CNIL - Délibération n° SAN-2021-016 du 24 septembre 2021 concernant le ministère de l’intérieur

Délibération de la formation restreinte n°SAN-2021-016 du 24 septembre 2021 concernant le ministère de l’intérieur

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, de Mesdames Anne DEBET et Christine MAUGÜE et de Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision no 2019-004C du 20 décembre 2018 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification du traitement "Fichier automatisé des empreintes digitales" mis en œuvre par le service central de la police technique et scientifique au ministère de l’intérieur ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 26 février 2021 ;

Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié au ministère de l’intérieur le 9 avril 2021 ;

Vu les observations écrites versées par le ministère de l’intérieur le 25 mai 2021 ;

Vu les observations orales formulées lors de la séance de la formation restreinte, le 1er juillet 2021 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte :

- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;

En qualité de représentants du ministère de l’intérieur :

- […]

En qualité de commissaire du Gouvernement :

- […]

La formation restreinte a entendu, en application de l’article 42 du décret no 2019-536 du 29 mai 2019, […], représentants du ministère de la justice, direction des affaires criminelles et des grâces (par visioconférence) ;

Le ministère de l’intérieur ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

1. Le fichier automatisé des empreintes digitales (ci-après "le FAED" ) est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales ainsi que les "traces" d’empreinte relevées sur les scènes de crime ou de délit. Il est géré par le ministère de l’intérieur et utilisé par les services de police, de gendarmerie et des douanes, en leur permettant de relier une personne à plusieurs identités ou alias et de relier cette personne aux précédentes procédures dans lesquelles ses empreintes ont été relevées.

2. Conformément aux dispositions de l’article 2 du décret no 87-249 du 8 avril 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l’intérieur (ci-après "le décret no 87-249" ou "le décret relatif au FAED" ), il est "mis en œuvre par le service central de la police technique et scientifique au ministère de l’intérieur" .

3. Le FAED contient, d’une part, des "signalisations" , qui sont des empreintes digitales et palmaires directement relevées sur les personnes concernées et accompagnées de diverses informations relatives à la personne à laquelle elles appartiennent et au contexte de leur collecte (sexe, nom, prénom, date et lieu de naissance, filiation, service ayant procédé à la signalisation, date et lieu de l’établissement de la fiche, nature de l’affaire et référence de la procédure, photographies de la personne) et, d’autre part, des "traces" (empreintes complètes ou partielles relevées sur le lieu de commission d’une infraction), elles aussi accompagnées de diverses informations relatives à la collecte (lieu et date du relevé, service ayant procédé au relevé, date et lieu de l’établissement de la fiche, nature de l’affaire et référence de la procédure). Chaque empreinte (enregistrée lors d’une opération de signalisation ou relevée sur le lieu de commission d’un infraction) accompagnée des informations complémentaires évoquées constitue une "fiche" indépendante enregistrée dans le FAED.

4. En décembre 2018, le fichier contenait près de 6,3 millions d’empreintes digitales et palmaires de personnes identifiées en tant que mises en cause pour crimes et/ou délits, ainsi que 240 000 traces non identifiées.

5. La présidente de la Commission a, par la décision no 2019-004C du 20 décembre 2018, initié une procédure de contrôle à l’encontre du ministère de l’intérieur. Cette procédure avait pour objet de vérifier le respect, par le ministère de l’intérieur, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après "le Règlement" ou "le RGPD" ), de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après "la loi du 6 janvier 1978" ou "la loi Informatique et Libertés" ) et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (ci-après "la directive police-justice" ) dans la mise en œuvre du FAED par le service central de la police technique et scientifique. Dans le cadre de cette procédure, plusieurs contrôles ont été réalisés, et plus précisément dans les locaux du service central de la police technique et scientifique (ci-après "le SCPTS" ), qui assure la gestion quotidienne du fichier, au commissariat de Boulogne-Billancourt, où sont collectées des données alimentant le FAED, ainsi qu’au tribunal judiciaire et à la cour d’appel de Paris, dont les décisions ont des implications sur le devenir des données du FAED. Enfin, des questionnaires ont été envoyés aux tribunaux judiciaires d’Angers, de Fort-de-France et de Lons-le-Saunier ainsi qu’à la cour d’appel de Versailles. L’ensemble de ces contrôles ont permis de vérifier les modalités de collecte des données du FAED, leur gestion au quotidien, ainsi que leur devenir après les décisions de justice.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 26 février 2021, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978.

7. À l’issue de son instruction, la rapporteure a, le 9 avril 2021, fait signifier au ministère de l’intérieur un rapport détaillant les manquements à la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. La rapporteure proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 4, 89, 97, 99 et 104 de la loi Informatique et Libertés, ainsi qu’un rappel à l’ordre. Elle proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément le ministère à l’expiration d’un délai de deux ans à compter de sa publication.

