Délibération n° 2011-319 du 6 octobre 2011 portant avis sur un projet de décret d'application des articles 230-11, 230-18 et 230-27 du code de procédure pénale (saisine n° AV 11022299)

JORF n°0107 du 6 mai 2012
texte n° 95



Délibération n° 2011-319 du 6 octobre 2011 portant avis sur un projet de décret d'application des articles 230-11, 230-18 et 230-27 du code de procédure pénale (saisine n° AV 11022299)

NOR: CNIX1222788X
ELI: Non disponible


Saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret d'application des articles 230-11, 230-18 et 230-27 du code de procédure pénale,
Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 230-6 à 230-18 et 230-20 à 230-27 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26 et 30 ;
Vu la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure, notamment ses articles 11 et 14 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 modifiée ;
Vu la décision n° 2011-625 DC du 10 mars 2011 du Conseil constitutionnel relative à la loi d'orientation et de programmation pour la performance de la sécurité intérieure ;
Vu la délibération n° 2011-204 du 7 juillet 2011 portant avis sur un projet de décret en Conseil d'Etat relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé « traitement de procédures judiciaires » (TPJ) ;
Après avoir entendu M. Jean-Marie Cotteret, commissaire, en son rapport et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :



La commission a été saisie le août 2011, par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration, d'une demande d'avis concernant un projet de décret d'application des articles 230-11, 230-18 et 230-27 du code de procédure pénale. Ces dispositions, créées par la loi n° 2011-267 du 14 mars 2011 dite « LOPPSI », concernent les fichiers d'antécédents, les fichiers d'analyse sérielle et les logiciels de rapprochement judiciaire.
Ce projet de décret prévoit certaines dispositions communes aux fichiers d'antécédents et aux fichiers d'analyse sérielle en ce qui concerne les conditions de mise en œuvre des droits d'accès et de rectification des personnes aux données enregistrées dans ces fichiers, les conditions d'habilitation des personnels accédant à ces traitements ainsi que les modalités d'exercice de la mission du magistrat dit « référent » créé par l'article 230-9 du code de procédure pénale. Il vise en outre à déterminer les modalités d'autorisation par l'autorité judiciaire du recours aux logiciels de rapprochement judiciaire.
En application des articles précités du code de procédure pénale, ce projet de décret doit être pris après avis de la Commission.
A titre liminaire, la commission rappelle que, selon une jurisprudence constante du Conseil constitutionnel (cf. notamment décision n° 2003-467 DC du 13 mars 2003 relative à la loi pour la sécurité intérieure), l'adoption par le législateur de lois spéciales en matière de fichiers de police n'a pas pour effet, sauf disposition contraire, d'écarter les garanties prévues par la loi du 6 janvier 1978 modifiée. Or elle estime que la publication de l'avis motivé de la Commission sur les textes qui lui sont soumis constitue précisément une de ces garanties.
Elle observe en outre que les dispositions projetées, si elles ne portent pas création de nouveaux traitements de données à caractère personnel, concernent des modalités substantielles de mise en œuvre des fichiers d'antécédents et d'analyse sérielle, ainsi que des logiciels de rapprochement judiciaire. A ce titre, le projet de décret relève selon elle des dispositions combinées des articles 26 et 30 de la loi du 6 janvier 1978 modifiée.
En conséquence, la commission estime que le présent avis devra être publié, et ce dans les conditions prévues par l'article 18 du décret du 20 octobre 2005 modifié. Elle considère que cette publication apparaît d'autant plus nécessaire que le décret en cause conditionne l'exercice des droits des personnes.
