Délibération SAN-2021-016 du 24 septembre 2021

Délibération de la formation restreinte n°SAN-2021-016 du 24 septembre 2021 concernant le X

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Messieurs Alexandre LINDEN, président, Philippe-Pierre CABOURDIN, vice-président, de Mesdames Anne DEBET et Christine MAUGÜE et de Messieurs Alain DRU et Bertrand du MARAIS, membres ;

Vu la Convention no 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;

Vu la décision no 2019-004C du 20 décembre 2018 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification du traitement YYY mis en œuvre par le service central de la police technique et scientifique au X ;

Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 26 février 2021 ;

Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié au X le 9 avril 2021 ;

Vu les observations écrites versées par X le 25 mai 2021 ;

Vu les observations orales formulées lors de la séance de la formation restreinte, le 1er juillet 2021 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte :

- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;

En qualité de représentants du X :

- […]

En qualité de commissaire du Gouvernement :

- […]

La formation restreinte a entendu, en application de l’article 42 du décret no 2019-536 du 29 mai 2019, […], représentants du Y, direction des affaires criminelles et des grâces (par visioconférence) ;

X ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. Le YYY(ci-après le YYY ) est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales ainsi que les traces d’empreinte relevées sur les scènes de crime ou de délit. Il est géré par X et utilisé par les services de police, de gendarmerie et des douanes, en leur permettant de relier une personne à plusieurs identités ou alias et de relier cette personne aux précédentes procédures dans lesquelles ses empreintes ont été relevées.

2. Conformément aux dispositions de l’article 2 du décret no 87-249 du 8 avril 1987 relatif au YYY géré par X (ci-après le décret no 87-249 ou le décret relatif au YYY ), il est mis en œuvre par le service central de la police technique et scientifique au X .

3. Le YYY contient, d’une part, des signalisations , qui sont des empreintes digitales et palmaires directement relevées sur les personnes concernées et accompagnées de diverses informations relatives à la personne à laquelle elles appartiennent et au contexte de leur collecte (sexe, nom, prénom, date et lieu de naissance, filiation, service ayant procédé à la signalisation, date et lieu de l’établissement de la fiche, nature de l’affaire et référence de la procédure, photographies de la personne) et, d’autre part, des traces (empreintes complètes ou partielles relevées sur le lieu de commission d’une infraction), elles aussi accompagnées de diverses informations relatives à la collecte (lieu et date du relevé, service ayant procédé au relevé, date et lieu de l’établissement de la fiche, nature de l’affaire et référence de la procédure). Chaque empreinte (enregistrée lors d’une opération de signalisation ou relevée sur le lieu de commission d’une infraction) accompagnée des informations complémentaires évoquées constitue une fiche indépendante enregistrée dans le YYY.

4. En décembre 2018, le fichier contenait près de 6,3 millions d’empreintes digitales et palmaires de personnes identifiées en tant que mises en cause pour crimes et/ou délits, ainsi que 240 000 traces non identifiées.

5. La présidente de la Commission a, par la décision no 2019-004C du 20 décembre 2018, initié une procédure de contrôle à l’encontre du X. Cette procédure avait pour objet de vérifier le respect, par X, de l’ensemble des dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le Règlement ou le RGPD ), de la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après la loi du 6 janvier 1978 ou la loi Informatique et Libertés ) et de la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 (ci-après la directive police-justice ) dans la mise en œuvre du YYY par le service central de la police technique et scientifique. Dans le cadre de cette procédure, plusieurs contrôles ont été réalisés, et plus précisément dans les locaux du service central de la police technique et scientifique (ci-après le SCPTS ), qui assure la gestion quotidienne du fichier, au commissariat de Boulogne-Billancourt, où sont collectées des données alimentant le YYY, ainsi qu’au tribunal judiciaire et à la cour d’appel de Paris, dont les décisions ont des implications sur le devenir des données du YYY. Enfin, des questionnaires ont été envoyés aux tribunaux judiciaires d’Angers, de Fort-de-France et de Lons-le-Saunier ainsi qu’à la cour d’appel de Versailles. L’ensemble de ces contrôles ont permis de vérifier les modalités de collecte des données du YYY, leur gestion au quotidien, ainsi que leur devenir après les décisions de justice.

6. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 26 février 2021, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978.

7. À l’issue de son instruction, la rapporteure a, le 9 avril 2021, fait signifier au X un rapport détaillant les manquements à la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. La rapporteure proposait à la formation restreinte de la Commission de prononcer une injonction de mettre en conformité le traitement avec les dispositions des articles 4, 89, 97, 99 et 104 de la loi Informatique et Libertés, ainsi qu’un rappel à l’ordre. Elle proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément le X à l’expiration d’un délai de deux ans à compter de sa publication.

