[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2020-036 du 12 mars 2020 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « dossier pénal numérique » (Demande d'avis n° 19020069)

Justice et droit
Cybersécurité
Données personnelles
Déposé le 11 mars 2020 à 23h00, publié le 24 juin 2020 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « dossier pénal numérique » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;
Vu le code de procédure pénale, notamment son article 801-1 ;
Vu l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante, notamment son article 5-2 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 31-II et 89-II ;
Vu la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice, notamment son article 50 ;
Vu le décret n° 2014-472 du 9 mai 2014 pris pour l'application de l'article 5-2 de l'ordonnance n° 45-174 du 2 février 1945 relative à l'enfance délinquante relatif au dossier unique de personnalité ;
Vu le décret n° 2019-341 du 19 avril 2019 relatif à la mise en œuvre de traitements comportant l'usage du numéro d'inscription au répertoire national d'identification des personnes physiques ou nécessitant la consultation de ce répertoire ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78- 17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 16 janvier 2008 modifié portant création d'un traitement automatisé de données à caractère personnel dénommé « numérisation des procédures pénales » ;
Vu la délibération n° 2007-390 du 20 décembre 2007 portant avis sur un projet d'arrêté portant création d'un traitement de numérisation des procédures pénales ;
Vu la délibération n° 2010-411 du 9 novembre 2010 portant avis sur un projet d'arrêté modifiant l'arrêté du 16 janvier 2008 portant création d'un traitement de données à caractère personnel dénommé « numérisation des procédures pénales » ;
Après avoir entendu Mme Christine MAUGÜE, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
1. Le projet de décret soumis pour avis à la Commission a pour objet d'abroger le traitement « numérisation des procédures pénales » (NPP), aujourd'hui encadré par l'arrêté du 16 janvier 2008 susvisé, afin de prendre en compte la possibilité introduite par l'article 50 de la loi n° 2019-222 du 23 mars 2019 de programmation 2018-222 et de réforme pour la justice de conserver intégralement sous format numérique le dossier de la procédure sans nécessité d'un support papier et celle, pour les actes conservés sous cette forme qui nécessitent d'être signés, d'utiliser une signature unique sous forme numérique. Il vise par ailleurs à réaliser une dématérialisation du dossier unique de personnalité (DUP) relatif aux personnes mineures et des registres de minute dans un contexte global visant à doter les magistrats et les membres du greffe d'outils numériques.
2. Dans la mesure où le traitement « dossier pénal numérique » (DPN) est mis en œuvre aux fins de faciliter et d'améliorer le traitement des dossiers pénaux par les magistrats, les greffiers et les personnes habilitées à les assister ainsi que de fluidifier les échanges d'informations et l'accès aux dossiers de procédure dans ce but, il relève du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 susvisée (ci-après « la directive ») et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
Sur les conditions générales de mise en œuvre du dispositif
3. La Commission relève tout d'abord que l'article R. 249-9 du code de procédure pénale (CPP) tel que modifié prévoit que le traitement « dossier pénal numérique » sera « mis en œuvre dans chaque juridiction ». A cet égard, elle prend acte que le périmètre du traitement projeté sera identique à celui du traitement NPP et qu'il sera ainsi mis en œuvre dans les tribunaux judiciaires, les cours d'appel et la Cour de cassation.
4. La Commission observe en outre qu'une première étape du traitement projeté consistera en un déploiement des pièces de la procédure pénale « nativement numériques », sans aucun document en format papier, qui sera d'abord limité aux juridictions de Blois et Amiens, avant de faire l'objet d'un déploiement généralisé. Il ressort de l'analyse d'impact relative à la protection des données (AIPD) transmise que d'autres étapes de ce déploiement progressif consisteront en l'utilisation d'un outil de signature sous forme électronique dans les deux sites précités ainsi qu'en la mise à disposition dématérialisée, dans certaines juridictions, du dossier de procédure aux avocats.
5. Le présent projet de décret a vocation à couvrir tant les phases initiales de ce déploiement progressif, que la phase de généralisation du dispositif.
La Commission relève toutefois que de nombreuses modalités techniques sont encore en cours de conception et sont susceptibles de faire l'objet d'évolutions ultérieures, en fonction notamment des retours d'expérience sur les deux premiers ressorts concernés, dont par exemple l'outil de signature électronique et la mise à disposition du dossier de procédure aux avocats.
6. Compte tenu de ce qui précède, la Commission souhaite qu'un bilan des différentes phases du déploiement progressif du traitement lui soit transmis avant généralisation et, en tout état de cause, dans un délai de douze mois à compter de la mise en œuvre de celles-ci. Ce bilan devra notamment comporter les éléments portant sur la mise en place des briques techniques relatives aux fonctionnalités suivantes : contrôle d'accès, archivage, chiffrement, ainsi que les résultats du rapport d'audit qui sera réalisé, et de manière générale des actualisations sur tous les développements évoqués dans l'AIPD transmise.
7. Sans remettre en cause la légitimité de la création d'un tel traitement, la Commission considère toutefois, au regard de l'ampleur du traitement et de ses conditions de mise en œuvre, que le projet de décret transmis appelle différentes observations, en particulier :