Sur le droit d'accès des personnes aux données enregistrées dans les fichiers d'antécédents et les fichiers d'analyse sérielle :
Le projet de décret détermine tout d'abord les conditions d'exercice du droit d'accès des personnes concernées aux données contenues dans les fichiers de police judiciaire définis aux articles 230-6 à 230-11 (fichiers d'antécédents) et 230-12 à 230-18 du code de procédure pénale (fichiers d'analyse sérielle). Le premier projet d'article prévoit ainsi que les personnes dont les données sont enregistrées dans ces deux catégories de fichiers « exercent leur droit d'accès par demande adressée à la Commission nationale de l'informatique et des libertés ».
La commission relève à cet égard que, si l'article 230-18 du code de procédure pénale prévoit expressément un droit d'accès indirect s'agissant des fichiers d'analyse sérielle, les modalités d'exercice de ce droit en ce qui concerne les fichiers d'antécédents sont en revanche déterminées, conformément à l'article 230-11 du même code, par voie réglementaire.
Or elle rappelle que le droit d'accès indirect aux données constitue une dérogation substantielle aux principes établis par la loi du 6 janvier 1978 modifiée en ce qui concerne les droits des personnes concernées. Elle souligne également que seul l'accès aux traitements intéressant la sûreté de l'État, la défense ou la sécurité publique est, par principe, indirect, conformément aux dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée. Ces mêmes dispositions permettent d'ailleurs de prévoir un accès direct aux données enregistrées dans de tels traitements, lorsque la communication des informations qui y sont enregistrées ne met pas en cause leurs finalités.
En ce qui concerne les traitements mis en œuvre aux fins de prévention, recherche et constatation des infractions pénales, comme les fichiers d'antécédents, l'accès indirect aux données qui y sont enregistrées ne constitue qu'une possibilité, et en aucun cas le principe, assortie d'une condition formelle (prévoir ce droit dans l'acte autorisant la mise en œuvre du traitement), conformément à l'article 42 de la loi du 6 janvier 1978 modifiée.
C'est pourquoi la Commission a invité le ministère de l'intérieur, dans son avis relatif au traitement des procédures judiciaires (TPJ), à permettre aux personnes d'exercer leur droit d'accès directement auprès du gestionnaire du fichier concernant les procédures judiciairement closes ou encore lorsque la demande ne porte que sur les données traitées en qualité de victime.
Interrogé sur ce point, le ministère de l'intérieur n'a pas souhaité apporter de précisions complémentaires sur les raisons ayant présidé à son choix. Dans ces conditions, la commission appelle de nouveau l'attention du ministère sur l'opportunité de prévoir un accès direct à certaines données enregistrées dans les fichiers d'antécédents et demande qu'une étude approfondie soit menée sur ce point, à laquelle la commission pourrait être associée.
En tout état de cause, elle prend acte que, à sa demande, le projet d'article en cause sera modifié afin d'introduire un renvoi aux dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée. La commission rappelle en effet que celles-ci contiennent plus de précisions que la seule mention d'une demande d'accès adressée à la CNIL et apportent ainsi plus de garanties aux personnes concernées dans l'exercice de ce droit.
S'agissant des conditions pratiques d'exercice du droit d'accès indirect, prévues par les articles 86 à 89 du décret n° 2005-1309 du 20 octobre 2005 modifié, et en particulier à l'article 87-1 en ce qui concerne les fichiers d'antécédents, la commission formule les observations suivantes :
En premier lieu, elle relève que les dispositions des articles 230-8 et 230-9 du code de procédure pénale sont applicables aux fichiers d'antécédents ainsi qu'aux fichiers d'analyse sérielle, par le renvoi opéré à l'article 230-14 du même code. Dans la mesure où l'exercice du droit de rectification des personnes est ainsi harmonisé pour ces deux catégories de fichiers, la commission estime qu'il serait utile que les modalités d'exercice du droit d'accès à ces mêmes fichiers soient également harmonisées.