8. Le même jour, X a été informé que ce dossier était inscrit à l’ordre du jour de la séance de la formation restreinte du 1er juillet 2021.

9. Le 25 mai 2021, X a produit des observations.

10. X et la rapporteure ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur la loi applicable

11. L’article 1er de la directive police-justice définit son champ d’application et vise tout traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces .

12. Le premier paragraphe de l’article 87 de la loi Informatique et Libertés, premier article du titre III de la loi, dispose le présent titre s'applique, sans préjudice du titre Ier, aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente .

13. Ce titre III s’applique donc aux traitements qui répondent à une double caractéristique relative à leur finalité, d’une part, et à la qualité du responsable de traitement, d’autre part.

14. L’article premier du décret no 87-249 fixe les finalités du YYY. Aux termes de ce dernier, les finalités du traitement sont de :

faciliter la recherche et l'identification […] des auteurs de crimes et de délits et de faciliter la poursuite, l'instruction et le jugement des affaires criminelles et délictuelles […] ;

faciliter la recherche et la découverte des mineurs et majeurs protégés disparus ainsi que celles des majeurs dont la disparition présente un caractère inquiétant ou suspect […] ;

faciliter l'identification dans un cadre judiciaire des personnes décédées ainsi que l'identification des personnes découvertes grièvement blessées dont l'identité n'a pu être établie ;

faciliter l'identification dans un cadre extrajudiciaire des personnes décédées ;

permettre l'identification d'un étranger dans les conditions prévues à l'article L. 611 4 du code de l'entrée et du séjour des étrangers et du droit d'asile ;

permettre l'identification des personnes dans le cadre de la procédure de vérification d'identité de l’article 78-3 du code de procédure pénale .

15. En l’espèce, les contrôles réalisés ont porté sur l’utilisation du YYY dans le cadre des activités de police et de justice au cours de procédures pénales. La formation restreinte considère que ces activités entrent dans le champ des finalités visées par l’article 87 de la loi Informatique et Libertés.

16. La formation restreinte considère également que, dans le cadre de ces missions, X doit être regardé comme l’autorité compétente, au regard de l’article 1er du décret no 2020-874 du 15 juillet 2020 relatif aux attributions du XX (précédemment décret no 2017-1070 du 24 mai 2017).

17. En conséquence, la formation restreinte considère qu’en l’espèce, le YYY, lorsqu’il est mis en œuvre par X pour les différentes finalités ci-dessus évoquées, doit respecter les dispositions du titre III de la loi Informatique et Libertés.

B. Sur les manquements

1. Sur le manquement relatif à la licéité du traitement

18. L’article 4 du décret no 87-249 dresse la liste limitative des informations qui peuvent accompagner, dans le YYY, l’enregistrement d’une empreinte ou d’une trace. S’agissant des empreintes, ces informations sont le sexe de la personne et, lorsqu'ils sont connus, ses nom, prénoms, date et lieu de naissance et éléments de filiation, le service ayant procédé à la signalisation, la date et le lieu d'établissement de la fiche signalétique, la nature de l'affaire et la référence de la procédure et les clichés anthropométriques. S’agissant des traces, ces informations sont le lieu sur lequel elles ont été relevées, ainsi que la date du relevé, le service ayant procédé au relevé des traces, la date et le lieu d'établissement de la fiche supportant la reproduction des traces papillaires, la nature de l'affaire et la référence de la procédure et l'origine de l'information et la date de son enregistrement dans le traitement.

19. En premier lieu, la délégation a constaté que des informations supplémentaires sont traitées dans le YYY, telles que le nom de la victime ou le numéro d’immatriculation d’un véhicule.

20. La formation restreinte note que ces informations sont enregistrées sous forme d’image et ne peuvent donc pas faire l’objet d’une recherche. Elle relève également, comme le précise X dans la réponse apportée au rapport de sanction, qu’elles ne sont présentes que dans les fiches traces et pas dans les fiches signalisation .

21. La formation restreinte constate néanmoins que X procède au traitement de données non visées par le décret no 87-249 et en déduit que ce traitement est illicite. La formation restreinte relève au demeurant que X ne conteste pas le caractère illicite de ce traitement puisqu’il annonce une modification du cadre réglementaire afin de lui permettre, à l’avenir, de traiter régulièrement ces données qu’il estime nécessaires.

22. En second lieu, la délégation a constaté qu’environ sept millions de fiches signalisation , pour la plupart anciennes (datant parfois de plusieurs dizaines d’années), sont conservées en format papier dans une salle dédiée du service central. Ce fichier physique, appelé fichier manuel , n’est plus alimenté depuis 2017. Il comprend à la fois des fiches anciennes (créées avant l’informatisation du fichier) et l’original papier de fiches plus récentes destinées à être scannées et insérées dans le YYY.