- la nécessité d'expliciter certaines finalités dans le projet de décret ;
- s'agissant des données collectées, la catégorie des « personnes faisant l'objet de la procédure » devrait être modifiée et précisée ;
- la qualité des personnes qui assistent les magistrats du siège et du parquet dans leurs fonctions et bénéficient d'un accès au traitement devrait être mentionnée ;
- les mises en relation de différents traitements avec DPN ne devront pas avoir pour conséquence d'élargir la liste des personnes qui peuvent recevoir communication des données enregistrées dans le traitement ;
- la date de déploiement de plusieurs des blocs techniques prévus n'est pas précisée alors qu'ils sont souvent indispensables à la sécurité du système proposé et des mesures de sécurité n'apparaissent, en l'état, pas conformes aux recommandations de la Commission en la matière.



Sur les finalités du traitement
8. L'article 1er du projet de décret modifiant l'article R. 249-9 du CPP précise que le traitement DPN poursuit deux finalités :



- faciliter et améliorer le traitement des dossiers pénaux par les magistrats, les greffiers et les personnes habilitées à les assister ;
- fluidifier les échanges d'information et l'accès au dossier de procédure.



9. De manière générale, la Commission rappelle l'importance, au regard des précisions apportées par le ministère, d'expliciter chacune de ces finalités et de modifier le projet de décret sur les points suivants.
10. Elle relève que, s'agissant de la première d'entre elles, il s'agit de permettre le recours à des pièces dématérialisées du dossier pénal numérique, du dossier unique de personnalité relatif aux mineurs et du registre des minutes.
11. En outre, le traitement projeté ayant vocation à permettre « le recours à de nouvelles méthodes de recherche, d'analyse et de travail par les magistrats » au travers d'un nouvel outil d'exploitation dénommé « NOE » qui permettra aux magistrats de réaliser « une étude personnalisée de leur dossier de façon totalement numérique », la Commission demande que le projet de décret soit complété en ce sens.
12. En ce qui concerne la seconde finalité poursuivie visant à fluidifier les échanges d'informations, si la Commission prend acte des précisions apportées par le ministère selon lequel pourront être concernés, par exemple, les tiers au sens de l'article R. 156 du CPP et non uniquement les personnes mentionnées à l'article A1 du CPP, elle regrette de ne pas s'être vu communiquer la liste exhaustive des dispositions visées et estime que le projet de décret mériterait d'être explicité sur ce point.
13. Sous ces réserves, elle estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées
14. A titre liminaire, la Commission observe que le traitement DPN pourra être mis en relation avec différents traitements, en vue de son alimentation :



- les logiciels de rédaction des procédures de la police et de la gendarmerie nationale (dénommés « LRPPN » et « LRPGN ») ;
- le traitement automatisé de données à caractère personnel dénommé « CASSIOPEE » et le système de gestion automatisée des procédures pénales relevant des procureurs de la République et des juges d'instruction, des procédures pénales et civiles des juges des enfants ainsi que des autres affaires, en dehors des domaines civil et pénal, relevant de la compétence des procureurs de la République (dénommé « WINEURS ») pour le versement dans DPN de l'historique des décisions judiciaires relatives aux personnes mineures ;
- le casier judiciaire national ;
- le traitement d'antécédents judiciaires (TAJ) ;
- le fichier automatisé des empreintes digitales (FAED) ;
- le fichier national des empreintes génétiques (FNAEG).