8. Le même jour, le ministère de l’intérieur a été informé que ce dossier était inscrit à l’ordre du jour de la séance de la formation restreinte du 1er juillet 2021.

9. Le 25 mai 2021, le ministère a produit des observations.

10. Le ministère et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.

11. L’article 1er de la directive police-justice définit son champ d’application et vise tout "traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces" .

12. Le premier paragraphe de l’article 87 de la loi Informatique et Libertés, premier article du titre III de la loi, dispose "le présent titre s’applique, sans préjudice du titre Ier, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l’exercice de l’autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente" .

13. Ce titre III s’applique donc aux traitements qui répondent à une double caractéristique relative à leur finalité, d’une part, et à la qualité du responsable de traitement, d’autre part.

14. L’article premier du décret no 87-249 fixe les finalités du FAED. Aux termes de ce dernier, les finalités du traitement sont de :

"faciliter la recherche et l’identification […] des auteurs de crimes et de délits et de faciliter la poursuite, l’instruction et le jugement des affaires criminelles et délictuelles […]" ;

"faciliter la recherche et la découverte des mineurs et majeurs protégés disparus ainsi que celles des majeurs dont la disparition présente un caractère inquiétant ou suspect […] ";

"faciliter l’identification dans un cadre judiciaire des personnes décédées ainsi que l’identification des personnes découvertes grièvement blessées dont l’identité n’a pu être établie" ;

"faciliter l’identification dans un cadre extrajudiciaire des personnes décédées" ;

"permettre l’identification d’un étranger dans les conditions prévues à l’article L. 611 4 du code de l’entrée et du séjour des étrangers et du droit d’asile" ;

"permettre l’identification des personnes dans le cadre de la procédure de vérification d’identité de l’article 78-3 du code de procédure pénale" .

15. En l’espèce, les contrôles réalisés ont porté sur l’utilisation du FAED dans le cadre des activités de police et de justice au cours de procédures pénales. La formation restreinte considère que ces activités entrent dans le champ des finalités visées par l’article 87 de la loi Informatique et Libertés.

16. La formation restreinte considère également que, dans le cadre de ces missions, le ministère de l’intérieur doit être regardé comme l’autorité compétente, au regard de l’article 1er du décret no 2020-874 du 15 juillet 2020 relatif aux attributions du ministre de l’intérieur (précédemment décret no 2017-1070 du 24 mai 2017).

17. En conséquence, la formation restreinte considère qu’en l’espèce, le FAED, lorsqu’il est mis en œuvre par le ministère de l’intérieur pour les différentes finalités ci-dessus évoquées, doit respecter les dispositions du titre III de la loi Informatique et Libertés.

18. L’article 4 du décret no 87-249 dresse la liste limitative des informations qui peuvent accompagner, dans le FAED, l’enregistrement d’une empreinte ou d’une trace. S’agissant des empreintes, ces informations sont le sexe de la personne et, lorsqu’ils sont connus, ses nom, prénoms, date et lieu de naissance et éléments de filiation, le service ayant procédé à la signalisation, la date et le lieu d’établissement de la fiche signalétique, la nature de l’affaire et la référence de la procédure et les clichés anthropométriques. S’agissant des traces, ces informations sont le lieu sur lequel elles ont été relevées, ainsi que la date du relevé, le service ayant procédé au relevé des traces, la date et le lieu d’établissement de la fiche supportant la reproduction des traces papillaires, la nature de l’affaire et la référence de la procédure et l’origine de l’information et la date de son enregistrement dans le traitement.

19. En premier lieu, la délégation a constaté que des informations supplémentaires sont traitées dans le FAED, telles que le nom de la victime ou le numéro d’immatriculation d’un véhicule.

20. La formation restreinte note que ces informations sont enregistrées sous forme d’image et ne peuvent donc pas faire l’objet d’une recherche. Elle relève également, comme le précise le ministère de l’intérieur dans la réponse apportée au rapport de sanction, qu’elles ne sont présentes que dans les fiches "traces" et pas dans les fiches "signalisation" .

21. La formation restreinte constate néanmoins que le ministère de l’intérieur procède au traitement de données non visées par le décret no 87-249 et en déduit que ce traitement est illicite. La formation restreinte relève au demeurant que le ministère de l’intérieur ne conteste pas le caractère illicite de ce traitement puisqu’il annonce une modification du cadre réglementaire afin de lui permettre, à l’avenir, de traiter régulièrement ces données qu’il estime nécessaires.

22. En second lieu, la délégation a constaté qu’environ sept millions de fiches "signalisation" , pour la plupart anciennes (datant parfois de plusieurs dizaines d’années), sont conservées en format papier dans une salle dédiée du service central. Ce fichier physique, appelé "fichier manuel" , n’est plus alimenté depuis 2017. Il comprend à la fois des fiches anciennes (créées avant l’informatisation du fichier) et l’original papier de fiches plus récentes destinées à être scannées et insérées dans le FAED.