23. La formation restreinte constate que l’article 1er du décret no 87-249 prévoit et autorise le traitement automatisé de traces et empreintes digitales et palmaires et ne vise donc pas le fichier manuel , ce dernier n’étant pas automatisé. Ce traitement avait été créé par la loi no 667 du 27 novembre 1943 portant création d’un service de police technique, publiée au Journal officiel du 28 novembre 1943 et dont l’article 4 prévoyait la création d’un service d’identité judiciaire essentiellement chargé de rechercher et de relever les traces et indices dans les lieux où a été commis un acte délictueux, d’établir et de classer les fiches signalétiques . Ce texte a été abrogé par le cinquième alinéa de l’article 58 de la loi no 2001-1062 du 15 novembre 2001 relative à la sécurité quotidienne, sans que ce texte, ou un texte ultérieur, vienne autoriser un traitement équivalent.

24. Dès lors, la formation restreinte relève que la conservation de fiches de signalisation au format papier n’est prévue par aucune disposition législative ou règlementaire et en déduit qu’elle est illicite. La formation restreinte considère qu’un manquement à l’article 89 de la loi no 78 17 du 6 janvier 1978 est ainsi constitué.

25. Si elle prend acte de l’annonce de la destruction complète du fichier manuel dans les quatre ans à venir, la formation restreinte relève qu’aucun calendrier précis n’est annoncé par X pour atteindre ce but et que ses affirmations ne sont étayées par aucun élément. Elle considère en outre que le délai de quatre ans avancé par X ne saurait être admis, au regard de l’ancienneté des fiches concernées, de la durée du manquement et de la nature des données concernées.

26. A cet égard, la formation restreinte note que X a réalisé d’importants efforts pour trier les fiches devant être détruites sans délai de celles devant être scannées et insérées dans le traitement automatisé avant destruction. Néanmoins, si ces opérations ont conduit à la préparation pour destruction de 430 000 fiches datées de 1962 à 1996, la formation restreinte relève que ce nombre demeure faible au regard du nombre total de fiches comprises dans le fichier manuel et que la destruction n’a pas encore été réalisée pour les fiches en question.

27. Enfin, X a annoncé, lors de la séance du 1er juillet 2021, la destruction des seules fiches papier dont les données ne peuvent plus figurer légitimement dans le fichier automatisé. La formation restreinte considère que l’absence de base légale du fichier manuel empêche la conservation de fiches signalisation au format papier, même dans l’hypothèse où les données qu’elles contiennent peuvent légitimement figurer dans le fichier automatisé après avoir été scannées. Elle estime dès lors que la destruction des fiches papier du fichier manuel ne saurait se limiter aux fiches dont les données ne peuvent plus figurer dans le traitement automatisé. La formation restreinte relève d’ailleurs que X annonçait, dans sa réponse au rapport de sanction, la suppression totale du fichier manuel […] accomplie à 100% au plus tard d’ici quatre ans .

28. Il ressort de l’ensemble de ces éléments que les conditions de licéité des traitements mis en œuvre ne sont pas remplies et qu’un manquement à l’article 89 de la loi Informatique et Libertés est constitué.

2. Sur le manquement relatif à la durée de conservation des données

29. Aux termes de l’article 4 de la loi no 78-17 du 6 janvier 1978 les données à caractère personnel doivent être : […] 5° Conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] .

30. L’article 5 du décret relatif au YYY fixe les durées de conservation des traces et des empreintes. La durée de conservation de principe est de quinze ans (dix ans pour les empreintes des mineurs). Elle peut être augmentée à vingt-cinq ans (quinze ans pour les empreintes des mineurs) sur décision de l’autorité judiciaire ou au regard de la qualification de l’infraction.

31. Ces durées résultent d’une modification du décret no 87-249 par le décret no 2015-1580 du 2 décembre 2015 et entrée en application le 1er mars 2017. Avant cette date, les données étaient conservées pendant une durée de vingt-cinq ans à compter de l’établissement de la fiche.

32. La formation restreinte relève que, au moment du contrôle en janvier 2019, les modalités de conservation des données du YYY ne tenaient pas compte de la modification entrée en application en 2017. Ainsi, les signalisations étaient conservées pendant vingt-cinq ans sans distinction selon l’âge de la personne concernée, le point de départ de ce délai étant en outre calculé à compter de la dernière signalisation de la personne concernée, et non à compter de l’établissement de chaque fiche. En raison de ce choix, chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai de vingt-cinq ans pour l’ensemble de ses signalisations précédentes, amenant ces données à pouvoir être conservées sans limitation en cas de signalisations régulières. Des durées réduites étaient prévues pour certaines fiches traces (douze ans pour des traces liés à des crimes non résolus et trois ans et demi pour des traces liés à des délits). Une purge automatique intervenait après vingt-cinq ans si une personne n’avait pas à nouveau été signalisée.

