La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret modifiant le code de procédure pénale et relatif au répertoire des données collectées dans le cadre d'une procédure judiciaire ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale, notamment son article 706-56-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-II ;
Vu la loi n° 2010-242 du 10 mars 2010 tendant à amoindrir le risque de récidive criminelle et portant diverses dispositions de procédure pénale ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission nationale de l'informatique et des libertés a été saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret en Conseil d'Etat modifiant le code de procédure pénale et relatif au répertoire des données collectées dans le cadre d'une procédure judiciaire.
L'article 706-56-2 du code de procédure pénale (CPP), introduit par la loi n° 2010-242 du 10 mars 2010 susvisée, instaure un répertoire des données à caractère personnel collectées dans le cadre des procédures judiciaires (ci-après « REDEX »).
Le législateur a fixé les principales caractéristiques de ce traitement. Ainsi en est-il de la finalité, le REDEX étant destiné à « faciliter et à fiabiliser la connaissance de la personnalité et l'évaluation de la dangerosité des personnes poursuivies ou condamnées pour l'une des infractions pour lesquelles le suivi socio-judiciaire est encouru, et à prévenir le renouvellement de ces infractions ». L'article 706-56-2 du CPP énumère en outre les différents documents susceptibles d'être enregistrés dans le traitement. Il s'agit des expertises réalisées au cours des procédures judiciaires relatives à de telles infractions, du stade de l'enquête à celui de l'exécution de la peine, ainsi que de celles réalisées préalablement ou durant le déroulement de certaines mesures (mesures de surveillance ou de rétention de sûreté, mesures de sûreté et hospitalisations). Il fixe une durée de conservation maximale des données de trente ans ainsi que la liste des destinataires des données.
Ce même article prévoit que « les modalités et conditions de fonctionnement du répertoire sont déterminées par décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés », qui doit préciser « les conditions dans lesquelles le répertoire conserve la trace des interrogations et consultations dont il a fait l'objet ainsi que la durée de conservation des données inscrites et les modalités de leur effacement ».
Le présent projet de décret a ainsi pour objet de déterminer les conditions de mise en œuvre du traitement REDEX. Dans la mesure où ce traitement a pour objet « la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » et porte sur des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, il relève également des dispositions prévues à l'article 26-II de cette même loi. La commission rappelle dès lors que la présente délibération devra être publiée avec le décret en Conseil d'Etat portant autorisation de la mise en œuvre de ce traitement, conformément auxdites dispositions.
Au regard du volume important des données qui pourront figurer dans le REDEX et de leur sensibilité, dans la mesure où elles sont relatives à la santé et à l'état mental des personnes concernées, la commission estime que des garanties doivent être prévues afin de limiter l'atteinte à la vie privée des personnes concernées.
Au titre de ces garanties, elle relève que le législateur a prévu de placer le traitement envisagé sous le contrôle d'un magistrat, d'effacer les données en cas de suites judiciaires favorables et a réservé son accès à l'autorité judiciaire. Le pouvoir réglementaire a quant à lui prévu diverses modalités de contrôle du fichier. Enfin, si le présent projet de décret autorise le déploiement du REDEX sur le territoire national, une expérimentation du traitement sur un périmètre réduit est néanmoins prévue. La commission prend acte que le bilan de cette expérimentation lui sera communiqué.
Sur la finalité du traitement :
Conformément aux dispositions précitées de l'article 706-56-2 du CPP, le traitement REDEX a pour objet de centraliser les expertises, évaluations et examens psychiatriques, média-psychologiques, psychologiques et pluridisciplinaires des personnes afin de les rendre plus facilement accessibles aux magistrats. Avant la mise en œuvre de ce répertoire, l'autorité judiciaire avait déjà la possibilité d'accéder aux rapports d'expertise stockés dans les dossiers des procédures. Toutefois, ces demandes se limitaient le plus souvent aux seuls rapports d'expertises ordonnées au sein de la même juridiction et la communication de ces rapports d'expertise s'inscrivait dans des délais très longs. Il en résultait que ces rapports étaient peu exploités.
La centralisation de ces documents au sein d'un traitement unique permettra à l'autorité judiciaire d'avoir accès plus facilement à ces documents et d'avoir ainsi en sa possession des informations complémentaires sur le parcours et la personnalité de la personne concernée. Cette diminution des déperditions de renseignements relatifs à la personnalité d'un mis en cause permettra ainsi de mieux évaluer la dangerosité des personnes concernées et favorisera ainsi des prises de décisions éclairées ainsi que l'individualisation des mesures et des peines.