23. La formation restreinte constate que l’article 1er du décret no 87-249 prévoit et autorise "le traitement automatisé de traces et empreintes digitales et palmaires" et ne vise donc pas le "fichier manuel" , ce dernier n’étant pas automatisé. Ce traitement avait été créé par la loi no 667 du 27 novembre 1943 portant création d’un service de police technique, publiée au Journal officiel du 28 novembre 1943 et dont l’article 4 prévoyait la création d’un "service d’identité judiciaire essentiellement chargé de rechercher et de relever les traces et indices dans les lieux où a été commis un acte délictueux, d’établir et de classer les fiches signalétiques" . Ce texte a été abrogé par le cinquième alinéa de l’article 58 de la loi no 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, sans que ce texte, ou un texte ultérieur, vienne autoriser un traitement équivalent.

24. Dès lors, la formation restreinte relève que la conservation de fiches de "signalisation" au format papier n’est prévue par aucune disposition législative ou règlementaire et en déduit qu’elle est illicite. La formation restreinte considère qu’un manquement à l’article 89 de la loi no 78 17 du 6 janvier 1978 est ainsi constitué.

25. Si elle prend acte de l’annonce de la destruction complète du "fichier manuel" dans les quatre ans à venir, la formation restreinte relève qu’aucun calendrier précis n’est annoncé par le ministère de l’intérieur pour atteindre ce but et que ses affirmations ne sont étayées par aucun élément. Elle considère en outre que le délai de quatre ans avancé par le ministère de l’intérieur ne saurait être admis, au regard de l’ancienneté des fiches concernées, de la durée du manquement et de la nature des données concernées.

26. A cet égard, la formation restreinte note que le ministère de l’intérieur a réalisé d’importants efforts pour trier les fiches devant être détruites sans délai de celles devant être scannées et insérées dans le traitement automatisé avant destruction. Néanmoins, si ces opérations ont conduit à la préparation pour destruction de 430 00 fiches datées de 1962 à 1996, la formation restreinte relève que ce nombre demeure faible au regard du nombre total de fiches comprises dans le "fichier manuel" et que la destruction n’a pas encore été réalisée pour les fiches en question.

27. Enfin, le ministère de l’intérieur a annoncé, lors de la séance du 1er juillet 2021, la destruction des seules fiches papier dont les données ne peuvent plus figurer légitimement dans le fichier automatisé. La formation restreinte considère que l’absence de base légale du "fichier manuel" empêche la conservation de fiches "signalisation" au format papier, même dans l’hypothèse où les données qu’elles contiennent peuvent légitimement figurer dans le fichier automatisé après avoir été scannées. Elle estime dès lors que la destruction des fiches papier du "fichier manuel" ne saurait se limiter aux fiches dont les données ne peuvent plus figurer dans le traitement automatisé. La formation restreinte relève d’ailleurs que le ministère de l’intérieur annonçait, dans sa réponse au rapport de sanction, la "suppression totale du fichier manuel […] accomplie à 100% au plus tard d’ici quatre ans" .

28. Il ressort de l’ensemble de ces éléments que les conditions de licéité des traitements mis en œuvre ne sont pas remplies et qu’un manquement à l’article 89 de la loi Informatique et Libertés est constitué.

29. Aux termes de l’article 4 de la loi no 78-17 du 6 janvier 1978 "les données à caractère personnel doivent être : […] 5° Conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […]" .

30. L’article 5 du décret relatif au FAED fixe les durées de conservation des traces et des empreintes. La durée de conservation de principe est de quinze ans (dix ans pour les empreintes des mineurs). Elle peut être augmentée à vingt-cinq ans (quinze ans pour les empreintes des mineurs) sur décision de l’autorité judiciaire ou au regard de la qualification de l’infraction.

31. Ces durées résultent d’une modification du décret no 87-249 par le décret no 2015-1580 du 2 décembre 2015 et entrée en application le 1er mars 2017. Avant cette date, les données étaient conservées pendant une durée de vingt-cinq ans à compter de l’établissement de la fiche.

32. La formation restreinte relève que, au moment du contrôle en janvier 2019, les modalités de conservation des données du FAED ne tenaient pas compte de la modification entrée en application en 2017. Ainsi, les signalisations étaient conservées pendant vingt-cinq ans sans distinction selon l’âge de la personne concernée, le point de départ de ce délai étant en outre calculé à compter de la dernière signalisation de la personne concernée, et non à compter de l’établissement de chaque fiche. En raison de ce choix, chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai de vingt-cinq ans pour l’ensemble de ses signalisations précédentes, amenant ces données à pouvoir être conservées sans limitation en cas de signalisations régulières. Des durées réduites étaient prévues pour certaines fiches "traces" (douze ans pour des traces liés à des crimes non résolus et trois ans et demi pour des traces liés à des délits). Une purge automatique intervenait après vingt-cinq ans si une personne n’avait pas à nouveau été signalisée.

