Délibération n° 2017-066 du 16 mars 2017 portant avis sur un projet de décret portant création d'un traitement de données à caractère personnel relatif à la mise en mouvement et à l'exercice de l'action publique, dénommé « LMP »

JORF n°0175 du 28 juillet 2017
texte n° 100



Délibération n° 2017-066 du 16 mars 2017 portant avis sur un projet de décret portant création d'un traitement de données à caractère personnel relatif à la mise en mouvement et à l'exercice de l'action publique, dénommé « LMP »

NOR: CNIX1720464X
ELI: Non disponible


(Demande d'avis n° AV 16018300)


La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret portant création d'un traitement de données à caractère personnel relatif à la mise en mouvement et à l'exercice de l'action publique, dénommé « LMP » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 31 et 39 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment le 2° du I et le II de l'article 26 ;
Vu la loi n° 2017-242 du 27 février 2017 portant réforme de la prescription en matière pénale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la circulaire du 23 décembre 2015 relative au traitement en temps réel et organisation des parquets ;
Vu la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe ;
Après avoir entendu Mme Sylvie ROBERT, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel relatif à la mise en mouvement et à l'exercice de l'action publique.
Le traitement projeté, dénommé « Logiciels Métier du Parquet » (LMP) et mis en œuvre au sein des parquets des tribunaux de grande instance (TGI), a vocation à constituer un outil de partage d'informations et d'aide à la décision dans la mise en mouvement et l'exercice de l'action publique par les parquets.
Il a ainsi pour objet la recherche, la constatation et la poursuite des infractions pénales et peut en outre comporter des données relevant de l'article 8 de la loi du 6 janvier 1978. Dès lors, le traitement projeté doit être autorisé par décret en Conseil d'Etat pris après avis motivé et publié de la commission, conformément aux dispositions du II de l'article 26 de la loi du 6 janvier 1978 modifiée.
A titre liminaire, la commission relève que le déploiement de ce traitement a déjà débuté dans certaines juridictions à des fins expérimentales. Elle prend acte qu'un bilan de ces premières mises en œuvre sera dressé et qu'il lui sera communiqué. Au regard de sa position sur les durées de conservation prévues par le présent projet de décret, la commission estime en outre que ce bilan devrait, notamment, aborder cette problématique.
Sur la finalité du traitement :
Les magistrats du parquet, dans la limite de leur arrondissement judiciaire, mettent en œuvre et exercent l'action publique, dirigent la police judiciaire et encadrent les services d'enquête. Ainsi, les enquêtes de flagrance et les enquêtes préliminaires sont menées sous le contrôle du procureur de la République, dans les conditions fixées par le code de procédure pénale (CPP).
Dans ce cadre, les parquets ont notamment accès au traitement dénommé Cassiopée, dont les modalités de mise en œuvre sont prévues aux articles 48-1 et R. 15-33-66-4 à R. 15-33-66-13. Toutefois, le ministère a précisé que les informations enregistrées dans ce traitement portent sur les actes de procédure et non sur leur contenu. Dès lors, pour l'exercice des prérogatives précitées, il a souhaité doter les parquets d'outils informatiques dédiés de partage d'informations et d'aide à la décision.
Le traitement projeté est composé de deux modules qui ont respectivement pour finalité, en application de l'article 1er du projet de décret, la retranscription des échanges entre les magistrats du parquet et les services d'enquête et le suivi calendaire des enquêtes pénales par les magistrats du parquet.
Le premier module, dénommé « Veille Informatisée de Gestion des Infractions et des Evènements » (ci-après VIGIE), est destiné à la permanence des parquets, quelle qu'en soit l'organisation (section spécialisée dite « traitement temps réel » (TTR), contentieux déterminé, etc.). Ces permanences visent à apporter une réponse pénale dans les meilleurs délais aux enquêteurs qui sollicitent le parquet, le plus souvent pour des procédures caractérisées par l'urgence ou la gravité des faits. Ces échanges se font principalement par voie téléphonique et, dans une moindre mesure, électronique. Le module VIGIE a pour objet de retranscrire ces échanges avec les services d'enquête, à partir de modèles.
Les magistrats du parquet disposeront ainsi de comptes-rendus uniformisés, comportant les informations nécessaires à la mise en mouvement et à l'exercice de l'action publique, accessibles, en application du principe d'indivisibilité du parquet, à l'ensemble des membres du parquet d'un même TGI.
Le second module « Bureau Informatisé des Enquêtes » (BIE) a été conçu pour le suivi des enquêtes préliminaires relevant des bureaux des enquêtes, le ministère ayant précisé qu'il pourra toutefois être utilisé de manière plus générale par l'ensemble des services du parquet ayant besoin d'effectuer un suivi calendaires de ces enquêtes.