15. La Commission prend acte des garanties entourant ces mises en relation, à savoir :



- l'absence de mise en relation automatique du traitement DPN avec les traitements CASSIOPEE et WINEURS, la seule interconnexion prévue, selon le ministère, étant celle de DPN avec les traitements LRP « pour les procédures appelées “petits x”, c'est-à-dire les affaires sans poursuite » ;
- l'absence d'échanges inter-applicatifs entre le traitement DPN et les traitements TAJ, casier judiciaire, FAED et FNAEG : seuls les résultats de l'interrogation de ces fichiers pourront être mis en relation avec DPN, sans possibilité d'accéder aux données brutes de ceux-ci ;
- l'absence d'extension de la liste des accédants et des destinataires au traitement DPN par rapport à ce qui existe déjà actuellement dans le cadre de mises en relation manuelles.



16. Sans remettre en cause la légitimité de ces mises en relation, la Commission rappelle que les différents traitements précités devront, le cas échéant, être modifiés afin de prévoir expressément les interconnexions et/ou mises en relation avec le traitement DPN.
17. L'article R. 249-11 du CPP tel que modifié liste les catégories de données à caractère personnel qui peuvent être enregistrées dans le traitement selon les catégories de personnes concernées par celui-ci : les personnes faisant l'objet de la procédure, les avocats, les experts et personnes qualifiées, les personnels du ministère de la justice, les membres des services et unités d'enquête.
18. Outre ces catégories de données, le projet de décret prévoit que peuvent également être enregistrés dans le traitement les commentaires libres du magistrat. A cet égard, la Commission prend acte qu'il est rappelé dans l'ensemble des modes opératoires relatifs au module NOE la nécessité « de ne renseigner que des données objectives dans ces zones de commentaires libres » et que cela est également rappelé lors des formations à l'outil.
19. En premier lieu, s'agissant des personnes faisant l'objet de la procédure, la Commission relève que cette catégorie, formulée de manière large, regroupe :



- les victimes, qui ont directement ou indirectement subi un préjudice en lien avec la commission d'une infraction pénale ;
- les témoins ;
- les mis en cause, notamment les personnes entendues sous le régime de la garde à vue ou en audition libre ainsi que les personnes faisant l'objet d'un mandat d'arrêt, de recherche, d'amener, etc. ;
- les personnes mises en examen ;
- les témoins assistés ;
- les personnes poursuivies ou condamnées ;
- les personnes faisant l'objet d'une enquête en recherche des causes de la mort ou des blessures prévues par l'article 74 du CPP, ou à la suite d'une disparition inquiétante prévue par l'article 74-1 du CPP.