33. La formation restreinte relève que les constatations de la délégation ont démontré que le FAED contenait, au jour du contrôle, plus de deux millions de fiches conservées au-delà des durées de conservation prévues par les dispositions applicables. Elle note que ce manquement n’est pas contesté par le responsable de traitement, qui a indiqué lors de la séance du 1er juillet 2021 que plus de trois millions de fiches avaient été supprimées depuis les contrôles réalisés afin de respecter les anciennes durées de conservation.

34. Au vu de ces éléments, la formation restreinte considère qu’un manquement à l’article 4 de la loi no 78-17 du 6 janvier 1978 est constitué.

35. Le ministère de l’intérieur a annoncé, lors de la séance, qu’un tri du fichier manuel avait été intégralement réalisé afin que toutes les fiches datant de plus de vingt-cinq ans soient préparées pour la destruction, respectant ainsi les durées de conservation antérieures à la réforme de 2015. Le ministère de l’intérieur a indiqué que, pour respecter les durées de conservation nées du décret no 2015-1580 du 2 décembre 2015, un travail de qualification selon l’infraction commise et l’âge de l’auteur doit être réalisé, et a annoncé un délai de quatre ans pour que ce travail puisse être complètement mené, certaines fiches dont les données peuvent légitimement figurer dans le FAED devant être identifiées puis scannées pour alimentation du fichier automatisé.

36. S’agissant du traitement automatisé, le ministère de l’intérieur a indiqué lors de la séance que le travail de qualification des fiches à l’aide du code NATINF de l’infraction avait été réalisé, permettant de définir, pour chacune d’elles, sa durée de conservation maximale, prenant également en compte l’éventuelle minorité de la personne concernée. L’ensemble des fiches dont la durée de conservation était dépassée a été supprimé, soit plus de trois millions de signalisations concernant 790 000 personnes. Plus aucune fiche du traitement automatisé ne serait donc aujourd’hui conservée au-delà de la durée prévue par le texte. Par ailleurs, une purge est à présent effectuée mensuellement afin que toutes les fiches dont la durée de conservation a expiré dans le mois soient supprimées. Des travaux sont actuellement en cours pour que ce processus soit automatisé et intervienne quotidiennement. Des tests sont annoncés dans les semaines suivant la tenue de la séance, et le système devrait être généralisé dès l’automne.

37. Si elle relève les efforts engagés afin que l’ensemble des fiches du FAED soit qualifié, permettant une gestion précise et automatisée des durées de conservation, la formation restreinte note le retard particulièrement conséquent pris par le ministère de l’intérieur dans l’application d’une réforme des durées de conservation intervenue en 2015 et entrée en application en 2017. Elle relève également qu’aucun calendrier précis n’est annoncé par le ministère de l’intérieur afin d’aboutir à une conformité aux nouvelles durées de conservation.

38. Il ressort de l’ensemble de ces éléments qu’un manquement à l’article 4 de la loi Informatique et Libertés est constitué.

39. Aux termes de l’article 97 de la loi Informatique et Libertés "les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition" .

40. L’article 7-1 du décret no 87-249 prévoit les modalités d’effacement des données après certaines étapes de la procédure judiciaire. Ainsi, les empreintes et les informations les accompagnant doivent être effacées en cas de relaxe ou d’acquittement définitif. En cas de décision de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu, les données doivent en principe être effacées "sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de la personne concernée" . Enfin, les données peuvent être effacées à la demande de la personne concernée "lorsque leur conservation n’apparaît plus nécessaire pour des raisons liées à la finalité du fichier" .

41. La formation restreinte relève que les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite sont rendues par les autorités judiciaires et qu’elles doivent ensuite être transmises au service gestionnaire du FAED à l’aide de fiches navettes afin que les décisions soient répercutées et que soient effacées les données devant l’être.

42. Les contrôles réalisés, et plus particulièrement les questionnaires envoyés aux juridictions, ont fait apparaître les différences importantes pouvant exister dans les pratiques des tribunaux et cours d’appel. Ainsi, au jour du contrôle, certaines juridictions ne transmettaient aucune décision au FAED et d’autres n’en transmettaient que certaines (les décisions de relaxe partielle, de correctionnalisation ou de non-lieu n’étaient pas transmises par certaines juridictions). Le service gestionnaire du FAED n’était donc pas averti de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui auraient dû entraîner la suppression des fiches correspondantes dans le FAED.

