DELIBERATION n°2012-246 du 19 juillet 2012

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2012-246 du 19 juillet 2012
Délibération n° 2012-246 du 19 juillet 2012 autorisant la Cour de Cassation à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution de la base de jurisprudence JuriCA
Etat: VIGUEUR

(Demande d’autorisation n°1515171)
La Commission nationale de l’informatique et des libertés ;
Saisie par la Cour de Cassation d’une demande d’autorisation concernant la mise en œuvre d’un traitement de données à caractère personnel ayant pour finalité la constitution d’une base de jurisprudence des décisions des cours d’appel (JuriCA) ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de l’organisation judiciaire ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence ;
Après avoir entendu M. Emmanuel de GIVRY, commissaire, en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
En application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée, la Commission est saisie par la Cour de Cassation d’une demande d’autorisation pour la mise en œuvre de la base de jurisprudence JuriCA.
L’article R. 433-3 du code de l’organisation judiciaire confie au service de documentation et d'études de la Cour de Cassation (ci-après « la Cour ») la tenue de deux bases de jurisprudence, l’une rassemblant « les décisions et avis de la Cour de cassation et des juridictions ou commissions juridictionnelles placées auprès d'elle, publiés ou non publiés aux bulletins mensuels mentionnés à l'article R. 433-4 » et «les décisions présentant un intérêt particulier rendues par les autres juridictions de l'ordre judiciaire » (Jurinet), l’autre rassemblant « l'ensemble des arrêts rendus par les cours d'appel et décisions juridictionnelles prises par les premiers présidents de ces cours ou leurs délégués » (JuriCA).
La base JuriCA, créée en application du décret n°2005-13 du 7 janvier 2005, est alimentée par les cours d’appel via le logiciel WinCiCa (gestion des affaires civiles des cours d’appel). Elle contient principalement des décisions civiles, rendues publiquement ou en chambre du conseil, ainsi que certaines décisions pénales.
La base JuriCA n’est accessible qu’aux personnels du ministère de la justice (magistrats et fonctionnaires des services judiciaires ainsi que toutes les directions et toutes les personnes habilitées du ministère de la justice), via le Réseau Privé Virtuel Justice (RPVJ). Elle constitue un outil de documentation juridique assurant un partage de la jurisprudence entre les magistrats, et sert ainsi les principes de sécurité juridique et d’harmonisation de l’application de la loi.
Sur l’absence d’anonymisation des décisions contenues dans la base JuriCA
La Commission prend acte qu’étant principalement destinés aux magistrats, les arrêts conservés dans cette base de données ne sont pas anonymisés.
La Commission estime que ce dispositif est conforme à sa délibération du 29 novembre 2001 portant recommandation sur la diffusion de données à caractère personnel sur internet par les banques de données de jurisprudence, laquelle rappelait qu’aucune disposition de la loi du 6 janvier 1978 ne prohibe la constitution, sous une forme nominative, de bases de données enregistrant sous forme numérique les décisions prononcées par les juridictions, dès lors que l’accès à ces bases est à usage interne et réservé aux membres et fonctionnaires des juridictions concernées. Toutefois, même si cette base de jurisprudence présente un caractère « fermé », il n’en demeure pas moins que certaines précautions doivent être prises afin de s’assurer que des décisions non anonymisées ne soient pas en possession de personnes non habilitées.
La Commission prend acte qu’en l’espèce, cette absence d’anonmysation des décisions contenues dans la base JuriCA favorise la recherche des précédents et le travail de préparation des dossiers.
Toutefois, la Commission reste attentive à l’ensemble des mesures mises en place afin de garantir la protection des données à caractère personnel apparaissant dans ces décisions de justice, et à l’accès à ces décisions par les seules personnes habilitées.
Sur l’accès aux décisions de la base JuriCA par les abonnés du fonds de concours et les partenaires extérieurs
En application des dispositions de l’article R. 421-10 du code de l’organisation judiciaire, les décisions contenues dans cette base de données sont communiquées aux abonnés du fonds de concours de la Cour de Cassation.
Au regard de l’absence d’anonymisation des décisions livrées aux abonnés du fonds de concours, la Commission considère que l’accès à ces décisions par des personnels n’appartenant pas au ministère de la justice impose des garanties spécifiques, et souligne à cet égard l’importance des mesures mises en place par la Cour afin de garantir l’intégrité des décisions et le strict respect des règles en la matière. D’une part que certaines décisions ne sont pas communiquées aux abonnés. D’autre part, le contrat d’abonnement comprend une disposition rappelant les obligations de l’abonné s’agissant du respect des dispositions de la loi du 6 janvier 1978 modifiée. La Commission souligne que le directeur du SDER peut contrôler ou faire contrôler le respect, par l’abonné, de ces obligations ; elle invite la Cour à faire régulièrement usage de ces pouvoirs de contrôle afin de s’assurer du respect de l’ensemble des obligations qui découlent de ces conventions. Enfin, elle relève qu’en cas d’une diffusion informatique des arrêts, la charge de l’anonymisation pèse alors sur l’abonné : à cet effet, il est renvoyé à la délibération n°01-057, notamment concernant les méthodes d’anonymisation. La Commission invite la Cour de Cassation à insister sur ce point lors de la conclusion de la convention.
Le service du fonds de concours de la Cour de Cassation délivre en effet les arrêts contenus dans cette base, via une interface par mot de passe sur le site internet de la Cour de Cassation, non anonymisés et sous réserve de la conclusion d’une convention entre l’abonné et la Cour. La Commission note que la Cour exerce un contrôle préalable sur les décisions qui seront livrées, afin de s’assurer de la compatibilité des activités de l’abonné avec les décisions communiquées.
La Commission constate que si rien n’interdit la conclusion de ce type de contrat avec les particuliers, elle observe que la pratique de la Cour consiste à privilégier la conclusion de conventions avec les professionnels du droit.
Par ailleurs, des décisions extraites de la base JuriCA peuvent être mises à la disposition d’universités et des laboratoires de recherche, via des conventions de partenariats qui ont pour objet la réalisation d’études juridiques ou statistiques. Sont ainsi livrées des décisions non anonymisées, au format PDF et sous la forme d’un CD, d’un DVD ou d’un disque dur externe selon le volume des décisions sélectionnées. Toutefois, la Commission relève que cela n’emporte pas la mise à disposition de l’ensemble de cette base, mais uniquement les décisions correspondant à l’objet de la recherche. En outre, elle observe que le bénéficiaire est soumis à diverses obligations tenant à l’utilisation des décisions pour la seule étude ou recherche pour laquelle elles ont été communiquées, au respect de l’intégrité, du sens et de la portée des décisions, à la mention de la juridiction qui a rendu la décision et la date du prononcé en cas de citation partielle ou intégrale d’une décision, au respect des dispositions de la loi du 6 janvier 1978 modifiée, et à l’obligation de ne pas communiquer, céder, diffuser ou vendre les décisions, etc. De la même manière que pour les abonnés du fonds de concours, la Commission relève que le directeur du SDER est habilité à contrôler le respect, par le bénéficiaire, de des obligations que lui impose la convention.
Sur les droits des personnes
S’agissant du droit d’information, la Cour fait application des dispositions de l’article 32-III de la loi du 6 janvier 1978 modifiée, qui dispose qu’en cas de collecte indirecte des données, le droit d’information ne s’applique pas lorsque l’information se révèle impossible ou exige des efforts disproportionnés par rapport à l’intérêt de la démarche. En outre, la Commission se félicite que la Cour envisage d’insérer dans la charte du justiciable, disponible sur son site internet, un paragraphe destiné à mieux informer les justiciables sur cette base de jurisprudence ainsi que les modalités de l’exercice du droit d’accès.
S’agissant du droit d’opposition, la Commission note qu’il n’est pas applicable au traitement projeté, la mise en œuvre de ce dernier répondant aux exigences du code de l’organisation judiciaire.
Enfin, concernant les droits d’accès et de rectification, la Commission observe qu’ils s’exercent directement auprès du correspondant informatique et libertés de la Cour de Cassation, dans les limites tenant à l’autorité de la chose jugée.
Sur les sécurités prévues
La Commission note que le responsable de traitement met en œuvre un ensemble de mesures pour traiter les risques qui pèsent sur la vie privée des personnes concernées

