Délibération n° 2013-039 du 14 février 2013 portant avis sur un projet de décret relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales (saisine n° 12026756)

Version initiale


La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services et unités de la police et de la gendarmerie nationales ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment ses articles 14, et D. 2 à D. 8-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 26-II et 26-IV ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées ;
Vu le décret n° 2012-2 du 2 janvier 2012 relatif aux conventions types de coordination en matière de police municipale ;
Vu la délibération n° 2010-298 du 15 juillet 2010 portant avis sur un projet de décret en Conseil d'Etat modifiant le décret relatif au fichier des personnes recherchées (FPR) ;
Après avoir entendu M. Jean-Marie COTTERET, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :



  • La commission a été saisie par le ministère de l'intérieur d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de traitements de diffusion de l'information opérationnelle au sein des services de police et de la gendarmerie nationale, il est en outre prévu que le projet de décret soumis pour avis à la commission constitue un acte réglementaire unique, au sens du IV de l'article 26 de la loi du 6 janvier 1978 modifiée, permettant ainsi la déclaration de plusieurs traitements.
    En vertu de ces dispositions, les traitements qui répondent à une même finalité portent sur des catégories de données identiques et ont les mêmes destinataires peuvent être autorisés par un acte réglementaire unique. La mise en œuvre de chaque logiciel utilisé par la police nationale, la gendarmerie nationale ou la préfecture de police devra être précédée d'un engagement de conformité faisant référence au présent décret, comme le prévoit l'article 8 du projet de décret. Afin de permettre à la commission d'exercer un contrôle a priori sur ces traitements sensibles, ces engagements devront comporter un dossier technique complet précisant notamment les fonctionnalités exactes de chaque logiciel, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté. Elle demande donc que l'article 8 du projet de décret soit modifié afin de préciser que chaque engagement de conformité est accompagné d'un dossier de présentation du logiciel.
    Le ministère a d'ailleurs adressé à la commission deux dossiers de présentation relatifs au traitement CORAIL (cellule opérationnelle de rapprochement et d'analyse des infractions liées) et PIO (partage de l'information opérationnelle), mis en œuvre respectivement par la direction générale de la police nationale (DGPN) et la direction générale de la gendarmerie nationale (DGGN).
    A cet égard, la commission souligne que les contrôles qu'elle a diligentés concernant la mise en œuvre supposée, par la gendarmerie nationale, d'un fichier dénommé « fichier MENS » et celui concernant le fichier des personnes recherchées en 2009 et 2010 lui ont permis de constater la mise en œuvre de plusieurs modules du traitement PIO (la partie « gestion de l'information opérationnelle » ainsi que des modules de recherche des personnes, « RSPF » et « PSR »). Elle avait alors demandé une régularisation de ces traitements.
    Sur les finalités des traitements et le régime juridique envisagé :
    Les traitements envisagés ont pour finalité principale le traitement et la diffusion de l'information judiciaire, conformément aux dispositions de l'article D. 3 du code de procédure pénale qui organisent l'échange d'informations entre les officiers de police judiciaire.
    Dans ce cadre, l'article 1er du projet de décret prévoit que les traitement envisagés auront pour finalité de « faciliter la diffusion et le partage d'informations opérationnelles, détenues par les différents services ou unités de la police et de la gendarmerie nationales investis de missions de police judiciaire, sur les enquêtes en cours ou les personnes qui en font l'objet ainsi que l'activité judiciaire de ces services ou unités ».
    En permettant une meilleure coordination des actions opérationnelles et des investigations ainsi qu'une information plus efficace des autorités compétentes, ces traitements devraient permettre d'améliorer l'efficacité de la mission générale de police judiciaire prévue à l'article 14 du code de procédure pénale.
    Ils constituent en outre des compléments au fichier des personnes recherchées (FPR), permettant soit la diffusion des recherches, soit leur suivi.
    Le fonctionnement du traitement CORAIL pouvait suggérer que ce traitement relevait des dispositions relatives aux fichiers d'analyse sérielle, voire même de celles relatives aux logiciels de rapprochement judiciaire. Toutefois, le ministère a précisé que les rapprochements sont manuels et non automatiques. Dès lors, la commission prend acte que les traitements PIO et CORAIL ne constituent pas des fichiers d'analyse sérielle ou des logiciels de rapprochement judiciaire et qu'ils doivent donc être autorisés dans les conditions prévues par l'article 26 de la loi du 6 janvier 1978 modifiée.