Cette centralisation permettra en outre aux experts appelés à se prononcer sur un individu de disposer d'éléments plus complets concernant son passé.
La commission considère dès lors que les finalités du traitement envisagé sont explicites, déterminées et légitimes, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur les personnes concernées et la nature des données traitées :
L'article 706-56-2 du CPP définit le champ d'application du REDEX en précisant les infractions pour lesquelles les personnes doivent être mises en cause ou condamnées ainsi que les catégories de personnes concernées.
En premier lieu, seules certaines infractions donnent lieu à l'enregistrement des données et des documents éventuels dans le REDEX : il s'agit des infractions pour lesquelles le suivi socio-judiciaire est encouru. Certaines de ces infractions peuvent être particulièrement graves, à l'instar des infractions sexuelles, des crimes d'atteinte volontaire à la vie ou des actes de torture et de barbarie.
En deuxième lieu, s'agissant des catégories de personnes concernées, l'article 706-56-2 du CPP prévoit une exigence de poursuite ou de condamnation pour enregistrer les expertises concernées. Il en résulte que l'enregistrement dans le REDEX peut intervenir dès le stade de l'enquête, lorsque la personne est mise en cause et sans attendre l'issue de la procédure judiciaire. Le législateur a en revanche prévu que les données sont immédiatement effacées en cas de suites judiciaires « favorables ».
L'article R. 53-21-2 du CPP tel que prévu par le projet de décret énumère ainsi les différentes hypothèses dans lesquelles les expertises ordonnées peuvent être enregistrées dans le REDEX.
Les projets d'articles R. 53-21-3 à R. 53-21-6 du CPP énumèrent les données et documents qui seront collectés ainsi que leurs conditions d'enregistrement. Il s'agit des expertises pré-sentencielles et post-sentencielles qui peuvent être ordonnées par les personnels énumérés à l'article R. 53-21-2 du CPP tel que prévu par le projet de décret.
Les modalités d'enregistrement des expertises sont prévues aux projets d'articles R. 53-21-3 et R. 53-21-23 du même code. D'une manière générale, le présent projet de décret entend réserver l'enregistrement des données et des documents dans le REDEX à l'autorité judiciaire. Ainsi, l'autorité qui a ordonné l'expertise devra procéder à son enregistrement (procureur de la République, juridiction d'instruction ou de jugement, juridiction d'application des peines, juge des libertés et de la détention, juridiction nationale ou régionale de la rétention de sûreté). Il appartiendra également au procureur de la République de procéder à l'enregistrement des données lorsque l'expertise a été ordonnée par un officier de police judiciaire, l'administration pénitentiaire, la commission pluridisciplinaire des mesures de sûreté ou le préfet.
L'article R. 53-21-5 nouveau du CPP prévoit que des données à caractère personnel relatives à la personne elle-même, à l'expertise, l'évaluation ou l'examen enregistré et à la procédure pénale à l'origine de l'enregistrement de la demande seront collectées.
S'agissant de la personne concernée, la commission relève que l'article R. 53-21-4 du CPP prévoit que le gestionnaire du REDEX procédera à la vérification de l'identité de ta personne à inscrire dans le répertoire dans tes conditions prévues par l'article R. 64 du même code, c'est-à-dire au vu du répertoire national d'identification des personnes physiques (RNIPP). La commission estime que cette procédure permettra de garantir la fiabilité de l'identité de la personne dont les données sont enregistrées.
Elle relève à cet égard que le projet de décret vise également à modifier, suite aux observations de la commission, l'article R. 64 du CPP, afin de permettre expressément cette vérification. Cet article n'autorise en effet actuellement le service du casier judiciaire national automatisé à utiliser l'extrait du RNIPP qu'à des fins de vérification de l'état civil des personnes dont le casier judiciaire est demandé ou de celles inscrites au fichier judiciaire national automatisé des auteurs d'infractions sexuelles (FIJAIS) et au fichier judiciaire national automatisé des auteurs d'infractions terroristes (FIJAIT). Dans l'hypothèse où les personnes concernées ne figureraient pas au RNIPP, la commission prend acte qu'il est prévu de collecter la filiation des personnes devant être inscrites au fichier, ces données ne pouvant constituer un critère de recherche.