Elle observe en deuxième lieu que l'article 230-8 du code de procédure pénale prévoit que « le procureur de la République se prononce sur les suites qu'il convient de donner aux demandes d'effacement ou de rectification dans un délai d'un mois ». Or, dans le cadre des investigations menées par la commission pour le compte des personnes concernées en application des dispositions de l'article 41 de la loi du 6 janvier 1978 modifiée, le procureur, saisi par le responsable du traitement, « dispose d'un délai de trois mois pour se prononcer sur les suites qu'il convient de réserver à la demande » de droit d'accès aux données enregistrées dans les fichiers d'antécédents, aux termes de l'article 87-1 du décret du 20 octobre 2005 modifié.
C'est pourquoi la commission demande au Gouvernement, dans un souci de cohérence entre les modalités d'exercice des droits d'accès et de rectification des personnes concernées, d'envisager d'unifier les délais dont dispose le procureur de la République pour se prononcer sur les suites à réserver à ces demandes. En tout état de cause, le procureur devrait être tenu et mis en mesure de répondre dans un délai raisonnable aux demandes de droit d'accès et de rectification des données enregistrées dans ces fichiers.
Enfin, dans le cas où il serait ainsi envisagé de modifier les dispositions du décret du 20 octobre 2005 modifié, la commission considère qu'il conviendrait de prévoir des modalités particulières d'exercice du droit d'accès indirect pour les victimes dont les données sont enregistrées dans les fichiers d'antécédents et les fichiers d'analyse sérielle, ainsi que pour les témoins dont les données sont enregistrées dans ces derniers. Ainsi, tout comme le prévoit l'article 10 du projet de décret relatif à TPJ pour les victimes, il conviendrait par exemple de modifier les dispositions de l'article 89 dudit décret afin de permettre la communication à ces personnes des données qui les concernent et ne mettent pas en cause les finalités du traitement, la sûreté de l'Etat, la défense ou la sécurité publique, y compris lorsque la procédure n'est pas judiciairement close, après accord du procureur de la République.
Sur l'exercice du droit de rectification des personnes concernées :
Le troisième article contenu dans le projet de décret concerne les conditions d'exercice du droit de rectification des personnes concernées aux données et précise notamment le rôle du procureur de la République. Il reprend largement les dispositions de l'article 230-8 du code de procédure pénale, applicables aux fichiers d'antécédents comme aux fichiers d'analyse sérielle, à l'instar de l'article 9 du projet de décret portant autorisation de TPJ.
La commission observe cependant que ce dernier distingue les modalités de rectification des données inexactes ou incomplètes en fonction de la nature des mises à jour concernées. Ainsi, la personne mise en cause peut « exiger » la mise à jour de la qualification des faits finalement retenue par l'autorité judiciaire, tandis qu'elle peut « demander » la mise à jour des suites judiciaires. Cette distinction se fonde sur les dispositions de l'article 230-8 du code de procédure pénale qui dispose que « la rectification pour requalification judiciaire est de droit », mais prévoit des décisions du procureur de la République en matière de mise à jour des données en cas de décision de relaxe ou d'acquittement devenue définitive, de non-lieu et de classement sans suite motivé par une insuffisance de charges.
Or le projet de décret soumis pour avis à la commission ne reprend pas cette distinction. Il prévoit en effet que toute personne mise en cause peut « demander » la mise à jour du fichier en question, quelle que soit la nature de la mise à jour (requalification ou suites judiciaires favorables). La Commission demande donc que le projet d'article relatif à l'exercice du droit de rectification soit modifié afin de prévoir que les personnes concernées peuvent « exiger » la rectification pour requalification judiciaire et « demander » la rectification pour suites judiciaires, conformément aux dispositions de l'article 230-8 du code de procédure pénale.
Le projet d'article rappelle en outre que les demandes de rectification des personnes mises en cause peuvent être adressées soit directement auprès du procureur de la République soit, par l'intermédiaire de la CNIL, auprès du responsable du traitement concerné. La commission relève que la notion de « personne mise en cause » est ainsi reprise dans les dispositions réglementaires projetées, tout comme dans le projet de décret autorisant TPJ, sans opérer de renvoi à la définition exacte de ces personnes, mentionnée, s'agissant des fichiers d'antécédents, à l'article 230-7 du code de procédure pénale (« personnes [...] à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteur ou complice, à la commission d'une des infractions mentionnées au 1° [de l'article 230-6 du même code] »).
Or elle observe que, en matière de fichiers d'analyse sérielle, cette notion semble non seulement désigner ces personnes, mais également celles mentionnées au 2° de l'article 230-13 du code de procédure pénale (« personnes à l'encontre desquelles il existe des raisons sérieuses de soupçonner qu'elles ont commis ou tenté de commettre une infraction mentionnée au 1° [de l'article 230-12 du même code] »).
Ainsi, l'utilisation de l'expression « personne mise en cause » apparaît non seulement peu précise, comme la commission l'a déjà relevé dans son avis du 7 juillet 2011 relatif à TPJ, mais également ambiguë, en ce qu'elle désigne des personnes différentes en fonction du fichier en cause. La Commission demande dès lors que le projet de décret soit modifié sur ce point, en ajoutant par exemple « au sens du premier alinéa de l'article 230-7 ou du 1° et du 2° de l'article 230-12 du code de procédure pénale » après « toute personne mise en cause ».
En outre, la commission relève que le projet de décret ne précise pas les modalités d'exercice du droit de rectification des autres personnes concernées par les fichiers d'antécédents et d'analyse sérielle, soit les victimes et les témoins au sens du 3° de l'article 230-13 du code de procédure pénale. Certes, les droits d'opposition des victimes enregistrées dans les fichiers d'antécédents ainsi que les possibilités d'effacement des victimes et témoins enregistrés dans les fichiers d'analyse sérielle sont déjà prévus par les dispositions des articles 230-7 et 230-15 du code de procédure pénale. Cependant, la commission estime que les modalités d'exercice du droit de rectification de ces personnes devraient également être précisées dans les dispositions réglementaires projetées.
Enfin, aucune disposition du projet de décret ne précise les conditions de décision du procureur de la République en matière de maintien, dans les traitements concernés, des données des personnes en cas de décision de relaxe ou d'acquittement devenue définitive et en matière d'effacement en cas de décision définitive de non-lieu et de classement sans suite pour insuffisance de charges. Interrogé sur ce point, le ministère a indiqué qu'il n'apparaît pas opportun de prévoir un encadrement réglementaire de ces décisions, qui relèvent du pouvoir d'appréciation du procureur de la République.
Dans la mesure où ces décisions ont un impact immédiat sur la durée de conservation des données enregistrées dans les fichiers d'antécédents et les fichiers d'analyse sérielle et concernent donc directement la protection des données à caractère personnel des individus concernés, la Commission regrette cette absence d'encadrement réglementaire des décisions de maintien des données dans ces fichiers, définissant par exemple les principaux critères dont devrait tenir compte le procureur de la République. Elle demande également que les modalités concrètes de ces décisions lui soient présentées lorsqu'elles auront été déterminées par le Gouvernement.
Sur les modalités d'habilitation :
Le deuxième projet d'article créé par le décret soumis à la commission concerne les modalités d'habilitation des personnels autorisés à accéder aux données personnelles enregistrées dans les fichiers d'antécédents et les fichiers d'analyse sérielle.
Sont ainsi précisées les autorités délivrant les habilitations aux agents des services de la police nationale et aux militaires des unités de la gendarmerie nationale exerçant des missions de police judiciaire, aux agents du service national de la douane judiciaire ainsi qu'aux autres agents de l'Etat investis spécialement par la loi d'attributions de police judiciaire, mentionnés aux articles 22 à 29-1 du code de procédure pénale. La liste de ces autorités n'appelle pas d'observation particulière de la part de la commission.
