Délibération n° 2016-167 du 26 mai 2016 portant avis sur un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » (demande d'avis n° 1841262)

JORF n°0252 du 28 octobre 2016
texte n° 93



Délibération n° 2016-167 du 26 mai 2016 portant avis sur un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » (demande d'avis n° 1841262)

NOR: CNIX1629906X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 64 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le I (2°) et le II de son article 26 ;
Vu la loi n° 2011-392 du 14 avril 2011 relative à la garde à vue ;
Vu l'ordonnance n° 45-174 du 2 février 1945 modifiée relative à l'enfance délinquante ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2011-110 du 27 janvier 2011 modifié autorisant la création d'un traitement automatisé de données à caractère personnel dénommé Logiciel de rédaction des procédures de la police nationale (LRPPN) ;
Vu le décret n° 2011-111 du 27 janvier 2011 autorisant la mise en œuvre par le ministère de l'intérieur (direction générale de la gendarmerie nationale) d'un traitement automatisé de données à caractère personnel d'aide à la rédaction des procédures (LRPGN) ;
Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur d'un projet de décret en Conseil d'Etat portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » (iGAV).
Ce traitement, mis en œuvre par le ministre de l'intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale), doit permettre d'informatiser la gestion des mesures de garde à vue, laquelle repose actuellement sur la tenue de registres papier. A ce titre, il s'agit d'un traitement qui doit permettre le suivi de la mesure de contrainte décidée par l'officier de police judiciaire et qui relève des dispositions de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée. Des données sensibles pourront par ailleurs être collectées au sens de l'article 8 de cette même loi. Il y a dès lors lieu de faire application des dispositions de l'article 26-11 de cette même loi, qui soumettent la création de tels traitements à un décret en Conseil d'Etat pris après avis motivé et publié de la commission.
Sur les finalités du traitement :
Aux termes de l'article 1er du projet de décret, le traitement projeté doit permettre, d'une part, d'enregistrer les données nécessaires à la gestion des gardes à vue dans les services de police et les unités de gendarmerie et, d'autre part, d'assurer le suivi et le contrôle du déroulement de chaque mesure de garde à vue.
La loi du 14 avril 2011 susvisée a modifié le régime juridique applicable à la garde à vue et ses conditions de mise en œuvre. L'article 64 du code de procédure pénale (CPP) a notamment été modifié afin de renforcer le contrôle a posteriori, par l'autorité judiciaire, de la mesure de garde à vue. Cet article prévoit en outre que le registre spécial devant être tenu dans tout local de police ou de gendarmerie susceptible de recevoir une personne gardée à vue, qui peut être dématérialisé, doit porter, outre les mentions relatives au déroulement de la mesure de garde à vue, celles qui sont relatives à la réalisation de fouilles intégrales ou d'investigations corporelles internes.
Dans ce contexte, le ministère souhaite améliorer la cohérence et la traçabilité des registres papier actuellement utilisés dans les services de police et de gendarmerie en procédant à leur informatisation.
La commission relève néanmoins que l'ensemble de la procédure n'est pas dématérialisé, dans la mesure où le ministère n'entend pas dématérialiser dans un premier temps la procédure d'émargement du registre par la personne gardée à vue. Pour autant, elle prend acte que l'objectif à terme est bien d'arriver à une dématérialisation complète du registre en ayant recours à la signature numérique prévue par les articles R. 249-9 et suivants du CPP. Elle rappelle que, dès lors que des modifications substantielles seraient apportées au traitement projeté, elle devra nécessairement en être saisie pour avis, conformément aux dispositions de l'article 30-II de la loi du 6 janvier 1978 modifiée.
La mise en œuvre du traitement iGAV doit ainsi permettre une meilleure gestion des registres de garde à vue, en réduisant notamment le risque d'erreurs liées à la transcription manuscrite des registres et en harmonisant les pratiques au sein des locaux de police et de gendarmerie, lesquels utilisent actuellement un ou plusieurs registres papier.
Cette informatisation facilitera par ailleurs la recherche d'informations au sein des registres de garde à vue et permettra aux états-majors des services de police et de gendarmerie d'avoir une meilleure visibilité sur le nombre de gardes à vue.