La commission relève enfin que plusieurs modalités de contrôles ont été prévues par le ministère concernant l'enregistrement des données et des expertises dans le REDEX. La collecte de la nature de l'infraction permettra de mettre en œuvre un test de cohérence, afin de s'assurer que ne sont enregistrés que les actes ordonnés dans le cadre d'une procédure relative à au moins une infraction pour laquelle le suivi socio-judiciaire est encouru. Par ailleurs, l'article R. 53-21-6 du CPP tel que prévu par le projet de décret indique que le gestionnaire du fichier contrôle la validité des informations enregistrées et, selon les cas, refuse ou efface les enregistrements qui ne respectent pas les conditions légales.
La commission considère que ces contrôles a priori et a posteriori permettront de s'assurer que les personnes ainsi que les documents enregistrés le sont conformément aux exigences des dispositions législatives et réglementaires.
Enfin, la commission relève que l'article 5 du projet de décret prévoit que les expertises, évaluations et examens psychiatriques, médico-psychologiques, psychologiques et pluridisciplinaires déposés avant la date du projet de publication du décret peuvent être enregistrés. Si la commission prend acte qu'une circulaire uniformisera les pratiques des juridictions sur les critères justifiant l'enregistrement dans le REDEX, elle appelle l'attention du ministère sur la vigilance avec laquelle devra être constitué ce stock.
Sur la durée de conservation des données :
Le législateur a prévu que la durée de conservation des données et documents « ne peut excéder une période de trente ans ». Le projet d'article R. 53-21-19 du CPP prévoit une durée de conservation de trente ans à compter du jour où a été réalisé l'examen ainsi que l'effacement des données au décès de l'intéressé, à l'expiration de ce délai ou si les conditions légales de leur conservation ne sont plus remplies.
Cette durée de conservation est conforme aux dispositions de l'article 706-56-2 du CPP.
La commission relève qu'il ne s'agit pas d'une durée de conservation « glissante » à compter de la dernière expertise enregistrée, comme initialement envisagé par le ministère, ce qui aurait eu pour conséquence d'allonger la durée de conservation. Elle prend dès lors acte de la rédaction du projet de décret sur ce point.
Il n'est pas prévu de durée de conservation spécifique pour les données relatives aux personnes mineures. Le ministère a en effet indiqué, par comparaison, que les condamnations prononcées à l'encontre des personnes mineures sont conservées au casier judiciaire national pour une durée qui est identique aux personnes majeures. La commission ayant toujours considéré que le traitement de données relatives aux mineurs appelle l'adoption de garanties renforcées et des modalités de traitement particulières, elle appelle l'attention du ministère sur la vigilance avec laquelle ces données devront être traitées. Elle demande que ce point soit dès lors abordé dans le bilan d'expérimentation qui lui sera adressé, ce que le ministère s'est engagé à faire, et que le magistrat en charge du contrôle de ce traitement soit particulièrement sensibilisé à ce sujet.
Il était initialement prévu que, à l'issue de ce délai de trente ans, le dossier ne soit plus accessible aux utilisateurs mais le reste néanmoins, pendant un délai de trois ans supplémentaires, au gestionnaire du traitement, avant d'être enfin supprimé physiquement. Selon le ministère, cet accès serait justifié par la nécessité d'une exploitation effective des traces, notamment en cas d'utilisation frauduleuse du REDEX, et devait donc être autorisé pour la durée de prescription de l'action publique en matière délictuelle.
Toutefois, la commission estime que cela conduisait indirectement à allonger la durée de conservation des données fixée par le législateur. Dès lors, elle prend acte de l'engagement du ministère de la justice de renoncer à cette durée de conservation supplémentaire.
Le projet d'article R. 53-21-20 du CPP tel que prévu par le projet de décret prévoit un effacement anticipé des données en cas de classement sans suite, hormis les cas où cette décision est fondée sur le premier alinéa de l'article 122-1 du code pénal, et en cas de décision définitive de non-lieu, de relaxe ou d'acquittement, conformément aux dispositions de l'article 706-56-2 du CPP. Cet effacement sera réalisé par le procureur de la République, le procureur général ou la juridiction d'instruction, en fonction de la décision. La commission appelle l'attention du ministère sur la nécessité de mettre en place des mesures techniques permettant de garantir l'effacement effectif des données et d'éviter tout maintien erroné dans le REDEX.
La commission considère que cette durée de conservation est conforme aux dispositions de l'article 6(5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
L'article 706-56-2 du CPP prévoit la liste limitative des autorités habilitées à accéder aux données enregistrées dans le REDEX, ainsi que les personnels habilités à recevoir communication, par l'intermédiaire de l'autorité judiciaire et pour l'exercice de leurs missions, des informations contenues dans le répertoire. Les articles R. 53-21-7 à R. 53-21-9 du CPP tels que prévus par le projet de décret reprennent l'ensemble de ces destinataires, en distinguant ces deux catégories.