    Le ministère souhaite en outre autoriser la mise en œuvre de ces traitements par le biais d'un acte réglementaire unique au sens du IV de l'article 26 de la loi du 6 janvier 1978 modifiée,
    Or les traitements PIO et CORAIL comportent des spécificités importantes par rapport au projet de décret concernant le cadre de la collecte, les personnes concernées, les données traitées et les durées de conservation, ces traitements étant plus restrictifs que le cadre fixé par le projet de texte réglementaire. La commission rappelle que l'acte réglementaire fixe un cadre général et maximal en termes de données traitées, de personnes concernées, de durée de conservation ou d'exercice des droits des personnes.
    Ce cadre général n'exclut pas, pour chaque traitement déclaré, l'application des autres dispositions de la loi du 6 janvier 1978 modifiée (principes de finalité, de proportionnalité, d'exactitude des données, d'une définition de durées de conservation appropriées à la finalité), et ainsi l'adoption d'un cadre juridique plus protecteur que celui prévu par le décret.
    Des engagements de conformité accompagnés d'un dossier de présentation et d'un dossier technique précis et complet permettront alors à la commission de prendre connaissance de ces spécificités et de s'assurer qu'elles sont conformes au texte réglementaire.
    Sur le cadre de la collecte :
    L'alinéa 3 de l'article 1er du projet de décret prévoit que les infractions concernées sont les crimes, les délits et certaines contraventions. Les données sont relevées au cours d'enquêtes de police judiciaire menées sous le contrôle du procureur de la République (enquêtes préliminaires ou de flagrance, de recherche de la cause de la mort, d'une disparition ou de recherche de personnes en fuite) ou d'investigations exécutées sur commission rogatoire d'un juge (instruction préparatoire, instruction pour recherche des causes de la mort ou d'une disparition, recherche de personnes en fuite).
    Deux possibilités permettent d'enregistrer dans les traitements envisagés des informations concernant des contraventions : en cas de connexité avec le crime ou le délit objet de l'infraction principale ou lorsqu'elles sanctionnent une atteinte aux personnes, aux biens ou à l'ordre public.
    Le ministère n'est pas en mesure de fournir une liste précise et exhaustive des contraventions sanctionnant une atteinte aux personnes, aux biens ou à l'ordre public, dans la mesure où il s'agit aussi bien de certaines infractions du code pénal que de celles figurant dans d'autres codes. En outre, en cas de traitement de données relatives aux contraventions connexes à une infraction principale, le ministère a précisé « qu'il ne s'agit pas de toutes les contraventions, mais en premier lieu de celles se situant dans la logique du ou des faits principaux ». La commission appelle l'attention du ministère sur ce manque de précision et s'interroge sur la manière dont seront en pratique sélectionnées les contraventions qui seront traitées. Elle estime ainsi que cela pourrait contrevenir au principe de pertinence défini à l'article 6-3° de la loi du 6 janvier 1978 modifiée, selon lequel les données traitées doivent être strictement nécessaires à la finalité poursuivie.
    Sur les personnes concernées et la nature des données traitées :
    L'annexe au projet de décret prévoit que peuvent être collectées des données relatives aux personnes mises en cause ou recherchées, aux personnes victimes ou faisant l'objet d'une enquête pour recherche des causes de la mort ou d'une disparition, aux témoins et aux personnels participant à la procédure judiciaire concernée. Les données mentionnées dans l'annexe et relatives aux témoins et aux personnels de la police et de la gendarmerie nationales n'appellent pas d'observation particulière de la commission.
    Les articles 1er et 2 du projet de décret sont relatifs à la nature des données collectées. Dans un souci de lisibilité, la commission invite le ministère à ne faire figurer dans l'article 1er que les finalités et le cadre de la collecte, tandis que les dispositions relatives aux données traitées devraient être regroupées dans un article unique, mentionnant le traitement des données dites sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée ainsi que l'annexe dressant la liste des données traitées.
    L'article 1er du projet de décret prévoit que les traitements envisagés pourront porter sur des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, à savoir celles laissant apparaître « directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Ces données ne pourront être traitées que dans les cas où elles résultent de la nature des circonstances de l'infraction ou se rapportent à des signes physiques particuliers, objectifs et permanents, en tant qu'éléments de signalement des personnes, dès lors que ces éléments sont nécessaires à la recherche et à l'identification des auteurs d'infraction ou des personnes recherchées. Enfin, la commission relève qu'il sera impossible de sélectionner une catégorie particulière de personnes à partir de ces seules données.
