Délibération n° 2009-684 du 3 décembre 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de traitements automatisés de données à caractère personnel relatifs à l'identification des personnes écrouées dans les établissements pénitentiaires, dénommés « BIOAP »

JORF n°0131 du 9 juin 2010 page
texte n° 80


DELIBERATION
Délibération n° 2009-684 du 3 décembre 2009 portant avis sur un projet de décret en Conseil d'Etat portant création de traitements automatisés de données à caractère personnel relatifs à l'identification des personnes écrouées dans les établissements pénitentiaires, dénommés « BIOAP »

NOR: CNIX1014488X
ELI: Non disponible



(Saisine n° 09018389)


La Commission nationale de l'informatique et des libertés,
Saisie pour avis, le 20 juillet 2009, par le ministère de la justice d'un dossier de formalités préalables relatif à la mise en œuvre de traitements automatisés de données à caractère personnel relatifs à l'identification des personnes écrouées dans les établissements pénitentiaires, dénommés « BIOAP », et d'une demande d'avis portant sur un projet de décret en Conseil d'Etat s'y rapportant ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé de données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 724 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 27-I-(2°) ;
Vu la loi n° 87-432 du 22 juin 1987, relative au service public pénitentiaire ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;
Après avoir entendu Mme Claire Daval, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Aux termes de l'article 724 du code de procédure pénale, « les établissements pénitentiaires reçoivent les personnes en détention provisoire ou condamnées à une peine privative de liberté ». Dans ce cadre et conformément aux dispositions de la loi du 22 juin 1987, l'administration pénitentiaire assure la surveillance et le maintien en détention des personnes qui lui sont confiées par l'autorité judiciaire. A ce titre, la lutte contre les évasions constitue l'une des priorités de l'administration pénitentiaire et la mise en œuvre des traitements visés par le projet de décret en Conseil d'Etat soumis pour avis à l'examen de la commission vise à mieux prévenir ce type d'événement. Plus précisément, selon la direction de l'administration pénitentiaire, ces traitements doivent être des outils permettant de lutter contre d'éventuelles tentatives d'évasion par substitution, à l'occasion de visites aux parloirs ou de déplacements qui impliquent un contact avec l'extérieur.
Le projet BIOAP vise donc à permettre la mise en œuvre par l'ensemble des établissements pénitentiaires de traitements de données à caractère personnel relatifs à l'identification des personnes écrouées, comportant des dispositifs de reconnaissance biométrique fondés sur l'authentification de la géométrie de la main.
Sur les finalités :
Conformément aux dispositions de l'article 1er du projet de décret, les traitements de données à caractère personnel considérés auront pour finalités d'établir la carte d'identité des personnes écrouées, de procéder à leur identification et de lutter contre les tentatives d'évasion par substitution.
La commission considère que les finalités énoncées ci-dessus, déterminées et explicites, sont légitimes au regard des missions confiées à l'administration pénitentiaire et aux risques auxquels cette dernière doit faire face.
Sur les données traitées :
Conformément aux dispositions de l'article 2 du projet de décret, les catégories de données à caractère personnel relatives aux personnes écrouées qui pourront être enregistrées dans les traitements mis en œuvre au sein des établissements pénitentiaires seraient les suivantes :
― nom de famille, nom d'usage, alias et prénoms ;
― numéro d'écrou ;
― photographie d'identité numérisée ;
― gabarit du contour de la main ;
― suivi des contrôles d'identification.
La commission estime que les catégories de données à caractère personnel considérées sont adéquates et pertinentes au regard des finalités du traitement. Par ailleurs, elle prend acte de ce que les traitements visés par le projet de décret ne comporteront pas de dispositifs de reconnaissance faciale à partir de la photographie numérisée des personnes écrouées.
Sur les durées de conservation :
Comme indiqué aux termes de l'article 3 du projet de décret, les données à caractère personnel seront conservées jusqu'à la levée de l'écrou faisant suite à la libération ou au transfèrement définitif des personnes écrouées, à l'exception des enregistrements des contrôles d'identification qui seront conservés un mois à compter de leur survenance.
La commission considère que la conservation des données à caractère personnel relatives aux personnes écrouées jusqu'à la levée d'écrou faisant suite à la libération ou au transfèrement définitif de ces dernières est justifiée au regard des finalités des traitements visés par le projet de décret.
Sur les destinataires :
Conformément aux dispositions de l'article 4 du projet de décret, auront directement accès aux données des traitements, pour les besoins exclusifs des missions qui leur sont confiées, à l'exception de la donnée biométrique :
― les agents de l'administration pénitentiaire, individuellement désignés et dûment habilités par les chefs des établissements où sont mis en œuvre BIOAP ;
― les correspondants locaux « informatique » individuellement désignés et dûment habilités par les chefs d'établissement.
Les agents des services centraux et des directions interrégionales de la direction de l'administration pénitentiaire, individuellement désignés et dûment habilités par le directeur de l'administration pénitentiaire, seront également destinataires des données, pour les besoins exclusifs des missions qui leur sont confiées, à l'exception de la donnée biométrique.
La commission prend acte de la liste des destinataires ci-dessus évoquée.
Sur l'architecture du système et les sécurités :
Le système d'identification biométrique est un système d'information local propre à chaque établissement pénitentiaire. En termes d'architecture, il est composé d'un serveur hébergeant la base de données utilisée par les applications installées sur chaque poste où se situe un lecteur biométrique.
La fonctionnalité principale du traitement est l'identification par biométrie palmaire des détenus lors des entrées et sorties de l'établissement, des accès aux parloirs ou encore d'accès à certaines zones particulières (établissements de santé, par exemple).
Lors de la vérification de l'identité de la personne écrouée à une borne de contrôle, celle-ci présente sa carte personnelle encodée du numéro d'écrou. A partir du numéro d'écrou encodé et imprimé sur la carte personnelle, une transmission des données se fait, depuis la base de données installée sur le serveur local vers les bornes de contrôle. Un écran de contrôle permet une première vérification visuelle par un surveillant via l'affichage du nom du détenu, de son prénom, de son numéro d'écrou et, selon le dispositif mis en place, de sa photographie. Un message apparaît sur l'écran de la borne, signalant que le lecteur biométrique est prêt à prendre le gabarit de la main de la personne écrouée.
Une fois ce gabarit saisi, l'application le compare avec celui qui a été enregistré dans la base de données. Si les deux sont identiques, un message de validation de l'identité s'affiche. Dans le cas contraire, le surveillant est alerté d'un problème sur l'identification de la personne écrouée. Après avoir répété la procédure et si celle-ci reste infructueuse, la personne écrouée est conduite au greffe de l'établissement qui a initialement procédé à la prise d'empreinte digitale par encre de l'index gauche prise au moment de l'incarcération et renseignée au registre d'écrou dans le volet identité de la personne écrouée.
Si l'empreinte digitale ne concorde pas, l'usurpation est avérée. Si elle concorde, le greffe procède au nouvel enrôlement de l'empreinte palmaire de la personne écrouée dans le logiciel.
Enfin, pour les personnes ne pouvant pas utiliser le système de biométrie palmaire pour différentes raisons (handicap, maladie...) le contrôle se fait par l'apposition d'un cachet imprégné d'une encre sensible aux rayons ultraviolets.
La commission prend acte de ces précisions.
Sur les droits des personnes :
Conformément à l'article 5 du projet de décret, le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, ne s'applique pas aux traitements considérés.
En revanche, il convient de relever que, conformément au dossier administratif transmis à l'appui de la demande d'avis et aux informations complémentaires obtenues de la part de la direction de l'administration pénitentiaire, les personnes écrouées seront informées, par voie d'affichage, de la nature des traitements mis en œuvre et de leurs droits d'accès et de rectification. Cet affichage se fera dans les locaux des greffes où devrait avoir lieu l'enrôlement.
La commission prend acte de ces précisions. Elle considère néanmoins que les personnes devraient également être informées par voie orale lors de l'enrôlement et que le projet de décret devrait être complété afin de préciser les modalités d'information des personnes écrouées.
Conformément à l'article 6 du projet de décret, les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, s'exerceront auprès du chef de l'établissement pénitentiaire ou du directeur interrégional concerné.
Sur les conditions de mise en œuvre des traitements :
Conformément à l'article 7 du projet de décret, la mise en œuvre des traitements BIOAP par les établissements pénitentiaires du ministère de la justice est subordonnée à l'envoi préalable à la commission, en application du III de l'article 27 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, d'un engagement de conformité au décret considéré. Cet engagement de conformité devra préciser le lieu exact d'implantation du traitement.
Fait à Paris, le 3 décembre 2009.


Pour le président :

Le vice-président délégué,

E. de Givry