Ce mode d'investigation est très largement utilisé, pour des enquêtes de plus en plus complexes et qui nécessitent des investigations longues à réaliser. Les pouvoirs des enquêteurs dans ce type d'enquête sont en effet régulièrement étendus, rendant ce type d'investigations particulièrement efficaces.
Or, le CPP prévoit, d'une part, qu'un délai est fixé par le procureur de la République pour les enquêtes préliminaires qu'il ordonne et d'autre part, que les enquêteurs lui rendent compte des enquêtes menées d'office commencées depuis plus de six mois.
En outre, plusieurs mesures ne peuvent être mises en œuvre que pendant une certaine durée, fixée par le CPP (infiltration, interceptions de communication, etc.).
Il convient dès lors d'assurer un suivi calendaire effectif de ce type d'enquêtes par les parquets, dans le cadre de leurs prérogatives en matière d'enquêtes préliminaires et conformément aux instructions qui figurent dans la circulaire du 23 décembre 2015 susvisée. Ce module doit dès lors permettre au procureur de la République de suivre plus précisément certaines enquêtes, par l'intermédiaire d'une fonctionnalité de suivi calendaire, en fonction des priorités de politique pénale qu'il a définies.
Ce module BIE doit enfin permettre de générer des statistiques.
La commission prend acte que les deux modules sont indépendants, en ce sens que les parquets peuvent en utiliser un seul ou les deux, et étanches. Toutefois, il sera possible d'importer dans le module BIE des comptes-rendus enregistrés dans VIGIE, en fonction des priorités de politique pénales définies par le procureur de la République et de l'appréciation des magistrats du parquet.
Au regard de ces éléments, la commission considère que les finalités assignées aux modules sont déterminées, explicites et légitimes, conformément aux dispositions de l'article 6-2° de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées et la nature des données traitées :
Les articles 2 et 3 du projet du décret précisent les personnes concernées et listent les données collectées, en fonction du module concerné.
Des données relatives aux personnes mises en cause ou « liées au faits signalés » et aux personnes référentes du dossier pourront être enregistrées dans le traitement projeté. Les personnes liées aux faits signalés sont les témoins, les victimes, les proches de la personne mise en cause ou de la victime. Les personnes référentes sont les enquêteurs et les magistrats du parquet.
La commission prend acte que si les données relatives aux avocats ne feront pas l'objet d'un champ spécifique, de telles données pourront néanmoins être enregistrées dans les champs libres. Elle estime dès lors que les avocats devraient être mentionnés au titre des personnes concernées par le traitement.
Le projet de décret liste, pour chaque catégorie de personnes concernées, les données traitées. La commission relève que de nombreuses données pourront être collectées concernant les personnes mises en cause ou « liées au faits signalés » et rappelle que l'ensemble des données listées ne devront pas être systématiquement collectées, seules les données nécessaires à la mise en mouvement et à l'exercice de l'action publique devant être, conformément aux finalités assignées au traitement LMP, enregistrées dans le traitement.
Des données relatives aux faits signalés au parquet (circonstances, service d'enquêteur appelant et service d'enquête saisi), aux infractions et à l'enquête (service du parquet saisi, qualification de l'infraction, orientation décidée par le parquet) et aux condamnations ou mesures de sûreté (antécédents, mesure de garde à vue) pourront être enregistrées dans le traitement, ce qui n'appelle pas d'observation particulière de la part de la commission.
L'article 2 du projet de décret prévoit que des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée pourront être collectées « dans la stricte mesure où ces données résultent de la nature ou des circonstances des faits signalés ». De telles données pourront être enregistrées en raison des faits signalés au parquet par les enquêteurs ainsi que lors de la qualification des faits par le parquet, mais également dans le cadre du signalement des personnes concernées.
Aussi, si elle prend acte de l'engagement du ministère de la justice de remplacer, à l'article 3 du projet de décret, le terme « signalement » par « signes physiques particuliers, objectifs et permanents », elle estime que l'article 2 dudit projet, relatif aux données relevant de l'article 8 de la loi du 6 janvier 1978, devrait également être modifié afin d'indiquer que de telles données pourront être enregistrées lorsqu'elles résultent des éléments de signalement des personnes concernées.
Les autres catégories de données à caractère personnel, et notamment les données spécifiques au module BIE concernant le suivi calendaire des actes réalisés au cours des enquêtes préliminaires concernées, n'appellent pas d'observation particulière de la part de la commission.
Sous réserve des précédentes observations, la commission estime que les données collectées sont pertinentes et non excessives au regard des finalités assignées au traitement projeté.
Sur la durée de conservation des données :
L'article 4 du projet de décret fixe les durées de conservation des données en fonction du module dans lequel elles sont enregistrées.
Ainsi, les données enregistrées dans le module VIGIE sont conservées un an à compter de la retranscription des échanges entre les magistrats du parquet et les services d'enquête.
Le ministère a indiqué que le traitement LMP et le traitement Cassiopée n'étant pas interconnectés, un effacement automatique des données une fois qu'elles sont enregistrées dans Cassiopée n'est pas envisageable.
La commission estime toutefois que, en application des dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée, les données ne devraient être conservées que jusqu'à la décision du procureur intervenue sur l'action publique puis être versées, si cela était jugé nécessaire par le ministère de la justice, dans une base d'archive intermédiaire.
Le projet de décret prévoit en outre que les données conservées dans le module BIE seront conservées cinq ans à compter de l'enregistrement relatif au dernier acte d'enquête. Le ministère a précisé avoir appliqué à la durée de conservation des données les principes de la prescription de l'action publique.
En application des dispositions des articles 7, 8 et 9 CPP, la prescription de l'action publique est interrompue par tout acte d'instruction ou de poursuite, c'est-à-dire par tout acte tendant à la mise en mouvement de l'action publique par le parquet, ainsi que tout acte d'investigation et de constatation des infractions accompli au cours de l'enquête préliminaire ou de flagrante par des officiers ou agents de police judiciaire compétents.
La commission relève que le point de départ de la durée de conservation des données enregistrées dans le module BIE est glissant et similaire à celui de la prescription de l'action publique, puisqu'il s'agit de l'enregistrement relatif au dernier acte d'enquête. En revanche, elle relève que ce délai de cinq ans ne correspond à aucune des durées de prescription de l'action publique prévues par le CPP, lesquelles ont en outre été allongées par la loi susvisée du 27 février 2017.
Par ailleurs, la commission estime que les principes applicables à l'action publique ne doivent pas définir la durée de conservation des données enregistrées dans le traitement projeté. C'est en effet au regard de la finalité de « suivi calendaire des enquêtes pénales par les magistrats du parquet » que doit être définie la durée de conservation. Or, les éléments fournis par le ministère de la justice ne permettent pas d'établir la nécessité de conserver les données relatives aux actes d'enquêtes (nom de l'acte et date de sa réalisation) pendant cinq ans à compter du dernier acte d'enquête, d'autant plus que l'enquête a pu, entre-temps, être clôturée.
Aussi, la commission estime que la durée de conservation ainsi définie n'est pas conforme aux dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
Les articles 5 et 6 du projet de décret listent les destinataires, en distinguant les personnels habilités à accéder directement aux données enregistrées dans le traitement projeté de ceux habilités à recevoir communication de ces données.
S'agissant des premiers, il s'agit des magistrats du parquet près les tribunaux de grande instance et des agents du greffe et des personnels habilités à les assister. Conformément au principe d'indivisibilité du parquet, l'ensemble des magistrats du ministère public près leur juridiction d'affectation pourra avoir accès aux données enregistrées dans le traitement projeté.
Si cet accès des parquets est légitime au regard des finalités assignées au traitement, la commission estime en revanche que LMP ne devrait pas pouvoir être consulté à des fins de recherche d'antécédents. Les recherches sur des enquêtes antérieures ne devraient porter que sur la retranscription des échanges ou le suivi calendaire d'une enquête, et en aucun cas intervenir afin de rechercher les éventuelles procédures passées et les suites données concernant une personne déterminée ou ses proches.
Les personnels habilités à recevoir communication des données, sans accès direct au traitement, sont les services d'enquête, c'est-à-dire les services de la police et de la gendarmerie nationales et de la douane judiciaire, ainsi que les procureurs généraux auprès des cours d'appel.
La transmission d'information aux services d'enquête s'inscrit précisément dans le cadre des finalités assignées au traitement projeté, de sorte que cela n'appelle pas d'observation particulière de la part de la commission.
Enfin, en application des dispositions du CPP, le procureur général près la cour d'appel anime et coordonne l'action des procureurs de la République et précise et adapte les instructions générales du ministre de la justice au contexte propre au ressort. Il a en outre autorité sur tous les officiers du ministère public du ressort de la cour d'appel et peut déclencher et faire exercer l'action publique ou être tenu informé de l'activité judiciaire. La commission estime dès lors que les procureurs généraux ont un intérêt légitime, au regard des finalités du traitement, à connaître des données enregistrées dans ce dernier.