20. Au regard de ces précisions, la Commission considère que la notion de « personnes faisant l'objet de la procédure » pourrait être précisée, afin que le texte couvre expressément l'ensemble des personnes figurant dans la procédure. Par conséquent, elle demande que le projet de décret soit modifié sur ce point et prend acte de l'engagement du ministère en ce sens.
21. En ce qui concerne la collecte de données sensibles, la Commission rappelle que conformément à l'article 88 de la loi du 6 janvier 1978, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ». A cet égard, elle prend acte des précisions apportées par le ministère selon lesquelles les informations et données collectées au cours d'une enquête ou d'une instruction doivent être nécessaires aux investigations et qu'elles « correspondent strictement aux données contenues dans le dossier pénal papier, le registre des minutes papier, le DUP mineur papier », et ce, dans le respect des dispositions du CPP.
22. S'agissant des données biométriques et/ou génétiques, la Commission prend acte que peuvent figurer dans un dossier de procédure les résultats des analyses d'identification des empreintes digitales et génétiques. Ces données peuvent être collectées à l'occasion d'un prélèvement direct sur la personne ou lors d'une récupération des données par les enquêteurs, dans le respect des dispositions du CPP.
23. Concernant le numéro d'inscription au répertoire national d'identification des personnes physiques (NIR), la Commission prend acte des précisions apportées par le ministère selon lesquelles cette donnée peut figurer sur des pièces et documents de la procédure pénale mais qu'aucun champ de l'application du traitement DPN ne permet de la collecter et qu'elle n'est jamais utilisée comme un identifiant des personnes physiques. Elle rappelle que le décret n° 2019-341 du 19 avril 2019 susvisé prévoit que les services du ministère de la justice sont autorisés à mettre en œuvre des traitements comportant cette donnée « pour la gestion des procédures judiciaires, lorsque la mention du numéro d'inscription des personnes au répertoire national d'identification des personnes physiques ou l'intervention des organismes de sécurité sociale dans les procédures sont prévues par les textes en vigueur ».
24. La Commission relève qu'il est également indiqué que le traitement peut contenir des photographies relatives notamment à des personnes physiques, mais qu'il ne comporte pas de dispositif de reconnaissance faciale à partir de celles-ci. Elle prend acte que ces photographies pourront être relatives à des blessures d'une personne faisant l'objet d'une procédure, à des dispositifs de vidéosurveillance ou de vidéoprotection, ou encore être issues du TAJ, d'une séance d'identification des suspects, des pièces d'identité ou de surveillance effectuée par les enquêteurs. Elle observe que ces photographies pourront être soit issues d'un versement volontaire d'une partie à la procédure, soit être prises ou obtenues par les services enquêteurs.
25. En second lieu, la Commission observe qu'il ressort de l'AIPD transmise que des données relatives aux traces pourront être collectées s'agissant des personnels du ministère de l'intérieur ou des douanes judiciaires ainsi que pour les magistrats et les personnels du ministère de la justice. Si elle relève que le projet de décret ne fait pas mention de la collecte de ces données pour ces catégories de personnes, elle prend acte de l'engagement du ministère d'y insérer une disposition spécifique concernant les mesures de traçabilité.
26. Sous réserve de ce qui précède, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies, conformément à l'article 4-3° de la loi du 6 janvier 1978 modifiée.
Sur les accédants et les destinataires
27. Le projet de décret introduit un nouvel article R. 249-13 dans le CPP qui détaille la liste des accédants et des destinataires du traitement DPN.
28. En premier lieu, le projet de décret prévoit que peuvent accéder au traitement, d'une part, « les magistrats du siège et du parquet exerçant des fonctions de l'ensemble des juridictions, de première instance, d'appel et de cassation » et, d'autre part, « les personnes qui les assistent dans leurs fonctions ».
La Commission prend acte que les personnes visées par cette disposition peuvent être les juristes assistants au sens de l'article L. 123-4 du code de l'organisation judiciaire, des auditeurs de justice, des greffiers ou des greffiers stagiaires, des assistants de justice ainsi que des assistants spécialisés. Elle considère que le projet de décret devrait être modifié afin de mentionner expressément la qualité des personnes composant la catégorie de « personnes qui les assistent dans leurs fonctions ».
29. En second lieu, peuvent être destinataires de tout ou partie des informations enregistrées dans le traitement :



- les personnes concourant à la procédure au sens de l'article 11 du CPP, les avocats et les parties pour ce qui est du dossier de procédure et des minutes ;
- « les avocats du mineur, de ses père et mère, tuteur ou représentant légal et de la partie civile, les professionnels de la protection judiciaire de la jeunesse, les personnels du service ou de l'établissement du secteur associatif habilité », pour ce qui est du dossier unique de procédure relatif au mineur concerné ;
- toute administration, établissement, autorité ou personne publique ou privée autorisés à se voir communiquer tout ou partie d'un dossier pénal ou d'une décision.