La commission observe par ailleurs que l'article 230-16 du code de procédure pénale prévoit que les habilitations concernées précisent la nature des données auxquelles elles autorisent l'accès. Elle prend acte que le ministère de l'intérieur fera figurer ces précisions dans les projets d'acte réglementaire portant création de fichiers d'analyse sérielle qui lui seront soumis.
Sur le magistrat référent :
Le quatrième article du projet de décret concerne le magistrat dit « référent », chargé, en application des articles 230-9 et 230-14 du code de procédure pénale, de suivre la mise en œuvre et la mise à jour des fichiers d'antécédents et des fichiers d'analyse sérielle. Cet article précise les missions et prérogatives de ce magistrat, nommé pour trois ans par le ministre de la justice et assisté par un comité composé de trois membres.
La commission rappelle que cette fonction s'inspire à certains égards de mécanismes déjà existants en matière de fichiers de police judiciaire (contrôle des fichiers d'antécédents par les procureurs de la République, contrôle du FAED et du FNAEG par des magistrats référents) ou de fichiers de renseignement (magistrat référent pour les données relatives aux mineurs enregistrées dans PASP). Elle rappelle également que la création de ce magistrat référent et la définition précise de ses missions procèdent d'une réflexion de longue durée menée par le Gouvernement, à laquelle la commission a d'ailleurs pu participer à l'occasion de ses avis sur le projet de LOPPSI et sur le projet de décret modificatif relatif au traitement PASP (magistrat référent pour les données relatives aux mineurs) ou encore dans le cadre de sa participation au groupe de travail sur l'amélioration du contrôle et de l'organisation des bases de données de police.
Dans ces différents avis et contributions, la commission a toujours insisté sur deux messages principaux qu'elle souhaite rappeler de nouveau. Tout d'abord, elle partage et se félicite de la volonté du Gouvernement d'améliorer les conditions d'exercice de contrôle des fichiers de police judiciaire. Dans le même temps, cependant, elle estime que les missions et les prérogatives de ce magistrat référent doivent être clairement articulées avec les compétences dévolues à la CNIL par la loi du 6 janvier 1978 modifiée, en particulier avec ses prérogatives de contrôle définies à l'article 44 de la loi ainsi qu'avec ses compétences en matière de droit d'accès indirect aux données.
A cet égard, la commission relève que le projet de décret ainsi que les précisions apportées par le ministère de l'intérieur détaillent les missions principales du magistrat référent. Ainsi, il est prévu que ce magistrat soit seul compétent pour traiter des mises à jour de données issues de procédures diligentées sur plusieurs ressorts, les procureurs ou les responsables de traitement saisis étant alors tenus de lui adresser les demandes de rectification. Le magistrat référent devra établir un rapport annuel adressé au ministre de la justice et aux autorités gestionnaires des traitements dont il a la charge du contrôle. Le ministère a également précisé que, sur le modèle du magistrat référent du FNAEG, la spécialisation du magistrat référent en matière de fichiers d'antécédents et d'analyse sérielle lui permettra d'exercer des contrôles locaux ou nationaux sur ces traitements, sans préjudice des missions de contrôles effectuées par la Commission, et de mener des études approfondies sur certaines thématiques soulevées par ces fichiers. Le projet de décret, qui rappelle par ailleurs certaines des dispositions de l'article 230-9 du code de procédure pénale, précise enfin qu'il peut ordonner toutes mesures nécessaires à l'exercice de son contrôle, telles que la saisie ou la copie d'informations par exemple.
En outre, la commission souligne que, à sa demande, le projet de décret sera modifié afin de prévoir expressément que les missions du magistrat référent s'exercent sans préjudice des compétences exercées par la CNIL en application des articles 41 et 44 de la loi du 6 janvier 1978 modifiée. Le ministère de l'intérieur a en effet insisté sur ce point et la commission en prend dès lors acte.