    En ce qui concerne la nature des données traitées, il est prévu l'enregistrement de données relatives à l'« état de la personne » pour les personnes mises en cause ou recherchées, les victimes ainsi que les personnes faisant l'objet d'une enquête pour recherche des causes de la mort ou d'une disparition. Si cette notion de concerne que certaines catégories de personnes, la commission invite le ministère à modifier l'annexe sur ce point.
    Les données relatives aux mesures de sûreté concernant les personnes mises en cause placées en garde à vue ou en retenue seront collectées, La commission prend acte que le terme de « retenue » ne couvre que la mesure applicable aux personnes mineures âgées de 10 à 13 ans et est donc exclusive de toute autre mesure de retenue judiciaire ou administrative.
    La photographie des victimes sera traitée uniquement dans certains cas (enlèvement par exemple). La commission invite par conséquent le ministère à compléter le projet de décret en indiquant, au 2° a de l'annexe, que la photographie ne sera traitée que dans le cas des personnes disparues, enlevées ou des corps non identifiés. De plus, elle prend acte que les traitements ne comporteront pas de dispositif de reconnaissance faciale.
    Sur la durée de conservation des données :
    L'article 4 du projet de décret prévoit une durée de conservation calquée sur la durée de prescription de l'infraction concernée (un an pour les contraventions, trois ans pour les délits et dix ans pour les crimes et procédures de recherches des causes de la mort ou des causes d'une disparition). Le point de départ est l'enregistrement dans les traitements envisagés, et cela pourrait avoir pour conséquence une conservation dans les traitements de diffusion de l'information opérationnelle plus longue des données que dans les traitements d'où elles proviennent. Aussi, la commission prend acte qu'en cas d'effacement des données dans le FPR, la fiche dans le traitement de partage de l'information opérationnelle sera également effacée. Elle rappelle que cette mise à jour est conditionnée par une transmission rapide des informations entre les différents gestionnaires des fichiers.
    La rédaction de l'article 4 (« les données ne peuvent être conservées [...] plus de » un an, trois ans ou dix ans) suggère que les durées de conservation sont variables et que les données pourraient être effacées avant l'expiration des durées prévues. De fait, les traitements PIO et CORAIL présentent des spécificités en matière de durée de conservation. La commission prend acte que cela permet ainsi l'effacement de données qui ne seraient plus utiles avant l'expiration de la durée de conservation fixée par le texte réglementaire, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée, mais regrette néanmoins le manque de lisibilité pour les personnes concernées.
    Au regard de l'ensemble de ces éléments, la commission estime nécessaire que les engagements de conformité qui lui seront adressés précisent les différentes durées de conservation.
    Enfin, la commission constate l'absence de mécanismes d'effacement automatique des données et invite par conséquent le ministère à mettre en œuvre de tels mécanismes, seuls à même de garantir le respect des durées de conservation définies par le texte réglementaire.
    Sur les destinataires des données :
    L'article 5 du projet de décret énumère les destinataires des données, en distinguant les personnels bénéficiant d'un accès direct aux données des personnels à qui ces informations peuvent être communiquées. En ce qui concerne les premiers, il s'agit des agents affectés dans un service de la police nationale et des militaires de la gendarmerie nationale, affectés dans les services et unités chargés de missions de police judiciaire.
    S'agissant des personnels à qui ces informations peuvent être communiquées, l'article 5 (II-4°) du projet de décret recouvre les fonctionnaires et agents des administrations et services publics auxquels des lois spéciales attribuent certains pouvoirs de police judiciaire, notamment les agents des services fiscaux mentionnés à l'article 28-2 du code de procédure pénale ainsi que les inspecteurs du travail mentionnés à l'article L. 8271-1 et suivants du code du travail. Au regard de leurs attributions de police judiciaire ou de lutte contre la fraude, cela n'appelle pas d'observation particulière de la part de la commission.
    L'article 5 (II-5°) du projet de décret prévoit deux hypothèses dans lesquelles les agents de police municipale peuvent être rendus destinataires des données, d'une part, dans le cadre de l'article 12 de l'annexe au décret du 2 janvier 2012 susvisé (communication de tout ou partie des données dans le cadre des recherches des personnes disparues et de véhicules volés) et, d'autre part, dans le cadre d'une transmission orale d'informations, à titre exceptionnel, concernant une personne recherchée et les conduites à tenir.