S'agissant des premiers, il s'agit des autorités judiciaires, qui pourront interroger le REDEX à partir de l'identité de la personne concernée ou du numéro de procédure. La commission relève que, à sa demande, cette consultation ne pourra intervenir que pour les seules procédures dont elles ont la charge, excluant toute consultation sans motif déterminé. Cet accès se fera par l'intermédiaire d'un haut niveau d'authentification et des mesures de traçabilité seront mises en œuvre.
S'agissant des personnels habilités à recevoir communication de données et documents enregistrés dans le REDEX, il s'agit tout d'abord des experts désignés pour réaliser une expertise ou une évaluation, qui disposeront ainsi d'éléments plus complets concernant le passé de la personne pour laquelle l'expertise est requise. Il s'agit en outre des membres de la commission pluridisciplinaire des mesures de sûreté auxquels seront mis à disposition les informations et documents enregistrés par l'intermédiaire des services des greffes, selon les procédures habituellement suivies en matière pénale, impliquant notamment un envoi par courrier ou une mise à disposition pour consultation au greffe. La commission relève qu'une dématérialisation de ces échanges, initialement envisagée par le ministère, permettrait d'améliorer la sécurité et la confidentialité de ces échanges d'informations.
Enfin, le deuxième alinéa de l'article R. 53-21-6 du CPP tel que prévu par le projet de décret dispose que le magistrat dirigeant le service du casier judiciaire national, en charge du contrôle du traitement projeté, ainsi que le service gestionnaire disposent, dans le cadre de leurs missions, d'un accès direct et permanent au traitement.
La commission estime que ces destinataires ont un intérêt légitime à connaître des données collectées.
Sur les droits des personnes :
Le projet d'article R. 53-21-23 du CPP prévoit que le droit d'opposition et le droit d'information ne s'appliquent pas, sauf, concernant ce dernier, pour les personnels habilités à enregistrer les données et à consulter directement le répertoire. Les articles R. 53-21-10 à R. 53-21-17 nouveaux du même code prévoient les modalités d'exercice des droits d'accès, de rectification et d'effacement.
Il est ainsi prévu un droit d'accès direct aux données enregistrées dans le REDEX, sur demande adressée au procureur de la République. La commission relève toutefois que l'exercice de ce droit ne permettra que l'accès au relevé intégral des références concernant le demandeur et en aucun cas aux expertises dont il a fait l'objet, conformément aux dispositions du CPP en la matière.
Le projet de décret prévoit que toute personne peut demander au procureur de la République de rectifier ou d'ordonner l'effacement des informations la concernant si les informations ne sont pas exactes ou « si les conditions légales de leur conservation ne sont plus remplies ». Cette dernière formulation couvre les hypothèses d'un recours en révision et d'une demande en réexamen, qui peuvent entraîner l'annulation d'une condamnation, ainsi que les suites judiciaires favorables, c'est-à-dire les décisions de classement sans suite, hormis les cas où elles sont fondées sur le premier alinéa de l'article 122-1 du code pénal, ainsi que les décisions définitives de non-lieu, de relaxe ou d'acquittement, qui entraînent l'effacement immédiat des données, conformément à l'article 706-56-2 du CPP.
La commission estime que les données relatives à la personne concernée par l'annulation de la condamnation devraient automatiquement être effacées du REDEX par le ministère public, sans que la personne concernée ait besoin d'en faire la demande, comme cela est le cas pour le casier judiciaire en application de l'article 624-7 du CPP.
Cet effacement serait d'autant plus tacite à mettre en œuvre qu'en pratique, un seul service devrait être avisé par la cour de révision ou de réexamen de l'annulation de la condamnation, à savoir le service du casier judiciaire national, en charge aussi bien du casier judiciaire que du REDEX, et qui pourrait dès lors procéder à la mise à jour de ces deux fichiers. Elle demande dès lors que le projet de décret soit modifié sur ce point.
S'agissant de l'effacement en cas de suites judiciaires favorables, la commission rappelle que le législateur a mis à la charge du ministère de la justice une mise à jour immédiate, sans que la personne concernée n'ait à le demander, comme le rappellent d'ailleurs les articles 706-56-2 et R. 53-21-20 nouveau du CPP.
Enfin, en ce qui concerne le droit de rectification, la commission relève que celui-ci ne portera que sur les données à caractère personnel proprement dites et non sur les expertises. En effet, les expertises constituent des pièces de procédures que la personne concernée ne peut demander à faire modifier ou rectifier.
