Jeux Olympiques : La Cnil valide le dispositif de laissez-passer tout en émettant des réserves

La Commission nationale de l'informatique et des libertés (Cnil) a rendu publique sa délibération du 25 avril 2024 sur le dispositif de "laissez-passer" mis en place durant les Jeux Olympiques et Paralympiques (JOP) de Paris pour permettre aux riverains de se déplacer dans les zones de sécurité. Celles-ci comprennent le périmètre de protection "SILT" - également appelé "périmètre gris" - au sein duquel la circulation motorisée et piétonne sera réglementée et des vérifications seront effectuées et le "périmètre rouge" au sein duquel des mesures de restriction de la seule circulation routière seront appliquées. 

Obtenir un pass sous la forme d'un QR code 

Pour accéder à ces zones, les personnes devront s'inscrire sur le site dédié afin d'obtenir un "pass jeux" sous la forme d'un QR code à présenter directement sur smartphone ou sur papier aux points d'accès des périmètres concernés. Des contrôles seront réalisés aux points de passage par les forces de l'ordre avec une vérification d'identité. Depuis le 13 mai, les inscriptions pour l'obtention du pass dans le cadre de la cérémonie d'ouverture des jeux sont possibles. Les demandes de laissez-passer pour accéder en véhicule dans les périmètres rouges autour des sites de compétition se feront dans un second temps, a précisé la Préfecture de police.

C'est le ministère de l'Intérieur qui a saisi l'autorité afin qu'elle rende son avis sur un projet d'arrêté modifiant l'arrêté du 2 mai 2011 relatif aux traitements automatisés de données à caractère personnel dénommés "fichiers des résidents des zones de sécurité" créés à l'occasion d'un événement majeur. Le projet d'arrêté modifie le texte initial en y ajoutant de nouvelles catégories de données (carte nationale d’identité, permis de conduire, passeport ou titres de séjour), de nouveaux accédants et destinataires des données ainsi qu'en mettant à jour des dispositions relatives à l'exercice des droits. 

La Cnil confirme la légitimité du traitement des données 

De manière générale, la Commission a confirmé la légitimité du traitement des données pour sécuriser les événements exceptionnels. En pratique, pour la délivrance du laissez-passer, le préfet de police - responsable du traitement - met en oeuvre un traitement des données personnelles qui concernent le numéro du titre d'accès, nom et prénom, date et lieu de naissance, adresses postale et électronique, coordonnées téléphoniques, photographie, justificatif de résidence dans la zone, numéro et copie du titre d'identité, date d'accès dans le périmètre ainsi que le motif d'accès à la zone de sécurité et justificatif. 

Dans son avis, l'autorité s'est interrogée sur la nécessité du traitement de la photographie au regard du fait "qu'aucun besoin n'a justifié la collecte de cette donnée pour les fichiers de résidents précédemment mis en oeuvre" et du principe de minimisation dans la mesure où "les autres données collectées apparaissent suffisantes pour atteindre l'objectif d'identification de la personne au point de contrôle". Selon les précisions apportées par le ministère de l'Intérieur, l'ajout de la photographie se justifie par "le nombre extrêmement important de personnes qui fréquentera les zones de sécurité", permettant ainsi une plus grande rapidité à l'entrée des zones.

Par conséquent, la Cnil invite le ministère à préciser que le recueil et le traitement de la photographie ne sont nécessaires que lorsqu'un "grand nombre de personnes sont attendues simultanément dans la zone". Recommandation suivie puisque l'arrêté final prévoit que sa collecte n'est pas obligatoire. Par ailleurs, la Commission a alerté l'Intérieur sur l'importance de respecter des durées de conservation adaptées. Il est ainsi prévu que les copies de cartes nationales d’identité, permis de conduire, passeports et titres de séjour ne seront conservées que le temps nécessaire à la délivrance du titre d’accès. Les autres données seront conservées trois mois, comme c’était déjà le cas auparavant. 

Encadrer la transmission des données aux organisateurs de l'événement 

Dans son avis, l'autorité s'est aussi penchée sur les accédants et les destinataires des données. En effet, les organisateurs des JOP doivent également délivrer un laissez-passer pour permettre aux personnes qui ne sont pas spectateurs d'accéder à l'établissement ou l'installation de l'événement lui-même. Le texte prévoit donc que les organisateurs de grands événements se tenant dans une zone de sécurité puissent être destinataires de certaines données du fichier de résidents. L'autorité a ainsi alerté le gouvernement sur le fait que la transmission des données à l'organisateur ne devra avoir lieu que lorsqu'il ne collecte pas lui-même les données. 

La Commission a souhaité également apporter des précisions sur le fait que l'inscription dans le fichier des "résidents" dans la zone n'entraîne pas juridiquement la réalisation d'une enquête administrative, "ce que le ministère a confirmé". Sur l'information des personnes, elle déclare que doivent être incluses des mentions figurant à la fin du formulaire d'enregistrement. Celles-ci doivent être distinctes "des autres informations non liées à la vie privée" telles que les conditions générales d'utilisation. Aussi, elles doivent être rédigées en plusieurs langues. 

Faire la chasse aux vulnérabilités

Compte tenu de la rapidité de la mise en place du dispositif, qui induit "un risque élevé concernant la présence de vulnérabilités", la Commission alerte sur l'importance des mesures de sécurité. Elle prend ainsi note de la mise en oeuvre d'audits de sécurité, dont des tests d'intrusion. Elle note cependant la nécessité de prévoir une capacité de réaction rapide à la détection de vulnérabilités ou de dysfonctionnements éventuels. 

Un mécanisme de "chiffrement authentifié" est appliqué au QR code. La Cnil en "prend acte". Elle précise qu'au regard de la forte sensibilité des données et du nombre de personnes concernées, il est indispensable que ces mesures de chiffrement soient conformes à "l'annexe B1 du référentiel général de sécurité" tant au niveau de l’ensemble des terminaux de contrôles que des bases de données et leurs sauvegardes.