    La commission n'est pas opposée à ce que les polices municipales soient destinataires des données enregistrées dans les traitements projetés. Toutefois, le décret n° 2010-569 du 28 mai 2010 relatif au fichier des personnes recherchées ne prévoit pas, à ce jour, de rendre les polices municipales destinataires des données contenues dans ce traitement. Aussi, tant que les modifications du décret du 28 mai 2010 susvisé n'auront pas été publiées, l'article 5 du projet de décret contourne les règles actuelles applicables au FPR.
    En tout état de cause, la commission rappelle que les polices municipales n'auront pas accès à l'ensemble des données contenues dans les traitements de partage de l'information opérationnelle. Enfin, elle estime que les garanties dont elle avait pris acte dans la délibération n° 2010-298 susvisée, s'agissant des échanges entre les polices municipales et la police nationale, devront être mises en œuvre dans le cadre des traitements envisagés (aucun accès direct ni d'aucun accès en consultation aux traitements envisagés ; transmission d'informations aux agents de police municipale de la seule initiative des services de l'Etat ; transmissions d'informations limitées à certaines fiches ; etc.).
    Sur les droits des personnes :
    L'article 6-I du projet de décret prévoit, de manière générale, que les droits d'information et d'opposition ne s'appliquent pas aux traitements projetés. La commission relève que le traitement PIO prévoit toutefois une dérogation à ces principes, dans la mesure où sont prévus, pour les victimes, un droit d'information ainsi qu'un droit d'opposition lorsque l'auteur des faits est condamné définitivement.
    Interrogé sur l'opportunité d'élargir ces dérogations à l'ensemble des traitements envisagés, pour les témoins et les victimes, et de modifier le projet de décret en ce sens, le ministère a indiqué ne pas être en mesure de le faire, notamment pour des raisons techniques : il a indiqué qu'il n'est techniquement pas possible de mettre en œuvre une fonction de recherche, nécessaire pour identifier préalablement le demandeur. Aussi la commission s'interroge-t-elle quant à l'effectivité du droit d'accès pour les présents traitements.
    S'agissant du droit d'accès, l'article 6-II du projet de décret soumet les traitements envisagés au régime de droit d'accès indirect, conformément aux articles 41 et 42 de la loi du 6 janvier 1978 modifiée. La commission regrette que le ministère ne souhaite pas faire application du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée afin de permettre aux victimes et aux témoins un accès direct aux données dans le cadre de procédures judiciairement closes, comme elle le lui avait suggéré.
    Enfin, la commission prend acte que dans le cadre de l'exercice du droit d'accès indirect, elle saisira directement les services gestionnaires des traitements projetés aux fins de traitement des demandes.
    Sur la sécurité des données et la traçabilité des actions :
    L'article 7 du projet de décret prévoit que les consultations seront tracées, les traces étant conservées trois ans.
    Questionné sur les modalités d'échanges de données au sein des traitements concernés et avec d'autres traitements, le peu de détail apporté par le ministère ne permet pas à la commission de se prononcer sur la présence ou non de mesures de sécurité devant nécessairement encadrer de tels échanges. Le ministère indique seulement que l'envoi de notes de services depuis le logiciel de rédaction des procédures de la gendarmerie nationale sera tracé et imputable à l'utilisateur.
    Concernant les mesures de traçabilité au sein du traitement CORAIL, la commission prend acte du fait que l'ensemble des opérations sera tracé, que ces traces seront conservées pendant trois ans ce qui permet d'assurer un contrôle strict et transparent des opérations réalisées au sein du traitement.
    Concernant les mesures de traçabilité au sein du traitement PIO et alors même que le projet de décret prévoit la traçabilité des consultations, la commission estime que la traçabilité ne peut se limiter aux modifications de données.
    Enfin, concernant les mesures d'authentification, la commission considère que celles-ci ne sont pas de nature à garantir la confidentialité des données traitées et l'imputabilité des actions réalisées, malgré le fait que le ministère ait conscience de ces lacunes et s'engage à tenter de les améliorer.


La présidente,
I. Falque-Pierrotin

Extrait du Journal officiel électronique authentifié PDF - 212,7 Ko
Retourner en haut de la page