33. La formation restreinte relève que les constatations de la délégation ont démontré que le YYY contenait, au jour du contrôle, plus de deux millions de fiches conservées au-delà des durées de conservation prévues par les dispositions applicables. Elle note que ce manquement n’est pas contesté par le responsable de traitement, qui a indiqué lors de la séance du 1er juillet 2021 que plus de trois millions de fiches avaient été supprimées depuis les contrôles réalisés afin de respecter les anciennes durées de conservation.

34. Au vu de ces éléments, la formation restreinte considère qu’un manquement à l’article 4 de la loi no 78-17 du 6 janvier 1978 est constitué.

35. X a annoncé, lors de la séance, qu’un tri du fichier manuel avait été intégralement réalisé afin que toutes les fiches datant de plus de vingt-cinq ans soient préparées pour la destruction, respectant ainsi les durées de conservation antérieures à la réforme de 2015. X a indiqué que, pour respecter les durées de conservation nées du décret no 2015-1580 du 2 décembre 2015, un travail de qualification selon l’infraction commise et l’âge de l’auteur doit être réalisé, et a annoncé un délai de quatre ans pour que ce travail puisse être complètement mené, certaines fiches dont les données peuvent légitimement figurer dans le YYY devant être identifiées puis scannées pour alimentation du fichier automatisé.

36. S’agissant du traitement automatisé, X a indiqué lors de la séance que le travail de qualification des fiches à l’aide du code NATINF de l’infraction avait été réalisé, permettant de définir, pour chacune d’elles, sa durée de conservation maximale, prenant également en compte l’éventuelle minorité de la personne concernée. L’ensemble des fiches dont la durée de conservation était dépassée a été supprimé, soit plus de trois millions de signalisations concernant 790 000 personnes. Plus aucune fiche du traitement automatisé ne serait donc aujourd'hui conservée au-delà de la durée prévue par le texte. Par ailleurs, une purge est à présent effectuée mensuellement afin que toutes les fiches dont la durée de conservation a expiré dans le mois soient supprimées. Des travaux sont actuellement en cours pour que ce processus soit automatisé et intervienne quotidiennement. Des tests sont annoncés dans les semaines suivant la tenue de la séance, et le système devrait être généralisé dès l’automne.

37. Si elle relève les efforts engagés afin que l’ensemble des fiches du YYY soit qualifié, permettant une gestion précise et automatisée des durées de conservation, la formation restreinte note le retard particulièrement conséquent pris par X dans l’application d’une réforme des durées de conservation intervenue en 2015 et entrée en application en 2017. Elle relève également qu’aucun calendrier précis n’est annoncé par X afin d’aboutir à une conformité aux nouvelles durées de conservation.

38. Il ressort de l’ensemble de ces éléments qu’un manquement à l’article 4 de la loi Informatique et Libertés est constitué.

3. Sur le manquement relatif à l’exactitude des données

39. Aux termes de l’article 97 de la loi Informatique et Libertés les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition .

40. L’article 7-1 du décret no 87-249 prévoit les modalités d’effacement des données après certaines étapes de la procédure judiciaire. Ainsi, les empreintes et les informations les accompagnant doivent être effacées en cas de relaxe ou d’acquittement définitif. En cas de décision de non-lieu, de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu, les données doivent en principe être effacées sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de la personne concernée . Enfin, les données peuvent être effacées à la demande de la personne concernée lorsque leur conservation n’apparaît plus nécessaire pour des raisons liées à la finalité du fichier .

41. La formation restreinte relève que les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite sont rendues par les autorités judiciaires et qu’elles doivent ensuite être transmises au service gestionnaire du YYY à l’aide de fiches navettes afin que les décisions soient répercutées et que soient effacées les données devant l’être.

42. Les contrôles réalisés, et plus particulièrement les questionnaires envoyés aux juridictions, ont fait apparaître les différences importantes pouvant exister dans les pratiques des tribunaux et cours d’appel. Ainsi, au jour du contrôle, certaines juridictions ne transmettaient aucune décision au YYY et d’autres n’en transmettaient que certaines (les décisions de relaxe partielle, de correctionnalisation ou de non-lieu n’étaient pas transmises par certaines juridictions). Le service gestionnaire du YYY n’était donc pas averti de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui auraient dû entraîner la suppression des fiches correspondantes dans le YYY.