  • certaines de ces mesures sont destinées à protéger les données à caractère personnel figurant dans les décisions (anonymisation des décisions publiées sur Internet, absence de transmission de certaines décisions aux abonnés) ;
  • d’autres mesures visent à réduire les impacts potentiels. Ainsi, des sauvegardes sont réalisées de manière quotidienne sur disques et bandes non chiffrés (accès aux serveurs contrôlé). Des tests de non régression sont prévus. S’agissant de la traçabilité, les pages web consultées, ainsi que les actions relatives à la création et à la modification de données, sont journalisées. Cette traçabilité est uniquement destinée à des fins statistiques ; la Commission recommande d’exploiter ces traces afin de détecter tout usage anormal.
  • d’autres mesures ont pour objet de limiter les sources de risques (gestion des droits d’accès dans un annuaire, suppression des droits lorsqu’un utilisateur quitte le site, génération aléatoire des mots de passe et fourniture en main propre, accès à JuriCA contrôlé physiquement et logiquement, règles de confidentialité dans les conventions avec les abonnés du fonds de concours, antivirus) ;
  • enfin, des mesures agissent sur les supports à protéger (traitement compartimenté, échanges utilisant le protocole FTP (non chiffré), mais recours au protocole SFTP-SSH (chiffré) prévu à court terme, environnements et personnels de développement et de production distincts, données effacées des supports destinés au rebus, destruction des matériels et supports mis au rebus, configurations redondées).

L’ensemble de ces garanties techniques sont satisfaisantes au regard de la loi du 6 janvier 1978.
Dans ces conditions, la Commission autorise la Cour de Cassation à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la constitution de la base de jurisprudence JuriCA.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 24 août 2012