30. De manière générale et en l'état des textes en vigueur, la Commission rappelle que les mises en relation des différents traitements précités avec le DPN ne devront pas avoir pour conséquence d'élargir la liste des personnes pouvant recevoir communication des données qui sont enregistrés dans ces traitements.
31. La Commission relève qu'il est prévu par l'article 5-2 de l'ordonnance du 2 février 1945 précitée que si les informations contenues dans le dossier unique de personnalité ne peuvent être délivrées qu'aux seuls avocats, ceux-ci peuvent transmettre une reproduction des copies au mineur poursuivi s'il est capable de discernement, à ses père et mère, tuteur ou représentant légal. Il est toutefois indiqué que le magistrat saisi de la procédure peut, par décision motivée, « s'opposer à la remise de tout ou partie de ces reproductions lorsque cette remise ferait courir un danger physique ou moral grave au mineur, à une partie ou à un tiers ».
32. La Commission observe, s'agissant de la dernière catégorie de destinataires, que les organismes habilités pouvant se faire communiquer des éléments relatifs aux procédures en cours au sens de l'article 11-1 du CPP sont ceux listés à l'article A1 du CPP, les agents de ces organismes étant tenus au secret professionnel en ce qui concerne ces informations. Par ailleurs, l'article 11-2 du CPP prévoit que le ministère public peut informer l'administration de certaines décisions rendues contre une personne qu'elle emploie, y compris à titre bénévole.
33. Sous ces réserves, la Commission considère que la consultation des données par les personnes mentionnées dans le nouvel article R. 249-13 du CPP apparaît justifiée et proportionnée.
Sur les mesures de sécurité
34. De manière générale, la Commission relève que le système d'information sous-tendant le projet est en rapide évolution, avec l'ajout de nombreux blocs techniques et la préparation de la désactivation d'autres blocs devenus obsolètes. Les blocs en cours de déploiement sont notamment relatifs au contrôle d'accès, à l'archivage, et au chiffrement. La commission rappelle qu'en tout état de cause, les blocs de sécurité indispensables à la satisfaction de l'exigence de sécurité des données personnelles devront être mis en œuvre avant le déploiement des blocs fonctionnels.
35. La Commission prend note de l'encadrement des prestataires par des cahiers des clauses administratives particulières (CCAP) incluant le respect de la recommandation n° 901/DISSI/SCSSI. La Commission demande au ministère de mettre en place des procédures pour vérifier la bonne adhésion à ces règles ainsi qu'aux autres obligations contenues dans ces CCAP.
36. Si la Commission regrette le report de la revue SSI et RGPD du PPN, elle prend acte qu'une campagne d'audit d'architecture et de sécurité sur les différentes briques de NPP sera menée.
37. La Commission relève que la politique de mots de passe prévue par le responsable de traitement n'est pas conforme à sa délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, que ce soit en termes de modalité de transmission du mot de passe (celui-ci peut être envoyé par courriel), de la possibilité d'usage de comptes partagés, de politique de renouvellement et de longueur et complexité de mots de passe. Elle prend toutefois acte du développement futur, au premier semestre 2020, d'une solution intégrant ces recommandations.
38. La Commission prend acte des mesures de chiffrement des postes individuels. Elle rappelle que l'accès aux postes doit nécessiter une connexion de l'utilisateur à un compte nominatif, que les sessions doivent être automatiquement verrouillées après une période d'inactivité raisonnable, par exemple de 15 minutes. La Commission rappelle également que les postes de travail doivent disposer d'un pare-feu, et que les logiciels et systèmes d'exploitation installés doivent faire l'objet de mises à jour. Elle souligne l'importance de prendre des mesures techniques et organisationnelles pour garantir que les documents téléchargés via OEPN/NOE ne quittent pas ces terminaux sécurisés. De plus, la Commission considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité tant au niveau des bases de données actives, des données de journalisation, que des sauvegardes.
39. Afin de garantir l'efficience des mesures de sécurité prévues par le responsable de traitement, la Commission demande que les utilisateurs habilités à accéder aux traitements soient informés de ces mesures au travers d'une charte informatique.
40. La Commission recommande en outre qu'un contrôle d'intégrité soit opéré sur les données stockées, par exemple en calculant une empreinte des données avec une fonction de hachage conforme à l'annexe B1 du référentiel général de sécurité. Elle rappelle que ce contrôle est une mesure indépendante du contrôle d'accès et prend acte de la mise en œuvre de blocs techniques.
41. En tout état de cause, la Commission rappelle qu'elle devra être tenue informée et saisie, dans les conditions prévues à l'article 33-II de la loi du 6 janvier 1978 modifiée, de toute modification substantielle affectant les caractéristiques du traitement. Au même titre, elle rappelle que l'analyse d'impact relative à la protection des données (AIPD) qui lui a été transmise, dans les conditions prévues à l'article 90 de la loi précitée, devra faire l'objet d'une mise à jour.
42. Les autres mesures de sécurité n'appellent pas d'observations de la part de la Commission.
Sur les autres conditions de mise en œuvre du traitement projeté (durée de conservation et droits des personnes)
43. L'article R. 249-12 du CPP prévoit les durées de conservation des informations enregistrées dans le traitement DPN, qui sont déterminées de la façon suivante :