43. La formation restreinte observe que la mise à jour des données du YYY dépend effectivement de la transmission, par les juridictions, de la totalité des fiches navettes au service gestionnaire, comme l’indique X dans sa réponse au rapport, et comme le relevait déjà la rapporteure. Elle considère néanmoins qu’en sa qualité de responsable de traitement en application de l’article 2 du décret no 87-249 du 8 avril 1987, c’est sur X que pèse la responsabilité de l’exactitude des données traitées, sur le fondement de l’article 97 de la loi Informatique et Libertés précité. La formation restreinte considère qu’au regard de cette obligation, X avait la charge de mettre en place un cadre permettant de garantir la transmission de l’ensemble des données nécessaires à la mise à jour du fichier, par exemple en fixant des modalités opérationnelles ou des exigences en termes de moyens humains ou techniques engagés.

44. X fait valoir, en défense, l’existence d’une circulaire de la direction des affaires criminelles et des grâces (ci-après la DACG ) du 5 août 2016 et une dépêche de la direction des services judiciaires du même jour rappelant les règles de transmission. Pour autant, au regard du caractère ancien de ces documents, et surtout de l’absence de renvoi régulier ou de rappel aux chefs de juridictions par exemple, la formation restreinte considère que la seule existence de ces documents ne saurait suffire à considérer que X a mis en œuvre l’ensemble des moyens à sa disposition pour s’assurer de la transmission de la totalité des fiches navettes, permettant ainsi de garantir l’exactitude des données qu’il traite.

45. En outre, la formation restreinte relève que la circulaire du 5 août 2016 relative au YYY (NOR : JUSD1622422C), qui est également évoquée par X en défense, ne saurait aboutir à un traitement conforme des données du YYY. Cette circulaire précise en effet, s’agissant de l’effacement des données par principe en cas de décision de non-lieu, de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu, sauf décision contraire du procureur de la République, qu’ il peut […] être déduit de la rédaction retenue que le silence du procureur de la République caractérise sa volonté de maintenir les données dans le fichier, afin de préserver les hypothèses de réouverture d’enquête ou d’information judiciaire. Une telle interprétation peut se déduire tant des termes même du texte, qui n’exige aucun formalisme au maintien des données dans le fichier, que de la distinction faite avec les cas d’effacement de plein droit d’une part et les cas d’effacement sur demande de l’intéressé d’autre part .

46. La formation restreinte considère que la position retenue par la circulaire n’est pas compatible avec le II de l’article 7-1 du décret no 87-249, selon lequel l’effacement des données se fait par principe en cas de non-lieu, de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu. Dans ces hypothèses, le texte prévoit que le procureur de la République peut, par exception, décider de la conservation des données. Or, l’interprétation du texte faite par la circulaire du 5 août 2016 renverse le principe posé, puisqu’elle entraîne la conservation par principe des données, sauf volonté contraire exprimée par le procureur de la République.

47. Il ressort de l’ensemble de ces éléments que X n’a pas mis en œuvre l’ensemble des moyens proportionnés lui permettant de s’assurer de l’exactitude des données traitées dans le YYY. La formation restreinte considère donc qu’un manquement à l’article 97 de la loi Informatique et Libertés est constitué.

48. Sur l’ensemble de ce manquement, X a indiqué qu’il mène un travail de refonte du formulaire de classement sans suite et qu’un rappel a été fait par la DACG à la direction de l’École nationale de la magistrature. Cependant, aucune justification n’a été fournie à l’appui de cette déclaration.

49. Il ressort de l’ensemble de ces éléments qu’un manquement à l’article 97 de la loi Informatique et Libertés est constitué.

4. Sur le manquement relatif à la sécurité des données

50. Aux termes de l’article 99 de la loi Informatique et Libertés, le responsable de traitement et son sous-traitant mettent en œuvre les mesures prévues aux 1 et 2 des articles 24 et 25 du règlement (UE) 2016/679 du 27 avril 2016 et celles appropriées afin de garantir un niveau de sécurité adapté au risque, notamment en ce qui concerne le traitement portant sur des catégories particulières de données à caractère personnel mentionnées au I de l'article 6 de la présente loi . Le I de l’article 6 évoqué vise notamment le traitement des données biométriques aux fins d'identifier une personne physique de manière unique .

51. En premier lieu, la formation restreinte relève que la connexion au YYY était possible au jour du contrôle au sein du commissariat de Boulogne-Billancourt le 29 janvier 2019, à travers le portail CHEOPS (qui est un portail interne d’accès à différents traitements mis en œuvre par les forces de sécurité intérieure), en utilisant la combinaison d’un identifiant […] et d’un mot de passe […].

52. La formation restreinte relève également que l’accès au YYY est limité par le fait que les terminaux permettant l’accès au portail CHEOPS se trouvent dans des locaux dont l’accès est restreint (commissariats de police, brigades de gendarmerie, locaux des douanes). Elle souligne néanmoins que de nombreuses personnes extérieures aux forces de police sont susceptibles de se trouver légitimement dans ces locaux (personnel d’entretien, avocats, médecins, etc.).