L'informatisation des registres de garde à vue doit également permettre de renforcer le contrôle de la garde à vue par le procureur de la République en lui permettant, en application des dispositions de l'article 64 du CPP, de vérifier la durée des auditions de la personne gardée à vue et des repos qui les séparent, les heures où elle a pu s'alimenter, le jour et l'heure du placement en garde à vue et de la fin de la mesure.
Si la commission est consciente des avantages que peut apporter le traitement projeté dans la gestion des mesures de garde à vue, elle relève que la centralisation des données relatives à l'ensemble des mesures de garde à vue décidée sur le territoire national, y compris lorsqu'elles ne font l'objet d'aucune suite, est susceptible de comporter certains risques liés à l'utilisation de cette application. Le déploiement du traitement iGAV doit dès lors s'accompagner de garanties suffisantes et appropriées. A cet égard, elle prend acte que ce traitement ne constitue ni un fichier d'antécédents judiciaires ni un fichier de police judiciaire et qu'il n'a pas vocation à être utilisé par les officiers de police judiciaire dans le cadre de leurs enquêtes.
Compte tenu de ce qui précède, la commission considère que les finalités poursuivies par ce traitement sont déterminées, explicites et légitimes, conformément à l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet de décret prévoit que le traitement enregistre des données relatives à la personne placée en garde à vue, aux effectifs de police et de gendarmerie chargés de l'exécution de la mesure de garde à vue, à la mesure de garde à vue et aux droits de la personne placée en garde à vue. Le détail des données collectées au titre de chacune de ces catégories est annexé au projet de décret.
L'article 63-3 du CPP énonce que « Toute personne placée en garde à vue peut, à sa demande, être examinée par un médecin (…) ». Il prévoit également que le certificat médical par lequel il doit notamment se prononcer sur l'aptitude au maintien en garde à vue est versé au dossier. La commission prend dès lors acte que les éléments résultant de l'appréciation du médecin sur l'aptitude de l'individu au placement et au maintien en garde à vue seront enregistrés au titre de la catégorie « avis du médecin sur la compatibilité ou l'incompatibilité de l'état de santé de la personne avec la mesure ».
S'agissant des « éléments connus relatifs à la santé de la personne », la commission relève que les données enregistrées au titre de cette catégorie sont celles qui résultent d'un examen de l'état apparent de la personne ou d'une information fournie par cette dernière ou son entourage, à l'exclusion des données portées à la connaissance des forces de l'ordre par un médecin.
Elle relève ainsi que seules les données relatives à la santé de la personne emportant des conséquences sur le déroulement de la garde à vue ou justifiant la mise en œuvre de mesures particulières pourront être enregistrées dans le traitement iGAV, à l'exclusion de toute autre donnée.
Ainsi, s'agissant par exemple de la collecte du « régime alimentaire spécifique », seules les données relatives aux menus particuliers servis pour des raisons de santé sont enregistrées dans iGAV, à l'exclusion de données « sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée. Elle prend acte des précisions du ministère, selon lequel les données collectées à ce titre ne concernent pas le choix d'un menu adapté aux interdits alimentaires des principales religions pratiquées en France.
La commission estime néanmoins indispensable qu'un contrôle régulier des données collectées au titre de ces différentes catégories soit mis en œuvre afin de s'assurer de l'absence de collecte, dans ce cadre, de données susceptibles de faire apparaître, directement ou indirectement, les origines raciales ou ethniques et les opinions religieuses des personnes gardées à vue, ainsi que de données qui n'emporteraient aucune conséquence sur la mesure de garde à vue. A cet égard, elle prend acte qu'une doctrine d'emploi sera établie afin de fixer les règles d'utilisation du traitement projeté et que des contrôles réguliers des données qu'il contient seront réalisés par les chefs de circonscription et la direction d'application désignée.
Le projet de décret prévoit également l'enregistrement de données relatives aux effets personnels confisqués au début de la garde à vue et restitués à l'issue de celle-ci, ainsi qu'aux mesures de sûreté mises en œuvre à l'égard de la personne en garde à vue, ce qui n'appelle pas d'observation particulière de la commission.
Enfin, le ministère a indiqué que le traitement iGAV, qui repose sur l'utilisation d'une application nationale, doit être interconnecté avec les logiciels de rédaction de procédures de la police et de la gendarmerie nationale (LRPPN 2 et LRPGN), créés par les décrets du 27 janvier 2011 susvisés. Il est ainsi prévu que les données concernant l'identité de la personne, son placement en garde à vue, les éventuelles prolongations et la fin de la mesure soient importées de ces traitements.
