[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-009 du 7 janvier 2021 portant avis sur un projet de décret relatif au traitement de données à caractère personnel dénommé « Fichier national automatisé des empreintes génétiques » et modifiant les dispositions du code de procédure pénale (demande d'avis n° 19017520)

Justice et droit
Données personnelles
Sécurité publique
Déposé le 6 janvier 2021 à 23h00, publié le 29 octobre 2021 à 22h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet de décret relatif au traitement de données à caractère personnel dénommé « Fichier national automatisé des empreintes génétiques » et modifiant les dispositions du code de procédure pénale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD) ;
Vu le règlement (UE) 2018/1862 du Parlement européen et du Conseil du 28 novembre 2018 sur l'établissement, le fonctionnement et l'utilisation du système d'information Schengen (SIS) dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, modifiant et abrogeant la décision 2007/533/JAI du Conseil, et abrogeant le règlement (CE) n° 1986/2006 du Parlement européen et du Conseil et la décision 2010/261/UE de la Commission ;
Vu la directive 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes des personnes physiques à l'égard du traitement de données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données et abrogeant la décision cadre 2008/977/JAI du Conseil ;
Vu le code civil, notamment son article 16-11 ;
Vu le code de procédure pénale, notamment ses articles 706-54 à 706-56-1-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2010-242 du 10 mars 2010 tendant à amoindrir le risque de récidive criminelle et portant diverses dispositions de procédure pénale ;
Vu la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure ;
Vu la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale ;
Vu la loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice ;
Vu le décret n° 2012-125 du 30 janvier 2012 relatif à la procédure extrajudiciaire d'identification des personnes décédées ;
Vu le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 6 juillet 2016 déterminant le nombre et la nature des segments d'ADN non codants nécessaires à la réalisation de rapprochements en parentalité dans le fichier national automatisé des empreintes génétiques ;

Après avoir entendu Mme Sophie LAMBREMON, commissaire, en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le fichier national automatisé des empreintes génétiques (FNAEG) est un fichier commun à la police et à la gendarmerie nationales. Il s'agit d'un fichier de police judiciaire qui fut créé à l'origine pour conserver les empreintes génétiques des personnes mises en cause ou déclarées coupables de certaines infractions, afin de faciliter l'identification des auteurs en cas de réitération. Ces infractions, listées à l'article 706-55 du code de procédure pénale (CPP), étaient initialement limitées à des crimes particulièrement graves et ont été étendues par la suite.
Le fichier contient également des empreintes génétiques recueillies à l'occasion des procédures judiciaires de recherche des causes de la mort d'une personne, ou d'une disparition inquiétante, ainsi que de procédures d'identification prévues par l'article 16-11 du code civil. A cet égard, la Commission souligne l'ambiguïté actuelle de l'article 706-54 du CPP et du renvoi à l'article 16-11 du code civil, quant au périmètre des procédures extra-judiciaires visées, et estime que, à tout le moins, le texte de cet article devrait à terme être clarifié. Dans le cadre de procédures d'identification de cadavres ou de recherche de personnes disparues, les empreintes utilisées sont alors principalement celles des cadavres non identifiés, afin de vérifier si leur identité n'est pas contenue dans la base, ou celles de proches de la personne disparue, afin de les comparer à un cadavre non identifié ou à des traces biologiques dont il est soupçonné qu'elles puissent provenir de la personne disparue, dont l'empreinte génétique n'est elle-même pas présente en base : la comparaison avec les empreintes de personnes de sa famille permet de déterminer la probabilité que le cadavre soit celui de la personne recherchée ou que la trace analysée en provienne. Le FNAEG contient également les empreintes issues des traces biologiques prélevées durant ces procédures (par exemple, sur le lieu de commission d'une infraction).
Les conditions de mise en œuvre du FNAEG, sur lesquelles la Commission s'est prononcée à plusieurs reprises, sont prévues aux articles législatifs 706-54 à 706-56-1-1 du CPP, ainsi que R. 53-9 à R. 53-21 du même code. La Commission souligne deux garanties importantes prévues par le législateur pour la constitution de ce fichier : d'une part, l'empreinte n'est réalisée qu'à partir de segments non codants de l'ADN et il n'est donc pas possible en principe d'inférer des caractéristiques physiques à partir des données génétiques conservées en base ; d'autre part, dans la mesure où le fichier associe l'utilisation des informations génétiques contenues dans la base à plusieurs finalités distinctes (identification de l'auteur d'une infraction, identification d'un cadavre, aide à la recherche d'une personne disparue), l'article 706- 54 précité prévoit que les données enregistrées dans un cadre extra-judiciaire « font l'objet d'un enregistrement distinct de celui des autres empreintes génétiques conservées dans le fichier ».