53. […]. Elle considère, d’autre part, que l’article 99 de la loi Informatique et Libertés précité impose une obligation de sécurité renforcée aux responsables de traitement lorsque ces derniers traitent des données dites sensibles au sens de l’article 6 du même texte, par exemple les empreintes digitales et palmaires, qui sont des données biométriques aux fins d'identifier une personne physique de manière unique .

54. La formation restreinte relève que, compte tenu des conséquences particulièrement graves que pourrait avoir un accès illégitime aux données du YYY, et compte tenu de la nécessité absolue d’une journalisation stricte des données que comprend le fichier, le fait de permettre la connexion au YYY par la simple combinaison d’un identifiant et d’un mot de passe ne peut être considéré comme une mesure appropriée pour garantir un niveau de sécurité adapté au risque.

55. S’agissant de la mise en place de mesures de sécurité renforcée, la formation restreinte rappelle, d’une part, que chaque fonctionnaire est déjà doté d’une carte-agent unique et identifiante permettant l’accès au fichier. La généralisation de ce mode de connexion déjà fonctionnel ne présenterait donc pas un caractère disproportionné. Elle rappelle, d’autre part, que la CNIL avait déjà porté à la connaissance du X la faiblesse de la méthode d’authentification actuelle, et ce dès 2013. En réponse, X affirmait déjà, en 2014, que l’authentification forte par carte-agent serait imposée pour toute connexion au portail CHEOPS.

56. Si la formation restreinte prend acte des affirmations du X lors de la séance selon lesquelles l’authentification forte à l’aide de la carte-agent est imposée depuis ce jour pour toute connexion au YYY, elle relève que ces déclarations ne sont appuyées par aucun élément ni aucune pièce.

57. En second lieu, la formation restreinte relève qu’au cours des opérations de signalisation, certaines données sont conservées localement dans un terminal informatique présent dans les locaux de garde à vue sous forme de tableurs Excel et autres fichiers informatiques, ou au sein de fiches au format papier. Des photographies demeurent également stockées dans les appareils permettant la réalisation de clichés d’identification.

58. La conservation de ces données en dehors du fichier centralisé du YYY ne garantit pas l’application de règles de sécurité indispensable pour un traitement présentant une grande sensibilité, telles que les restrictions d’accès, la journalisation des accès, la protection contre la modification ou la suppression, le respect des durées de conservation et la garantie des droits des personnes.

59. Si X évoque, dans sa réponse au rapport, la rédaction de notes rappelant aux services alimentant le YYY les règles de sécurité à appliquer, ces notes n’ont pas été fournies et aucune pièce du dossier ne montre que X ait donné des instructions pour faire cesser cette pratique.

60. Il ressort de l’ensemble de ces éléments que les mesures de sécurité prises par X concernant le YYY ne garantissent pas un niveau de sécurité adapté au risque. La formation restreinte considère donc qu’un manquement à l’article 99 de la loi Informatique et Libertés est constitué.

5. Sur le manquement relatif à l’information des personnes

61. Aux termes de l’article 104 de la loi Informatique et Libertés, le responsable de traitement met à la disposition de la personne concernée les informations suivantes :

1° l'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;

2° le cas échéant, les coordonnées du délégué à la protection des données ;

3° les finalités poursuivies par le traitement auquel les données sont destinées ;

4° le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;

5° l'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée .

62. La formation restreinte note qu’au jour du contrôle réalisé au commissariat de Boulogne-Billancourt le 29 janvier 2019, aucune information relative au YYY n’était affichée dans les locaux de garde à vue. Elle relève également que les agents du tribunal judiciaire de Paris et de la cour d’appel de Paris ont informé la délégation de contrôle qu’aucune information n’était communiquée aux personnes concernées, ni par les services de police, ni par le parquet, ni au moment du prononcé ou de la signification de la décision, ni à un autre moment.

63. La formation restreinte relève que, si l’article 107 de la loi Informatique et Libertés permet, sous certaines conditions, des restrictions aux droits des personnes et notamment au droit à l’information, ces restrictions doivent être prévues par l’acte instaurant le traitement . En l’espèce, aucun article du décret no 87-249 ne vient restreindre le droit, pour les personnes concernées, à l’information sur le traitement.

64. X a indiqué, tant dans sa réponse au rapport de sanction que lors de la séance de la formation restreinte, qu’une information était dispensée sur les sites web du X et service public . Il indique également qu’une information va être réalisée par affichage dans les locaux de garde à vue. Cette information, générale, portera sur l’ensemble des traitements mis en œuvre par X et renverra, pour des mentions d’information complètes, aux deux sites web évoqués.

65. S’agissant premièrement de l’information sur les sites web du X et service public , la formation restreinte considère que cette information ne saurait, à elle seule, constituer une information suffisante pour répondre à l’obligation posée par l’article 104 de la loi.

