Il y a un an, plusieurs organisations professionnelles, parmi lesquelles figurait le Conseil national des barreaux (CNB), avaient demandé l’annulation de l’acte règlementaire permettant la création de l’application mobile GendNotes, destinée à faciliter la récolte de data par la gendarmerie nationale. Le Conseil d’État vient de leur donner partiellement raison.

Le 13 avril dernier, le Conseil d’État, statuant sur les requêtes jointes, a jugé que la finalité du traitement automatisé de données par l’application mobile GendNotes n’était pas "déterminée, explicite et légitime", comme l’exige la loi Informatique et Libertés du 6 janvier 1978. Ayant constaté que le décret ne comportait aucune indication sur la nature ou l’objet des transferts de données collectées via l’application, il annule la possibilité de les transférer vers d’autres fichiers. Cette victoire n’est cependant que partielle puisque les hauts magistrats administratifs estiment que les autres finalités de GendNotes, ainsi que leurs conditions de mise en œuvre, sont conformes à la loi. Si les organisations et associations réclamaient bien l’impossibilité de transférer les données, elles exigeaient aussi la mise en œuvre de garanties propres à assurer une protection des droits et libertés des personnes ainsi que l’apport de précisions sur les mesures de sécurité organisationnelles et techniques mises en œuvre pour garantir la confidentialité des données collectées. Ce qu’elles ne sont pas parvenues à obtenir du juge administratif.

Des risques de dérives 

Rappel des faits. Par un décret du 20 février 2020, le ministre de l’Intérieur avait été autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel via l’application mobile GendNotes. Destinée à la gendarmerie nationale, celle-ci doit permettre aux gendarmes de dématérialiser leur prise de notes et d'en faciliter la transmission, par voie électronique, aux autorités judiciaires et administratives compétentes. C’est la Cnil qui avait été la première à se prononcer sur cette application dans un avis du 3 octobre 2019 sur le projet de décret. Elle attirait alors l’attention de l’Hôtel de Beauvau sur plusieurs modalités envisagées du traitement de données et l’invitait à revoir sa copie sur les problématiques qu’elle soulevait. Dans une motion adoptée le 20 mars 2020, le Conseil national des barreaux (CNB) a quant à lui dénoncé la non-prise en compte par le gouvernement de cette délibération de la Cnil et l’atteinte grave portée par le décret aux libertés fondamentales.

Entre mars 2020 et mars 2021, de nombreuses associations (dont la Ligue des droits de l’homme) et organisations (dont le CNB, le Syndicat de la magistrature et celui des Avocats de France) ont introduit des requêtes devant le Conseil d’État, toutes réclamant l’annulation du décret autorisant la création de GendNotes. Pour les requérants, l’utilisation d’une telle application mobile engendrerait des risques de dérives : détournement des données collectées et fichage de la population. Reprenant les inquiétudes de la Cnil, ils critiquent plusieurs aspects du traitement automatisé de données personnelles. C’est tout d’abord, le manque de précision quant à la finalité du traitement des données ainsi que les catégories de données sensibles pouvant être insérées dans la zone de commentaire de l’application. L’absence du principe de suppression de la data devenue inutile, de contrôle strict des attributions de leurs destinataires et de définition du besoin d’en prendre connaissance (en particulier vis-à-vis des données dites sensibles) pose également problème. De plus, la faiblesse des mesures de sécurité et de protection des données est pointée du doigt : aucun dispositif de chiffrement des terminaux ou des supports de stockage n’est prévu. Enfin, les modalités de transfert des données vers d’autres fichiers, notamment hors Union européenne, ne sont ni précises ni strictement encadrées.

Léna Fernandes