Compte tenu des finalités poursuivies par le traitement, qui est pour partie mis en œuvre à des fins de prévention et de constatation d'infractions pénales au sens de la directive 2016/680 du 27 avril 2016 susvisée, et qui poursuit en outre des finalités civiles et administratives, le ministère considère qu'il relève à la fois du champ du RGPD, sur la base légale de la mission d'intérêt public, et de la directive précitée, transposée au titre III de la loi du 6 janvier 1978 modifiée.
La Commission souligne que le FNAEG, dont la création était entourée de circonstances singulières marquées par la commission d'infractions graves, constitue un traitement susceptible d'être considéré, par nature et en raison notamment des données qu'il contient, comme plus attentatoire aux libertés individuelles que d'autres traitements de police judiciaire. Elle relève que les mutations successives relatives au périmètre du FNAEG, ainsi que certaines de ses conditions de mise en œuvre, ont conduit à en faire un fichier d'une ampleur très conséquente, au sein duquel des données hautement identifiantes sont enregistrées. Elle appelle particulièrement l'attention du Gouvernement et du législateur sur la technique de la recherche en parentèle, qui consiste à inférer des données présentes dans le fichier relatives à certaines personnes, des informations relatives à d'autres personnes qui, en tant que telles, n'ont pas nécessairement vocation à y figurer. Cette extension de la portée du fichier accroit l'atteinte portée à la vie privée des personnes qui sont ainsi identifiables. La Commission estime que le recours à cette pratique, couplée à des données en outre particulièrement sensibles, doit faire l'objet d'un strict contrôle de proportionnalité.
La Commission rappelle dès lors qu'il importe que l'utilisation du FNAEG soit strictement encadrée. Elle a ainsi toujours considéré que la collecte de données génétiques devait être assortie de garanties fortes, afin d'assurer la stricte proportionnalité entre la finalité poursuive par ce fichier et le traitement de ces données d'une nature particulière.
Dans ce contexte, la Commission relève que les modifications envisagées par le projet de décret visent notamment à permettre l'application de dispositions législatives successivement adoptées depuis 2010, qui ont eu pour objet d'étendre les finalités du FNAEG (recueil et l'exploitation des empreintes génétiques aux fins d'identification de cadavres non identifiés, de victimes de catastrophes naturelles ou de personnes disparues et dont la mort est supposée, en dehors de toute procédure pénale), ainsi que de faire évoluer ses différentes fonctionnalités.
Le projet de décret vise par ailleurs à tenir compte tant des décisions du Conseil constitutionnel que de celles de la Cour européenne des droits de l'homme (CEDH) en matière de conservation des données. D'une manière générale, la Commission estime que ces dernières modifications permettent de renforcer les garanties offertes en matière de protection des données à caractère personnel, en modulant notamment les durées de conservation des données en fonction de l'âge des personnes concernées et en permettant par ailleurs un effacement anticipé des données.
Elle relève néanmoins que d'autres dispositions du projet de décret, qui modifient substantiellement le FNAEG, suscitent d'importantes réserves.
Elles portent plus particulièrement sur :



- l'extension significative du périmètre des proches d'une personne disparue dont les données peuvent être enregistrées dans le fichier ;
- l'inquiétude quant à l'utilisation de ces données pour des recherches en parentèle ainsi que les modalités de comparaison de ces empreintes au sein du FNAEG ;
- la création d'un nouvel identifiant commun à plusieurs fichiers de police.



Sur la recherche en parentèle prévue à l'article 706-56-1-1 du CPP :
Le projet d'article R. 53-10-IV prévoit que « lorsque les nécessités d'une enquête ou d'une information concernant l'un des crimes prévus à l'article 706-55 l'exigent [tels que certains vols, actes de terrorismes ou encore des infractions sexuelles] » il est possible de « procéder à une comparaison entre l'empreinte génétique enregistrée au fichier établie à partir d'une trace biologique issue d'une personne inconnue », avec certaines des empreintes enregistrées dans le traitement (empreintes génétiques des personnes déclarées coupables ou irresponsables, ainsi que celles des personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient commis une infraction). Une telle recherche a pour objectif de déterminer non seulement si l'empreinte de la personne recherchée est contenue dans le fichier, mais également si elle est « apparentée en ligne directe » avec l'une des empreintes du fichier (« recherche en parentèle »).