- jusqu'à ce que la dernière juridiction ait statué définitivement par une décision rendue au fond et, au plus tard, jusqu'à la fin de l'exécution des peines prononcées dans le dossier concerné ;
- jusqu'à l'extinction de l'action publique en cas de décision de classement sans suite et de non-lieu ainsi que pour les procédures ne donnant pas lieu à enregistrement dans le traitement prévu à l'article 48-1 du CPP ;
- jusqu'à ce que la décision soit définitive en cas de décision de relaxe et d'acquittement ;
- les minutes des jugements et arrêts sont conservées pour une durée de huit ans ;
- le dossier unique de personnalité est conservé conformément aux dispositions du décret n° 2014-472 du 9 mai 2014 susvisé, à savoir jusqu'à ce que la juridiction saisie ait statué définitivement par une décision rendue au fond. Il peut également être conservé après la majorité de l'intéressé jusqu'au terme du suivi d'une mesure éducative ou d'une sanction éducative ordonnée en application de l'article 2 de l'ordonnance susvisée ainsi que lorsque le juge des enfants exerce les fonctions dévolues au juge de l'application des peines en application de l'article 20-9 de l'ordonnance du 2 février 1945 susvisée.



44. La Commission relève qu'il ressort de l'AIPD que le délai de conservation des minutes a été fixé à huit ans eu égard « au délai de prescription de la peine le plus commun à savoir 6 ans auquel il est apparu nécessaire d'ajouter un délai supplémentaire raisonnable, évalué à deux ans, notamment en raison de certaines formalités qui peuvent être amenées à repousser le délai de prescription ».
45. Dans ces conditions, la Commission considère que les données sont conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées, conformément à l'article 4-5° de la loi du 6 janvier 1978 modifiée.
46. A l'issue de ces durées de conservation, il est prévu une conservation en base active des données et documents pour leur durée d'utilité administrative, selon les règles applicables en matière d'archivage intermédiaire des dossiers des juridictions.
47. Il ressort des précisions apportées par le ministère que les modalités actuelles d'archivage décrites dans l'AIPD sont en cours de mise en place et que ces modalités ont vocation à être remplacées lors de la mise en œuvre d'une nouvelle solution courant 2021. Dans ce contexte, la Commission rappelle que la gestion des archives doit être encadrée avec rigueur, notamment en prévoyant des procédures documentées, des gestions d'habilitation spécifiques, des mesures de protection de l'intégrité et de la confidentialité adaptées. Elle souligne par ailleurs que les modalités d'archivage devront également prendre en compte les éventuelles procédures de révision des procédures pénales ou encore les procédures de réhabilitation qui peuvent être introduites postérieurement.
48. En ce qui concerne la durée de conservation des données de journalisation, la Commission rappelle que la collecte de ces données a pour seule finalité la détection et/ou la prévention d'opérations illégitimes sur les données. La durée de stockage de ces traces doit être fixée de manière proportionnée à cette unique finalité. De plus, ces données de traçabilité ne doivent en aucun cas permettre d'avoir des informations sur des données dont la durée de conservation est dépassée.
49. En ce qui concerne les droits des personnes, la Commission relève qu'une notice d'information précisant l'ensemble des informations prévues à l'article 104 de la loi du 6 janvier 1978 modifiée sera insérée sur le site web « justice.fr ».
50. La Commission prend acte que le ministère ne procédera pas à une information individualisée des personnes concernées mais qu'il envisage de procéder à une information dédiée pour les personnels du ministère de la justice qui utilisent le traitement.
51. Sans remettre en cause les modalités d'exercice des droits des personnes telles que prévues par le ministère, la Commission rappelle qu'il revient au ministère de prévoir des mesures particulières en ce qui concerne les personnes mineures et ce, afin de leur délivrer une information selon des modalités adaptées.
52. Les autres modalités d'exercice des droits n'appellent pas d'observations particulières.

La présidente,


M.-L. Denis