43. La formation restreinte observe que la mise à jour des données du FAED dépend effectivement de la transmission, par les juridictions, de la totalité des fiches navettes au service gestionnaire, comme l’indique le ministère de l’intérieur dans sa réponse au rapport, et comme le relevait déjà la rapporteure. Elle considère néanmoins qu’en sa qualité de responsable de traitement en application de l’article 2 du décret no 87-249 du 8 avril 1987, c’est sur le ministère de l’intérieur que pèse la responsabilité de l’exactitude des données traitées, sur le fondement de l’article 97 de la loi Informatique et Libertés précité. La formation restreinte considère qu’au regard de cette obligation, le ministère de l’intérieur avait la charge de mettre en place un cadre permettant de garantir la transmission de l’ensemble des données nécessaires à la mise à jour du fichier, par exemple en fixant des modalités opérationnelles ou des exigences en termes de moyens humains ou techniques engagés.

44. Le ministère de l’intérieur fait valoir, en défense, l’existence d’une circulaire de la direction des affaires criminelles et des grâces (ci-après "la DACG" ) du 5 août 2016 et une dépêche de la direction des services judiciaires du même jour rappelant les règles de transmission. Pour autant, au regard du caractère ancien de ces documents, et surtout de l’absence de renvoi régulier ou de rappel aux chefs de juridictions par exemple, la formation restreinte considère que la seule existence de ces documents ne saurait suffire à considérer que le ministère de l’intérieur a mis en œuvre l’ensemble des moyens à sa disposition pour s’assurer de la transmission de la totalité des fiches navettes, permettant ainsi de garantir l’exactitude des données qu’il traite.

45. En outre, la formation restreinte relève que la circulaire du 5 août 2016 relative au fichier automatisé des empreintes digitales (NOR : JUSD1622422C), qui est également évoquée par le ministère de l’intérieur en défense, ne saurait aboutir à un traitement conforme des données du FAED. Cette circulaire précise en effet, s’agissant de l’effacement des données par principe en cas de décision de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu, sauf décision contraire du procureur de la République, qu’"il peut […] être déduit de la rédaction retenue que le silence du procureur de la République caractérise sa volonté de maintenir les données dans le fichier, afin de préserver les hypothèses de réouverture d’enquête ou d’information judiciaire. Une telle interprétation peut se déduire tant des termes même du texte, qui n’exige aucun formalisme au maintien des données dans le fichier, que de la distinction faite avec les cas d’effacement de plein droit d’une part et les cas d’effacement sur demande de l’intéressé d’autre part ".

46. La formation restreinte considère que la position retenue par la circulaire n’est pas compatible avec le II de l’article 7-1 du décret no 87-249, selon lequel l’effacement des données se fait par principe en cas de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu. Dans ces hypothèses, le texte prévoit que le procureur de la République peut, par exception, décider de la conservation des données. Or, l’interprétation du texte faite par la circulaire du 5 août 2016 renverse le principe posé, puisqu’elle entraîne la conservation par principe des données, sauf volonté contraire exprimée par le procureur de la République.

47. Il ressort de l’ensemble de ces éléments que le ministère de l’intérieur n’a pas mis en œuvre l’ensemble des moyens proportionnés lui permettant de s’assurer de l’exactitude des données traitées dans le FAED. La formation restreinte considère donc qu’un manquement à l’article 97 de la loi Informatique et Libertés est constitué.

48. Sur l’ensemble de ce manquement, le ministère de l’intérieur a indiqué qu’il mène un travail de refonte du formulaire de classement sans suite et qu’un rappel a été fait par la DACG à la direction de l’École nationale de la magistrature. Cependant, aucune justification n’a été fournie à l’appui de cette déclaration.

49. Il ressort de l’ensemble de ces éléments qu’un manquement à l’article 97 de la loi Informatique et Libertés est constitué.

50. Aux termes de l’article 99 de la loi Informatique et Libertés, "le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du 27 avril 2016 et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l’article 6 de la présente loi" . Le I de l’article 6 évoqué vise notamment le traitement "des données biométriques aux fins d’identifier une personne physique de manière unique" .

51. En premier lieu, la formation restreinte relève que la connexion au FAED était possible au jour du contrôle au sein du commissariat de Boulogne-Billancourt le 29 janvier 2019, à travers le portail CHEOPS (qui est un portail interne d’accès à différents traitements mis en œuvre par les forces de sécurité intérieure), en utilisant la combinaison d’un identifiant […] et d’un mot de passe […].

52. La formation restreinte relève également que l’accès au FAED est limité par le fait que les terminaux permettant l’accès au portail CHEOPS se trouvent dans des locaux dont l’accès est restreint (commissariats de police, brigades de gendarmerie, locaux des douanes). Elle souligne néanmoins que de nombreuses personnes extérieures aux forces de police sont susceptibles de se trouver légitimement dans ces locaux (personnel d’entretien, avocats, médecins, etc.).

53. […]. Elle considère, d’autre part, que l’article 99 de la loi Informatique et Libertés précité impose une obligation de sécurité renforcée aux responsables de traitement lorsque ces derniers traitent des données dites sensibles au sens de l’article 6 du même texte, par exemple les empreintes digitales et palmaires, qui sont "des données biométriques aux fins d’identifier une personne physique de manière unique" .