Si la commission relève que la mise en œuvre de ces interconnexions est de nature à simplifier la tenue et la gestion des registres de garde à vue, elle observe que les décrets précités relatifs à la mise en œuvre des traitements LRPPN 2 et LRPGN ne permettent pas l'enregistrement des données relatives au placement de la personne en garde à vue, aux prolongations et aux dates de fin de la mesure. La commission prend dès lors acte des précisions du ministère, selon lequel les décrets portant création de ces traitements seront modifiés. Elle rappelle néanmoins que la collecte de ces données, par la mise en œuvre d'interconnexions avec les traitements précités, ne peut intervenir en l'absence de telles modifications.
Sous réserve de ces observations, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données :
L'article 4 du projet de décret énonce que les données et informations contenues dans le traitement projeté sont conservées dix ans à compter de leur enregistrement lorsque les personnes sont majeures et cinq ans lorsqu'il s'agit de mineurs.
Le ministère de l'intérieur a indiqué que cette durée de conservation correspond à la durée pendant laquelle le service de police ou de gendarmerie doit conserver les registres papier dans ses propres locaux (durée d'utilité administrative des registres). Il a précisé que la durée ainsi définie tient également compte des délais de prescription de l'action publique fixés par le CPP afin de permettre, dans l'hypothèse où un crime serait commis durant une garde à vue ou dans les locaux de garde à vue, de bénéficier d'éléments de preuve.
A cet égard, la commission rappelle qu'une telle hypothèse ne saurait déterminer la durée de conservation des données enregistrées dans le traitement iGAV, laquelle ne peut être établie qu'au regard des finalités poursuivies par ce dernier. Or, le traitement projeté a pour seules finalités l'enregistrement des données nécessaires à la gestion des gardes à vue et le suivi et le contrôle du déroulement de chaque mesure de garde à vue, ce qui ne justifie pas de retenir des durées de conservation des données, en base active, de cinq et dix ans. Elle relève en outre que, par nature, la durée d'utilité administrative des registres ne saurait être assimilée à la durée d'utilité courante de ces mêmes registres.
La commission estime dès lors indispensable, en application de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée, de déterminer des modalités de conservation distinctes des données figurant dans le traitement iGAV, en différenciant la durée de conservation en base active, qui doit être limitée à la durée strictement nécessaire à la réalisation des finalités poursuivies par ce traitement, de celle applicable aux données stockées en base inactive à des fins probatoires ou de gestion des archives.
Elle rappelle en outre qu'un mécanisme de purge automatique à l'issue des durées ainsi définies doit être mis en œuvre.
Enfin, la commission prend acte que les registres préimprimés actuellement utilisés seront archivés puis détruits conformément aux prescriptions énoncées dans la circulaire du 6 juillet 1998 modifiée relative au tri et à la conservation des documents produits ou reçus par les commissariats de police.
Sur les destinataires des données :
L'article 3 du projet de décret est relatif aux destinataires des données et distingue les personnels pouvant accéder directement aux données collectées (article 3-I) de ceux pouvant en être destinataires (3-II).
A titre général, la commission estime que la mise en œuvre d'une gestion stricte des habilitations des personnels est essentielle au regard des enjeux liés au déploiement d'une telle application centralisée de l'ensemble des mesure de garde à vue sur le territoire national. Il importe en effet que chaque personne, en particulier au niveau local et opérationnel, n'ait accès, conformément aux finalités du traitement, qu'aux seules données qui lui sont nécessaires dans le cadre des gardes à vue au cours desquelles elle est intervenue.
A cet égard, elle relève que l'accès au traitement projeté s'effectue sur la base de critères géographiques, chaque unité de police ou de gendarmerie n'ayant accès qu'aux données relatives aux gardes à vue qu'elle a eu à décider.
Elle prend acte que chaque utilisateur dispose d'habilitations individuelles liées à son profil fonctionnel d'utilisateur, correspondant à son rôle ainsi qu'à ses missions et dans la limite du besoin d'en connaître. Des profils spécifiques sont créés à cet effet :


