Réponse publiée le 24 septembre 2019

La législation en matière de protection des données ne comporte aucune disposition prévoyant la destruction de traitements de données à caractère personnel, notamment des fichiers de police, en cas d'invasion du territoire national par des forces armées étrangères. Il n'apparaît néanmoins pas utile de prévoir de manière explicite un tel dispositif. En effet, outre la faible probabilité de la réalisation d'un tel évènement, des mesures de nature à sauvegarder les intérêts de l'Etat et des personnes concernées pourront en tout état de cause être mises en œuvre par l'autorité administrative, dont les prérogatives sont accrues en cas de circonstances exceptionnelles. Concernant les garanties pour les citoyens dont des données à caractère personnel figurent dans des fichiers de police en cas de cyberattaques, la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit « RGPD – Règlement général sur la protection des données », relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE prévoient la mise en œuvre de mesures par le responsable de traitement afin de garantir la sécurité des données à caractère personnel. En premier lieu, l'article 34 de la loi du 6 janvier 1978 susmentionnée précise que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». En deuxième lieu, l'article 32 du RGPD et l'article 70-13 de la loi du 6 janvier 1978 susmentionnée prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque pour les droits et libertés des personnes physiques. Ces articles énumèrent une liste des mesures que le responsable de traitement doit mettre en œuvre. En troisième lieu, l'article 33 du RGPD prévoit qu'en cas de violation de données à caractère personnel, le responsable du traitement doit notifier la violation en question à la commission nationale de l'informatique et des libertés dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. De plus, l'article 34 du même règlement prévoit que « lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement doit communiquer la violation de données à caractère personnel à la personne concernée dans les meilleurs délais ». Dès lors, il apparaît que les dispositions juridiques en matière de protection contre les cyberattaques ainsi que les garanties applicables pour les personnes concernées sont suffisantes, et qu'en tout état de cause ce risque ne peut être totalement écarté par des mesures législatives ou réglementaires. Concernant les garanties pour les citoyens décédés dont des données à caractère personnel figurent dans des fichiers de police, l'article 40-1 de la loi du 6 janvier 1978 susmentionnée prévoit qu'en principe, les droits des personnes à l'égard des traitements de données à caractère personnel s'éteignent au décès de leur titulaire. Toutefois, ces droits peuvent être provisoirement maintenus conformément aux II et III de ce même article. En vertu du II de cet article, « toute personne peut définir des directives relatives à la conservation, à l'effacement et à la communication de ses données à caractère personnel après son décès. Ces directives sont générales ou particulières ». En application du III de cet article, « en l'absence de directives ou de mention contraire dans lesdites directives, les héritiers de la personne concernée peuvent exercer après son décès les droits mentionnés à la présente section ». Le dispositif législatif actuel concernant les droits des personnes décédées à l'égard de leurs données à caractère personnel figurant dans des traitements de données à caractère personnel apparaît donc satisfaisant.