S'agissant enfin des modalités d'exercice de ces droits, elles sont similaires à ce qui existe par exemple pour le FIJAIS. Ainsi, la personne concernée doit effectuer une demande auprès du procureur de la République, avec possibilité par la suite de contester sa réponse auprès du juge des libertés et de la détention (JLD) puis du président de la chambre de l'instruction. Elles n'appellent pas d'observation complémentaire de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
La commission relève que, si la centralisation de tous ces documents, sensibles par nature, peut faire peser des risques quant à l'intégrité et à la confidentialité des données recueillies, d'importantes mesures de sécurité et de traçabilité ont été prévues, permettant de garantir la sécurité des conditions de conservation et d'accès aux données.
Le traitement REDEX consiste en une application web déployée chez un prestataire technique du ministère et accessible depuis le réseau privé virtuel justice (RPVJ), lequel dépend du réseau IP du prestataire internet du ministère.
Les documents enregistrés dans le traitement sont chiffrés et leur intégrité est garantie par le calcul d'une clé de contrôle, ces deux mécanismes étant basés sur des algorithmes cryptographiques conformes à l'état de l'art.
Ces mesures visent à assurer la confidentialité des données.
Toutefois, une étude eBios réalisée en 2010 a relevé que plusieurs mesures de sécurité supplémentaires seraient susceptibles d'améliorer notablement la sécurité du traitement, par exemple en sécurisant davantage le mode d'adressage mis en œuvre sur le RPVJ et en durcissant les logiciels utilisés. La commission invite le ministère à mettre en œuvre ces mesures dans les meilleurs délais si tel n'est pas le cas à ce jour.
Les modalités d'accès au traitement résultent d'un mécanisme d'authentification forte mettant en œuvre une carte à puce basée sur une infrastructure de gestion de clés (IGC) du ministère de la justice, ainsi que de profils d'accès. Cette authentification est de nature à garantir la traçabilité des actions des agents, tant que cette carte n'est pas compromise (vol ou prêt de la carte et du code PIN associé). Pour les agents ne possédant pas de carte, l'authentification peut s'effectuer au moyen d'un identifiant et d'un mot de passe dont la politique répond aux recommandations de la commission en la matière. En outre, quatre profils d'accès sont définis au sein de l'application afin de restreindre les accès aux données en tant que de besoin.
Plusieurs mesures de traçabilité ont été prévues par le ministère de la justice.
L'article R. 53-21-18 du CPP tel que prévu par le projet de décret dispose que « le répertoire conserve pendant une durée supplémentaire de trois ans, au-delà des durées définies à l'article R. 53-21-19, » les traces des actions (enregistrements, suppressions et interrogations) des utilisateurs. Suite à ses observations, la commission prend acte de l'engagement du ministère de modifier l'article R. 53-21-18 du CPP tel que prévu par le projet de décret, afin de prévoir une durée de conservation des traces qui s'inscrit dans la limite des durées définies à l'article R. 53-21-19 du CPP.
En outre, un système d'alerte sera mis en œuvre afin de signaler au gestionnaire un nombre excessif de consultations du traitement. La commission prend acte le ministère met en œuvre cette fonctionnalité qui permet d'exploiter au mieux les traces et de mieux détecter les utilisations anormales du traitement.
Enfin, les documents édités mentionneront les nom et prénom du magistrat qui a téléchargé ou imprimé lesdits documents, ainsi que la date et l'heure d'édition en pied de page, permettant de mieux identifier et tracer leur origine.
Au regard de la nouveauté de ces deux derniers types de traçabilité, la commission estime que ces dispositifs devraient faire l'objet, dans le cadre de l'expérimentation, d'un examen particulier et apparaître dans le bilan qui lui sera communiqué. Elle prend acte de l'engagement du ministère sur ce point.
La commission prend acte qu'une fonction de correction et d'effacement est prévue afin de prendre en compte les demandes de droit de rectification par les personnes. S'agissant plus particulièrement de l'effacement des données en cas de suite judiciaire « favorable », la commission prend acte que le ministère s'engage à faire évoluer l'application CASSIOPÉE pour mettre en place une fonction d'alerte.
Enfin, le projet d'article R. 53-21-21 du CPP prévoit expressément que le REDEX ne pourra faire l'objet d'aucune interconnexion, aucun rapprochement ni aucune mise en relation avec tout autre fichier ou recueil de données nominatives détenues par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.
Dans ces conditions, la commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin.