui seront recueillies selon les circonstances de l'intervention ainsi que la nature des faits auxquels est confronté le gendarme/utilisateur se rapportent à des données relatives à la prétendue origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses et/ou philosophiques, à l'appartenance syndicale, à la santé, à la vie sexuelle ou à l'orientation sexuelle.

2. Existe-t-il des garanties pour préserver les droits et libertés de la personne concernée ?

Concernant le traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, l'article 88 de la loi Informatique et Libertés, précise que le traitement de telles données n'est possible qu'en cas de nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée.

En principe les gendarmes ne devront renseigner le champ libre avec des données sensibles qu’en cas de nécessité absolue.

Le problème serait alors de laisser la définition de « nécessité absolue » à la gendarmerie.  C’est ce que remarque la Quadrature du Net, association notamment connue pour être à l’origine de l’amende de 50 millions d’euros infligée par la CNIL à Google.

Dans son communiqué du 25 février 2020 « GENDNOTES, FACILITER LE FICHAGE POLICIER ET LA RECONNAISSANCE FACIALE », l’association évoque la possibilité laissée aux gendarmes de prendre en photo n’importe quelle personne dès lors qu’ils la suspectent d’avoir commis une infraction.

Elle pointe également du doigt la possibilité d’enregistrer des données sensibles, à la simple condition que de telles informations soient « absolument nécessaires » aux fichiers de police judiciaire.

Certes, la CNIL a précisé que les informations sensibles enregistrées dans les champs libres de GendNotes ne pourront pas alimenter d'autres traitements et devront être accessibles uniquement via l'application.

De plus, les données seront supprimées dans les trois mois suivant leur collecte et aucun dispositif de reconnaissance faciale ne pourra être utilisé à partir des photographies enregistrées via GendNotes.

Pourtant, dans son avis sur l’application, la CNIL prend acte que l’application est interconnectée avec d’autres fichiers (LRPGN et « Messagerie Tactique »), ce qui permet donc à la Gendarmerie de les alimenter avec les données récoltées.  En effet, GendNotes sert également à pré-renseigner des champs utilisés par les gendarmes dans le cadre d’autres traitements par des données à caractère personnel et informations saisies lors de la rédaction d'une note.

La Quadrature du Net affirme ainsi que GendNotes permet la transmission des données récoltées au logiciel métier des gendarmes « LRPGN » (logiciel de rédaction des PV), de sorte que, si les gendarmes décident d’ouvrir une procédure, les données sont ensuite transmises au TAJ (traitement des antécédents judiciaires) et conservées 20 ans.

Ainsi, dans le cadre d’une procédure donnant lieu à la notification d’une amende forfaitaire délictuelle, l’interconnexion de ces applications permettrait à l’interface d'interroger le Fichier des personnes recherchées (FPR), le Système national des permis de conduire (SNPC), l'Application de gestion des dossiers des ressortissants étrangers en France (AGDREF), et le Traitement des antécédents judiciaires (TAJ).

La CNIL mentionne toutefois que l’alimentation de la « Messagerie Tactique » des gendarmes ne concernera que les données d'état civil (et non les données sensibles) de la personne concernée et que les réponses à l'interrogation de ces fichiers se feront de manière distincte, par messages indépendants.

***

Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner dans votre activité. Contactez-nous ici pour toute information complémentaire.

 

[1]   Délibération n° 2019-123 du 3 octobre 2019 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes) (demande d'avis n° 17021804)

[2] Décret nº 2020-151 du 20 février 2020 portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « application mobile de prise de notes » (GendNotes)

Gérard HAAS

Auteur Gérard HAAS

Suivez-nous sur Linkedin