66. D’une part, la formation restreinte relève que la communication d’une information sur un site web, qui peut certes être complète, n’est pas directement mise à la disposition de la personne concernée et que sa consultation nécessite une démarche active de la part des personnes concernées, qui n’est possible que si les personnes connaissent l’existence du traitement. Or les personnes dont les données sont traitées dans le YYY peuvent ignorer jusqu’à l’existence même du traitement lorsque, comme en l’espèce, aucune information ne leur est directement communiquée, ni au moment de la collecte des données ni à celui du prononcé de la décision, quant à l’existence de ce traitement et l’identité de son responsable. En outre, la formation restreinte relève que certaines personnes dont les données sont traitées dans le YYY peuvent n’avoir qu’un accès limité au réseau internet (personnes détenues ou sans domicile, notamment), et que leur droit à l’information se trouverait restreint de manière disproportionnée par une information uniquement délivrée par ce biais.

67. D’autre part, la formation restreinte relève que les données de mineurs peuvent figurer dans le YYY. Elle considère que les mineurs doivent bénéficier d’une information adaptée, conformément au considérant no 39 de la directive police-justice qui dispose que ces informations devraient être adaptées aux besoins des personnes vulnérables telles que les enfants . Ainsi, une attention particulière doit être apportée par le responsable de traitement pour veiller à ce qu’ils puissent comprendre le traitement mis en œuvre et ses implications, ainsi que les droits dont ils disposent et le moyen de les exercer. Dès lors, la formation restreinte considère qu’une information qui reposerait nécessairement sur une démarche active de leur part n’est pas adaptée en l’espèce.

68. S’agissant deuxièmement de l’affichage prévu par X, portant sur l’ensemble des traitements mis en œuvre par X évoqué dans la réponse écrite du X et lors de la séance du 1er juillet 2021, la formation restreinte relève qu’aucun calendrier précis de diffusion n’est communiqué à la formation restreinte pour apprécier les modalités de sa diffusion, et qu’aucun exemple d’affiche ne lui a non plus été communiqué, ne lui permettant pas d’évaluer la conformité des modifications annoncées.

69. Il ressort de l’ensemble de ces éléments que l’information délivrée aux personnes par le seul biais des sites web du X et service public ne répond pas aux exigences légales. La formation restreinte considère donc qu’un manquement à l’article 104 de la loi Informatique et Libertés est constitué.

III. Sur les mesures correctrices et leur publicité

70. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 :

Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou, le cas échéant en complément d'une mise en demeure prévue au II, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :

1° Un rappel à l'ordre ;

2° Une injonction de mettre en conformité le traitement avec les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi ou de satisfaire aux demandes présentées par la personne concernée en vue d'exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l'État, d'une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte (…) .

71. La rapporteure propose à la formation restreinte que soient prononcés un rappel à l’ordre ainsi qu’une injonction de mettre le traitement en conformité avec les dispositions la loi Informatique et Libertés. Elle propose également que cette décision soit rendue publique.

72. En défense, X estime que le prononcé d’une mesure correctrice ne se justifie pas, de nombreuses démarches ayant déjà été initiées, et pour certaines réalisées, pour atteindre la mise en conformité. Il considère également que d’importants moyens ont déjà été engagés, que le système sur lequel repose le YYY est ancien et que la mise en conformité nécessite des développements très importants. Il précise en outre que les retards constatés s’expliquent par les nombreuses injonctions de mise en conformité auxquelles le YYY a dû répondre, notamment européennes.

73. X estime également que la publicité ne se justifie pas, celle-ci n’ayant pas d’effet plus grand qu’un simple rappel à l’ordre. Les modifications à apporter ayant été pleinement mesurées à la notification du rapport de sanction, X en conclut que la bonne foi dont il fait preuve et les chantiers déjà engagés suffisent à assurer la mise en conformité annoncée. Il appelle enfin la formation restreinte à poursuivre le travail d’accompagnement commencé avec les contrôles réalisés.

74. La formation restreinte considère que les manquements précités justifient que soit prononcé un rappel à l’ordre à l’encontre du X pour les motifs suivants.

75. La formation restreinte relève la sensibilité particulière des données traitées dans le YYY, qui comprennent à la fois des données biométriques et des données d’infraction. Elle considère que la combinaison de ces deux types de données sensibles aurait dû amener X à une vigilance toute particulière sur ce fichier.

76. La formation restreinte relève également qu’un très grand nombre de personnes sont concernées par ce fichier, X lui-même évoquant, dans ses opérations de mise en conformité, la suppression de plus de trois millions de fiches signalisation concernant près de 800 000 personnes. La formation restreinte relève que les contrôles ont permis de constater que plus de deux millions de fiches étaient illicitement conservées dans le YYY. La formation restreinte constate aussi que certains manquements ont visé l’intégralité des personnes dont les données sont traitées ou ont été traitées dans le YYY, comme le défaut d’information.