54. La formation restreinte relève que, compte tenu des conséquences particulièrement graves que pourrait avoir un accès illégitime aux données du FAED, et compte tenu de la nécessité absolue d’une journalisation stricte des données que comprend le fichier, le fait de permettre la connexion au FAED par la simple combinaison d’un identifiant et d’un mot de passe ne peut être considéré comme une mesure appropriée pour garantir un niveau de sécurité adapté au risque.

55. S’agissant de la mise en place de mesures de sécurité renforcée, la formation restreinte rappelle, d’une part, que chaque fonctionnaire est déjà doté d’une carte-agent unique et identifiante permettant l’accès au fichier. La généralisation de ce mode de connexion déjà fonctionnel ne présenterait donc pas un caractère disproportionné. Elle rappelle, d’autre part, que la CNIL avait déjà porté à la connaissance du ministère la faiblesse de la méthode d’authentification actuelle, et ce dès 2013. En réponse, le ministère de l’intérieur affirmait déjà, en 2014, que l’authentification forte par carte-agent serait imposée pour toute connexion au portail CHEOPS.

56. Si la formation restreinte prend acte des affirmations du ministère de l’intérieur lors de la séance selon lesquelles l’authentification forte à l’aide de la carte-agent est imposée depuis ce jour pour toute connexion au FAED, elle relève que ces déclarations ne sont appuyées par aucun élément ni aucune pièce.

57. En second lieu, la formation restreinte relève qu’au cours des opérations de signalisation, certaines données sont conservées localement dans un terminal informatique présent dans les locaux de garde à vue sous forme de tableurs Excel et autres fichiers informatiques, ou au sein de fiches au format papier. Des photographies demeurent également stockées dans les appareils permettant la réalisation de clichés d’identification.

58. La conservation de ces données en dehors du fichier centralisé du FAED ne garantit pas l’application de règles de sécurité indispensable pour un traitement présentant une grande sensibilité, telles que les restrictions d’accès, la journalisation des accès, la protection contre la modification ou la suppression, le respect des durées de conservation et la garantie des droits des personnes.

59. Si le ministère de l’intérieur évoque, dans sa réponse au rapport, la rédaction de notes rappelant aux services alimentant le FAED les règles de sécurité à appliquer, ces notes n’ont pas été fournies et aucune pièce du dossier ne montre que le ministère ait donné des instructions pour faire cesser cette pratique.

60. Il ressort de l’ensemble de ces éléments que les mesures de sécurité prises par le ministère de l’intérieur concernant le FAED ne garantissent pas un niveau de sécurité adapté au risque. La formation restreinte considère donc qu’un manquement à l’article 99 de la loi Informatique et Libertés est constitué.

61. Aux termes de l’article 104 de la loi Informatique et Libertés, "le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

1° l’identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;

2° le cas échéant, les coordonnées du délégué à la protection des données ;

3° les finalités poursuivies par le traitement auquel les données sont destinées ;

4° le droit d’introduire une réclamation auprès de la Commission nationale de l’informatique et des libertés et les coordonnées de la commission ;

5° l’existence du droit de demander au responsable de traitement l’accès aux données à caractère personnel, leur rectification ou leur effacement, et l’existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée" .

62. La formation restreinte note qu’au jour du contrôle réalisé au commissariat de Boulogne-Billancourt le 29 janvier 2019, aucune information relative au FAED n’était affichée dans les locaux de garde à vue. Elle relève également que les agents du tribunal judiciaire de Paris et de la cour d’appel de Paris ont informé la délégation de contrôle qu’aucune information n’était communiquée aux personnes concernées, ni par les services de police, ni par le parquet, ni au moment du prononcé ou de la signification de la décision, ni à un autre moment.

63. La formation restreinte relève que, si l’article 107 de la loi Informatique et Libertés permet, sous certaines conditions, des restrictions aux droits des personnes et notamment au droit à l’information, ces restrictions doivent être "prévues par l’acte instaurant le traitement" . En l’espèce, aucun article du décret no 87-249 ne vient restreindre le droit, pour les personnes concernées, à l’information sur le traitement.

64. Le ministère de l’intérieur a indiqué, tant dans sa réponse au rapport de sanction que lors de la séance de la formation restreinte, qu’une information était dispensée sur les sites web du ministère de l’intérieur et "service public" . Il indique également qu’une information va être réalisée par affichage dans les locaux de garde à vue. Cette information, générale, portera sur l’ensemble des traitements mis en œuvre par le ministère de l’intérieur et renverra, pour des mentions d’information complètes, aux deux sites web évoqués.

65. S’agissant premièrement de l’information sur les sites web du ministère de l’intérieur et "service public" , la formation restreinte considère que cette information ne saurait, à elle seule, constituer une information suffisante pour répondre à l’obligation posée par l’article 104 de la loi.