Cependant, ces précisions n'apparaissent pas de nature à répondre à toutes les interrogations de la commission s'agissant de l'articulation exacte des missions du magistrat référent avec celles des procureurs de la République d'une part, et de la CNIL d'autre part.
Dès lors, elle souligne la nécessité de mieux préciser le rôle confié au magistrat référent prévu à l'article 230-9 du code de procédure pénale et se tient à la disposition du Gouvernement pour participer à ce travail de définition.
En tout état de cause, dans la mesure où les activités de contrôle et de suivi de la mise à jour des traitements concernés concernent directement la protection des données des personnes concernées par ces fichiers, la commission demande que l'article du projet de décret soit modifié afin de prévoir que le rapport annuel établi par le magistrat référent lui soit également communiqué.
Enfin, elle relève que le ministère de l'intérieur a ajouté au projet de décret, à la suite des demandes de précisions de la commission, un article relatif au magistrat référent prévu à l'article 230-24 du code de procédure pénale, chargé de contrôler la mise en œuvre des logiciels de rapprochement judiciaire. Dans la mesure où les missions de ce dernier sont identiques à celles prévues pour le magistrat référent en matière de fichiers d'antécédents et d'analyse sérielle, la commission estime que les observations relatives à celui-ci, en particulier la nécessité de mieux préciser son rôle et l'articulation de ses missions avec celles de la CNIL, valent également pour le magistrat référent en matière de logiciels de rapprochement judiciaire.
Sur l'autorisation de mise en œuvre des logiciels de rapprochement judiciaire :
Le projet de décret concerne enfin les modalités d'autorisation de mise en œuvre des logiciels de rapprochement judiciaire mentionnés aux articles 230-20 à 230-27 du code de procédure pénale. La commission rappelle que la définition de ces modalités d'autorisation a en effet été rendue nécessaire par la décision du Conseil constitutionnel du 10 mars 2011 relative à la LOPPSI, qui précise notamment que « ces logiciels ne pourront conduire qu'a la mise en œuvre, autorisée par ces autorités judiciaires [le procureur de la République ou la juridiction d'instruction compétente], de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de laits et pour les seuls besoins de ces investigations ».
Le dernier article contenu dans le projet de décret prévoit ainsi que la mise en œuvre de ces logiciels est autorisée par le magistrat saisi de l'enquête ou le magistrat chargé de l'instruction, conformément à la décision précitée du Conseil constitutionnel. Il est en outre prévu que l'autorisation du procureur de la République « peut résulter des instructions générales permanentes qu'il adresse aux services de police judiciaire, en application de l'article 12 du code de procédure pénale, aux fins de mettre en œuvre ces traitements pour les seuls besoins des procédures concernant les infractions dont ils sont saisis ». Enfin, il dispose que le recours à un logiciel de rapprochement judiciaire fait l'objet d'une mention en procédure et que l'exploitation et le rapprochement d'informations ainsi opérés donneront lieu à l'établissement d'un rapport joint à la procédure.
La commission prend acte des engagements du ministère de l'intérieur quant à l'effectivité du contrôle exercé par les autorités judiciaires concernant le recours à des logiciels de rapprochement judiciaire, conformément à la réserve d'interprétation du Conseil constitutionnel. Le ministère a notamment précisé que les instructions générales permanentes données par les procureurs de la République seront nécessairement détaillées s'agissant par exemple des infractions concernées, du niveau de préjudice de la victime ou de la localisation géographique des faits, et régulièrement renouvelées. Il a également indiqué que la mention en procédure du recours à un tel logiciel, l'établissement du rapport présentant les résultats des rapprochements effectués ainsi que la possibilité pour le magistrat compétent d'obtenir la copie informatique des données et informations exploitées, permettront aux magistrats du parquet ou de la juridiction d'instruction d'exercer un contrôle effectif, a priori et a posteriori, de l'utilisation des logiciels de rapprochement judiciaire.


La présidente,

I. Falque-Pierrotin