Sur les droits des personnes :
En application de l'article 32-VI de la loi du 6 janvier 1978 modifiée, le droit d'information ne s'applique pas au traitement projeté. La commission relève toutefois qu'une information générale sera délivrée, par voie d'affichage, aux personnels habilités à accéder directement aux données enregistrées dans les deux modules. En outre, une information générale figure dans les juridictions concernant la mise en œuvre, par le ministère de la justice, de traitements de données à caractère personnel.
Il est prévu par le projet de décret que le droit d'opposition ne s'applique pas au traitement projeté, et que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent de manière directe auprès du procureur de la République près le tribunal de grande instance concerné, ce qui n'appelle pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
Les échanges de données entre les magistrats des parquets et les services enquêteurs sont réalisés en dehors des deux modules du traitement LMP : ces échanges d'information interviendront en effet par l'intermédiaire d'une plateforme d'échanges de fichiers dénommée PLINE, qui a fait l'objet d'une déclaration à la commission.
La commission relève que la connexion entre le traitement LMP et la plateforme s'effectue conformément à l'obligation de sécurité prévue à l'article 34 de la loi du 6 janvier 1978 modifiée. L'accès à cette plateforme est en effet sécurisé au moyen du protocole TLS. Concernant le recours à ce protocole, la commission rappelle qu'elle recommande d'utiliser la version la plus à jour possible et des algorithmes conformes à l'annexe B1 du Référentiel général de sécurité (RGS).
La commission recommande toutefois de mettre en œuvre les recommandations techniques décrites par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) dans sa note technique « recommandations pour la sécurisation des sites web ».
Le serveur mail n'est utilisé que pour de la maintenance et aucun mail ne comportera de données métier.
Des profils d'habilitation sont prévus afin de gérer les accès aux données. Les magistrats auront par conséquent chacun un compte afin d'accéder au traitement mais, en raison du principe de l'indivisibilité du parquet, les données enregistrées dans traitement projeté seront accessibles à tous les membres d'un même parquet. La commission rappelle la nécessité de supprimer les autorisations d'accès pour tout utilisateur n'étant plus habilité et d'effectuer régulièrement une revue globale des habilitations.
Concernant l'authentification des utilisateurs, celle-ci est effectuée via un identifiant et un mot de passe conforme à la politique de sécurité des systèmes d'information (PSSI) du ministère de la justice. Cette dernière exige des mots de passe d'au moins huit caractères, comprenant des majuscules, minuscules, chiffres et caractères spéciaux ainsi qu'un renouvellement régulier.
A cet égard, la commission a élaboré, dans sa délibération n° 2017-012 du 19 janvier 2017, plusieurs recommandations relatives aux mots de passe et invite le ministère de la justice à en prendre connaissance et à procéder aux éventuelles modifications nécessaires afin de maintenir sa politique des mots de passe en conformité avec les recommandations de la commission.
La commission prend acte que les mots de passe ne sont pas stockés en clair et qu'une mise à jour des algorithmes utilisés pour prendre en compte l'évolution de l'état de l'art est en cours. Pour rappel, elle recommande d'utiliser une fonction de hachage à clé secrète ou d'ajouter un « sel » avant de hacher les mots de passe.
Une journalisation des opérations de consultation, création, modification et suppression du traitement est réalisée, l'article 9 du projet de décret prévoyant que les traces seront conservées trois ans. Une analyse des traces est effectuée. La commission recommande à cet égard que ce contrôle des traces soit fait de manière automatique, afin de détecter les comportements anormaux et lever des alertes.
La commission recommande en outre qu'un contrôle d'intégrité soit opéré sur l'ensemble des données stockées, notamment au moyen de fonctions de hachage.
Pour limiter le risque d'indisponibilité des données ou du système, qui pourrait avoir des conséquences sur le déroulement des enquêtes, des sauvegardes quotidiennes sont réalisées et stockées dans un endroit différent du site de production. La commission recommande que celles-ci soient testées régulièrement afin de vérifier leur bon fonctionnement.
La commission relève qu'aucune interconnexion du traitement LMP avec d'autres traitements n'est mise en œuvre, notamment avec le traitement Cassiopée dont les modalités de mise en œuvre sont prévues aux articles 48-1 et R. 15-33-66-4 à R. 15-33-66-13 du CPP.
Enfin, elle estime que le ministère de la justice devrait mener une étude de faisabilité sur le plan technique et financier du chiffrement des bases de données et que, dans tous les cas, des mesures de chiffrement des sauvegardes devraient être mises en œuvre.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.


Pour la présidente :

Le vice-président délégué,

M.-F. Mazars