66. D’une part, la formation restreinte relève que la communication d’une information sur un site web, qui peut certes être complète, n’est pas directement mise à la disposition de la personne concernée et que sa consultation nécessite une démarche active de la part des personnes concernées, qui n’est possible que si les personnes connaissent l’existence du traitement. Or les personnes dont les données sont traitées dans le FAED peuvent ignorer jusqu’à l’existence même du traitement lorsque, comme en l’espèce, aucune information ne leur est directement communiquée, ni au moment de la collecte des données ni à celui du prononcé de la décision, quant à l’existence de ce traitement et l’identité de son responsable. En outre, la formation restreinte relève que certaines personnes dont les données sont traitées dans le FAED peuvent n’avoir qu’un accès limité au réseau internet (personnes détenues ou sans domicile, notamment), et que leur droit à l’information se trouverait restreint de manière disproportionnée par une information uniquement délivrée par ce biais.

67. D’autre part, la formation restreinte relève que les données de mineurs peuvent figurer dans le FAED. Elle considère que les mineurs doivent bénéficier d’une information adaptée, conformément au considérant no 39 de la directive police-justice qui dispose que "ces informations devraient être adaptées aux besoins des personnes vulnérables telles que les enfants" . Ainsi, une attention particulière doit être apportée par le responsable de traitement pour veiller à ce qu’ils puissent comprendre le traitement mis en œuvre et ses implications, ainsi que les droits dont ils disposent et le moyen de les exercer. Dès lors, la formation restreinte considère qu’une information qui reposerait nécessairement sur une démarche active de leur part n’est pas adaptée en l’espèce.

68. S’agissant deuxièmement de l’affichage prévu par le ministère de l’intérieur, portant sur l’ensemble des traitements mis en œuvre par le ministère de l’intérieur évoqué dans la réponse écrite du ministère de l’intérieur et lors de la séance du 1er juillet 2021, la formation restreinte relève qu’aucun calendrier précis de diffusion n’est communiqué à la formation restreinte pour apprécier les modalités de sa diffusion, et qu’aucun exemple d’affiche ne lui a non plus été communiqué, ne lui permettant pas d’évaluer la conformité des modifications annoncées.

69. Il ressort de l’ensemble de ces éléments que l’information délivrée aux personnes par le seul biais des sites web du ministère de l’intérieur et "service public" ne répond pas aux exigences légales. La formation restreinte considère donc qu’un manquement à l’article 104 de la loi Informatique et Libertés est constitué.

70. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 :

"Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut également, le cas échéant après lui avoir adressé l’avertissement prévu au I du présent article ou, le cas échéant en complément d’une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l’une ou de plusieurs des mesures suivantes :

1° Un rappel à l’ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte (…)" .

71. La rapporteure propose à la formation restreinte que soient prononcés un rappel à l’ordre ainsi qu’une injonction de mettre le traitement en conformité avec les dispositions la loi Informatique et Libertés. Elle propose également que cette décision soit rendue publique.

72. En défense, le ministère de l’intérieur estime que le prononcé d’une mesure correctrice ne se justifie pas, de nombreuses démarches ayant déjà été initiées, et pour certaines réalisées, pour atteindre la mise en conformité. Il considère également que d’importants moyens ont déjà été engagés, que le système sur lequel repose le FAED est ancien et que la mise en conformité nécessite des développements très importants. Il précise en outre que les retards constatés s’expliquent par les nombreuses injonctions de mise en conformité auxquelles le FAED a dû répondre, notamment européennes.

73. Le ministère de l’intérieur estime également que la publicité ne se justifie pas, celle-ci n’ayant pas d’effet plus grand qu’un simple rappel à l’ordre. Les modifications à apporter ayant été pleinement mesurées à la notification du rapport de sanction, le ministère en conclut que la bonne foi dont il fait preuve et les chantiers déjà engagés suffisent à assurer la mise en conformité annoncée. Il appelle enfin la formation restreinte à poursuivre le travail d’accompagnement commencé avec les contrôles réalisés.

74. La formation restreinte considère que les manquements précités justifient que soit prononcé un rappel à l’ordre à l’encontre du ministère de l’intérieur pour les motifs suivants.

75. La formation restreinte relève la sensibilité particulière des données traitées dans le FAED, qui comprennent à la fois des données biométriques et des données d’infraction. Elle considère que la combinaison de ces deux types de données sensibles aurait dû amener le ministère de l’intérieur à une vigilance toute particulière sur ce fichier.

76. La formation restreinte relève également qu’un très grand nombre de personnes sont concernées par ce fichier, le ministère de l’intérieur lui-même évoquant, dans ses opérations de mise en conformité, la suppression de plus de trois millions de fiches "signalisation" concernant près de 800 000 personnes. La formation restreinte relève que les contrôles ont permis de constater que plus de deux millions de fiches étaient illicitement conservées dans le FAED. La formation restreinte constate aussi que certains manquements ont visé l’intégralité des personnes dont les données sont traitées ou ont été traitées dans le FAED, comme le défaut d’information.