77. Elle note aussi que ce traitement concerne des mineurs, pour lesquels une attention particulière doit être portée, par le responsable de traitement, au respect de l’ensemble de leurs droits.

78. Enfin, la formation restreinte rappelle que X était conscient de certains des manquements relevés par le rapport de sanction, et qu’il n’a pourtant pas engagé les moyens nécessaires à une mise en conformité à la législation à la protection des données à caractère personnel. Ainsi, s’agissant par exemple des durées de conservation des données, la formation restreinte relève que X appliquait, au jour des contrôles en 2019, des durées de conservation antérieures à celles définies par la réforme de 2015. S’agissant de la sécurité des données et du renforcement de l’authentification au portail CHEOPS par la carte-agent, la formation restreinte relève que la CNIL avait déjà alerté X sur cette vulnérabilité par le passé, et que X avait affirmé dès 2014 que l’utilisation de la carte-agent allait être imposée à l’ensemble des utilisateurs du fichier.

79. Si la formation restreinte est consciente des contraintes, notamment budgétaires, pesant sur X, elle estime néanmoins que ce dernier n’a pas engagé les moyens nécessaires à sa mise en conformité, malgré des manquements identifiés comme tels.

80. La formation restreinte estime que les éléments précités rendent également nécessaire qu’une injonction soit prononcée. Elle relève sur ce point que X a annoncé de nombreuses modifications du YYY, en cours de réalisation ou déjà achevées, mais que ces affirmations sont insuffisamment étayées, faute de pièces justificatives. La formation restreinte relève également que, pour certains des manquements relevés, la mise en conformité avait déjà été annoncée depuis plusieurs années par X. Or, les contrôles effectués dans le cadre de la présente procédure ont permis de constater que les modifications annoncées n’avaient pas été réalisées.

81. Enfin, et pour les mêmes raisons, la formation restreinte estime nécessaire que sa décision soit rendue publique.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide de :

• prononcer à l’encontre du X un rappel à l’ordre pour les manquements aux articles 4, 89, 97, 99 et 104 de la loi Informatique et Libertés ;

• prononcer à l’encontre du X une injonction de mettre en conformité les traitements visés avec les obligations résultant de l’article 4, 89, 97, 99 et 104 de la loi Informatique et Libertés, et en particulier :

o s’agissant du manquement relatif à la licéité du traitement :

 ne traiter que les informations visées par l’article 4 du décret no 87-249 et uniquement dans le cadre prévu par ce texte, et notamment veiller à l’effacement des données à caractère personnel contenues dans la rubrique informations spéciales et à la destruction du fichier manuel , à l’exception des fiches pouvant être conservées à des fins archivistiques dans l'intérêt public ou à des fins de recherche scientifique ou historique ;

o s’agissant du manquement relatif à la durée de conservation des données, ne conserver des données sous une forme permettant l'identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, par exemple en mettant en œuvre un système automatisé permettant l’effacement des données à l’expiration des durées prévues par l’article 5 du décret no 87-249, en veillant en particulier à ce que ces durées de conservations courent à compter de l’établissement de chaque fiche signalétique et effacer les données dont la durée de conservation est atteinte ;

o s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure normalisée et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le YYY, et notamment :

 s’agissant de l’effacement de plein droit, s’assurer que l’ensemble des décisions de relaxe, d’acquittement et de correctionnalisation, même partielles, soient répercutées dans le YYY ;

 s’agissant de l’effacement de principe, s’assurer que l’ensemble des décisions de non-lieu et de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu soient répercutées dans le YYY, sans décision expresse contraire du procureur de la République compétent ;

o s’agissant du manquement relatif à la sécurité des données, mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque :

 en imposant par exemple que l’accès au YYY nécessite une connexion à l’aide de la carte-agent et d’un code PIN ;

 en veillant à ne traiter de données à caractère personnel que dans les conditions sécurisées définies pour la mise en œuvre du fichier central du YYY à l’issue des opérations de signalisation, notamment dans les locaux de signalisation, par exemple en donnant des instructions en ce sens aux services en charge de la collecte des données.

o s’agissant du manquement relatif à l’information des personnes, s’assurer qu’une information conforme aux exigences de l’article 104 de la loi no 78-17 du 6 janvier 1978 est fournie aux personnes concernées ;

• assortir les injonctions d’un délai de mise en conformité expirant le 31 octobre 2021 ; par dérogation, le délai de mise en conformité visant le manquement relatif à la durée de conservation des données du seul fichier manuel expirera le 31 décembre 2022 ;

• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément X à l’expiration d’un délai de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Retourner en haut de la page