- les chefs d'unité et les effectifs ayant à intervenir dans la gestion des personnes placées en garde à vue disposent d'un accès au traitement en lecture et en écriture ;
- les personnels des états-majors des directions des services gérant des gardes à vue, les groupes de commandement des échelons territoriaux et les brigades départementales de renseignements et d'investigations judiciaires n'ont accès qu'au traitement en lecture seule et pour les seules données des services placés sous leur autorité.


En ce qui concerne cette dernière catégorie, la commission relève que l'article 3 du projet de décret initial faisait uniquement référence aux « responsables hiérarchiques des agents et militaires » sans viser expressément les personnels des états-majors des directions des services gérant des gardes à vue, les groupes de commandement des échelons territoriaux et les brigades départementales de renseignements et d'investigations judiciaires. La commission relève que, à sa demande, le projet de décret a été précisé afin de faire figurer expressément cette catégorie de personnels au titre des accédants au traitement iGAV.
Seuls les agents et militaires des inspections générales de la police et de la gendarmerie nationales disposent d'un accès à l'ensemble des données du traitement, dans la mesure où leur mission implique de pouvoir bénéficier d'une visibilité renforcée sur l'activité des services dans le cadre de leur mission de contrôle et de pouvoir effectuer les vérifications nécessaires en cas de contestation.
S'agissant des destinataires, il est prévu que les magistrats chargés du contrôle de la mesure, le Contrôleur général des lieux de privation de liberté (CGLPL) et le Défenseur des droits (DDD) puissent être destinataires de tout ou partie des données contenues dans le traitement projeté, ce qui n'appelle pas d'observation particulière au regard des missions qui leur sont confiées.
La commission prend acte que ces derniers se font transmettre, à leur demande, une version imprimée des données contenues dans le traitement ou une copie de la fiche émargée par la personne retenue. Elle rappelle à cet égard que le responsable de traitement est tenu de prendre toutes précautions utiles pour empêcher que des tiers non autorisés aient accès aux données qui y sont enregistrées. C'est pourquoi la commission estime qu'il revient au ministère de s'assurer que cette transmission fait l'objet de mesures de sécurité satisfaisantes. Elle prend ainsi acte que la transmission de ces données aux destinataires énumérés à l'article 3-II du projet de décret s'effectue après identification de ces derniers et sur réquisition écrite.
Au regard de ces éléments, la commission considère que les finalités du traitement projeté justifient que ces destinataires puissent avoir accès aux données qui y sont enregistrées, dans le cadre de leurs missions et habilitations respectives, sous réserve que ces garanties présentent un caractère effectif et fassent l'objet de contrôles réguliers.
Sur les droits des personnes :
La commission prend acte que le ministère n'entend pas faire application des dispositions dérogatoires prévues à l'article 32-V de la loi du 6 janvier 1978 modifiée, dans la mesure où l'absence d'information des personnes n'apparaît pas nécessaire au respect des finalités poursuivies par le traitement projeté. Il a ainsi indiqué qu'une information générale est délivrée par voie d'affichage dans les locaux des unités de police et de gendarmerie concernés. Elle rappelle que l'information ainsi délivrée aux personnes concernées doit être conforme aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée.
Les droits d'accès et de rectification s'exercent de manière indirecte auprès de la commission, selon la procédure prévue à l'article 41 de la loi du 6 janvier 1978 modifiée.
Le droit d'opposition pour motifs légitimes prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au traitement autorisé par le projet de décret.
Au regard de la finalité poursuivie par le traitement projeté, l'ensemble de ces dispositions n'appelle pas d'observation particulière.
Sur les mesures de sécurité :
L'application iGAV est accessible via les portails informatiques « CHEOPS-NG » (portail permettant l'accès à des fichiers de police) pour les services de la police nationale et « WebSSO/PROXIMA » (portail permettant l'accès à des fichiers de gendarmerie) pour les unités de la gendarmerie nationale.
S'agissant en particulier de l'accès au portail CHEOPS-NG, la commission rappelle qu'il revient au ministère de s'assurer que l'accès aux données via ce portail fait l'objet de mesures de sécurité suffisamment robustes. En particulier, les fonctionnaires de la police nationale doivent se connecter en priorité à ce portail avec leur carte agent et la saisie d'un code PIN de quatre caractères et, à défaut, avec un mot de passe suffisamment robuste, conforme aux recommandations de la commission en la matière.
Ce sont les portails qui assurent l'authentification des agents à l'application. La sécurité des postes client (environ 50 000) reste quant à elle de la responsabilité des entités les hébergeant (commissariats de police, etc.). La commission rappelle que les profils de consultation ainsi définis doivent faire l'objet de mesures de contrôle strict.
L'application en production est hébergée au sein de l'infrastructure du ministère qui présente les garanties attendues de sécurité en matière d'accès physique et de disponibilité (sites principal et de secours). Elle est accessible via le réseau privé du ministère (RGT) au moyen du protocole HTTPS, ce qui garantit la confidentialité des échanges.
L'application est réalisée au moyen de briques logicielles libres, ce qui garantit qu'elle puisse être auditée. Des services web sont prévus pour permettre à des applications tierces de se connecter à l'application autant que de besoin.
Une traçabilité des connexions et des accès est prévue, basée sur les portails susmentionnés.
L'article 5 du projet de décret prévoit que les consultations feront l'objet d'un enregistrement comprenant l'identifiant du consultant, la date et l'objet de la consultation et que les informations relatives à ces consultations sont conservées trois ans. La commission prend acte que, à sa demande, le projet d'arrêté est modifié afin de prévoir la traçabilité des actions de création, de mise à jour et les éventuelles suppressions des données.
Dans ces conditions, la commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin.


Pour la présidente :

La vice-présidente déléguée,

M.-F. Mazars