77. Elle note aussi que ce traitement concerne des mineurs, pour lesquels une attention particulière doit être portée, par le responsable de traitement, au respect de l’ensemble de leurs droits.

78. Enfin, la formation restreinte rappelle que le ministère de l’intérieur était conscient de certains des manquements relevés par le rapport de sanction, et qu’il n’a pourtant pas engagé les moyens nécessaires à une mise en conformité à la législation à la protection des données à caractère personnel. Ainsi, s’agissant par exemple des durées de conservation des données, la formation restreinte relève que le ministère de l’intérieur appliquait, au jour des contrôles en 2019, des durées de conservation antérieures à celles définies par la réforme de 2015. S’agissant de la sécurité des données et du renforcement de l’authentification au portail CHEOPS par la carte-agent, la formation restreinte relève que la CNIL avait déjà alerté le ministère de l’intérieur sur cette vulnérabilité par le passé, et que le ministère avait affirmé dès 2014 que l’utilisation de la carte-agent allait être imposée à l’ensemble des utilisateurs du fichier.

79. Si la formation restreinte est consciente des contraintes, notamment budgétaires, pesant sur le ministère de l’intérieur, elle estime néanmoins que ce dernier n’a pas engagé les moyens nécessaires à sa mise en conformité, malgré des manquements identifiés comme tels.

80. La formation restreinte estime que les éléments précités rendent également nécessaire qu’une injonction soit prononcée. Elle relève sur ce point que le ministère de l’intérieur a annoncé de nombreuses modifications du FAED, en cours de réalisation ou déjà achevées, mais que ces affirmations sont insuffisamment étayées, faute de pièces justificatives. La formation restreinte relève également que, pour certains des manquements relevés, la mise en conformité avait déjà été annoncée depuis plusieurs années par le ministère de l’intérieur. Or, les contrôles effectués dans le cadre de la présente procédure ont permis de constater que les modifications annoncées n’avaient pas été réalisées.

81. Enfin, et pour les mêmes raisons, la formation restreinte estime nécessaire que sa décision soit rendue publique.

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

- prononcer à l’encontre du ministère de l’intérieur un rappel à l’ordre pour les manquements aux articles 4, 89, 97, 99 et 104 de la loi Informatique et Libertés ;

- prononcer à l’encontre du ministère de l’intérieur une injonction de mettre en conformité les traitements visés avec les obligations résultant de l’article 4, 89, 97, 99 et 104 de la loi Informatique et Libertés, et en particulier :

o s’agissant du manquement relatif à la licéité du traitement :

- ne traiter que les informations visées par l’article 4 du décret no 87-249 et uniquement dans le cadre prévu par ce texte, et notamment veiller à l’effacement des données à caractère personnel contenues dans la rubrique "informations spéciales" et à la destruction du "fichier manuel" , à l’exception des fiches pouvant être conservées à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique ;

o s’agissant du manquement relatif à la durée de conservation des données, ne conserver des données sous une forme permettant l’identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, par exemple en mettant en œuvre un système automatisé permettant l’effacement des données à l’expiration des durées prévues par l’article 5 du décret no 87-249, en veillant en particulier à ce que ces durées de conservations courent à compter de l’établissement de chaque fiche signalétique et effacer les données dont la durée de conservation est atteinte ;

o s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure normalisée et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le FAED, et notamment :

- s’agissant de l’effacement de plein droit, s’assurer que l’ensemble des décisions de relaxe, d’acquittement et de correctionnalisation, même partielles, soient répercutées dans le FAED ;

- s’agissant de l’effacement de principe, s’assurer que l’ensemble des décisions de non-lieu et de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu soient répercutées dans le FAED, sans décision expresse contraire du procureur de la République compétent ;

o s’agissant du manquement relatif à la sécurité des données, mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque :

- en imposant par exemple que l’accès au FAED nécessite une connexion à l’aide de la carte-agent et d’un code PIN ;

- en veillant à ne traiter de données à caractère personnel que dans les conditions sécurisées définies pour la mise en œuvre du fichier central du FAED à l’issue des opérations de signalisation, notamment dans les locaux de signalisation, par exemple en donnant des instructions en ce sens aux services en charge de la collecte des données.

o s’agissant du manquement relatif à l’information des personnes, s’assurer qu’une information conforme aux exigences de l’article 104 de la loi no 78-17 du 6 janvier 1978 est fournie aux personnes concernées ;

- assortir les injonctions d’un délai de mise en conformité expirant le 31 octobre 2021 ; par dérogation, le délai de mise en conformité visant le manquement relatif à la durée de conservation des données du seul "fichier manuel" expirera le 31 décembre 2022 ;

- rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément le ministère de l’intérieur à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.