Cette faculté est prévue à l'article 706-56-1-1 du CPP et a été introduite par l'article 80 de la loi du 3 juin 2016 susvisée. La loi a limité le recours à ces recherches aux seules procédures relatives à l'un des crimes prévus à l'article 706-55 du CPP et a également limité les empreintes génétiques enregistrées au FNAEG qui peuvent être utilisées, en excluant l'ensemble des données recueillies dans un cadre extra-judiciaire.
Si la Commission prend acte des précisions apportées par le ministère selon lesquelles cette possibilité de recherche en parentèle constitue un élément d'orientation de l'enquête qui nécessite, en tout état de cause, la réalisation d'investigations complémentaires, elle souligne néanmoins que les mesures envisagées sont susceptibles d'entraîner des risques graves pour la vie privée et la protection des personnes pouvant être ciblées sur la base de correspondances génétiques partielles.
La Commission estime que ces risques, tenant notamment au fait qu'une telle comparaison comprend nécessairement une marge d'erreur, sont susceptibles d'entraîner le cas échéant des conséquences importantes pour la personne, qui pourrait par exemple être mise en cause dans une procédure judiciaire sur cette base et qui doivent, dès lors être précisément mesurés. Elle rappelle en outre que la concordance réalisée dans le cadre d'une telle recherche, ne saurait, à elle seule, produire des effets juridiques sur la personne concernée et l'affectant de manière significative, notamment au regard des risques associés à la marge d'erreur de ces types de recherche.
Sur la collecte de données génétiques relatives aux ascendants, descendants et collatéraux de personnes disparues, et leur traitement au sein du FNAEG, notamment par recherche en parentèle :
En premier lieu, s'agissant de la collecte des données, l'article 3 du projet de décret vise à modifier l'article R. 53-10 du CPP relatif aux empreintes génétiques qui peuvent être enregistrées dans le FNAEG. Les dispositions relatives à l'enregistrement des échantillons biologiques prélevés sur les proches d'une personne disparue, aujourd'hui limités aux « ascendants et descendants », sont élargies à tous les « collatéraux ».
Le ministère a précisé qu'à l'heure actuelle, et en l'état de l'avancée des technologies en la matière, l'identification d'une personne n'est en principe possible qu'à partir de l'empreinte génétique des ascendants ou descendants au premier degré. La modification du décret semble dès lors principalement motivée par la volonté d'anticiper d'éventuelles évolutions scientifiques, susceptibles d'offrir des potentialités d'identification plus larges. Dans ce contexte, la Commission est défavorable à ce que le décret autorise cette collecte. Le ministère a toutefois objecté que, notamment lorsque la personne disparue n'a ni ascendant, ni descendant, la collecte des empreintes des collatéraux est la seule qui puisse aider la recherche ou l'identification de la personne et peut fournir des indications utiles. Dans ce contexte uniquement, la Commission estime que le décret pourrait en autoriser la collecte, dans cette seule hypothèse et pour des cas d'usage où une telle utilité est avérée.
A titre subsidiaire, la Commission insiste pour que le projet de décret explicite ce que recouvrent précisément les notions « d'ascendants, de descendants ainsi que de collatéraux » et les degrés de filiation concernés, quand bien même ce recueil ne présente aucun caractère coercitif.
En second lieu, s'agissant du traitement des données et de la recherche en parentèle, le projet de décret prévoit deux niveaux de comparaison des empreintes des ascendants, descendants et collatéraux d'une personne disparue avec celles enregistrées dans le FNAEG. Dans la comparaison de premier niveau, les empreintes des proches sont seulement comparées avec des données du FNAEG relatives à des personnes disparues, qui sont en général issues de cadavres non identifiés ou de traces relevées en un lieu et que l'on estime pouvoir relier à la personne disparue. Au second niveau, les empreintes biologiques des proches de la personne disparue peuvent, tant qu'elles sont conservées dans le fichier, être également comparées aux données enregistrées dans le fichier ou faisant l'objet d'une comparaison avec le fichier et pour toutes ses finalités.
La Commission relève que s'agissant du consentement de second niveau, pour les données relatives aux proches et collectées dans un cadre judiciaire, le ministère n'avait initialement, dans le projet transmis à la Commission, pas entendu exclure de cette comparaison les traces biologiques issues de personnes inconnues également recueillies dans un cadre judiciaire, permettant ainsi une comparaison avec l'ensemble du fichier. Il en résulte qu'une personne qui a un jour consenti volontairement, dans un cadre judiciaire, à l'enregistrement de ses données aux fins de retrouver un proche puisse se retrouver mise en cause dans une affaire. En outre, par le moyen de la recherche en parentèle, l'empreinte du proche de la personne disparue peut conduire à orienter l'enquête, dans le cadre d'une procédure judiciaire, vers une autre personne de sa famille, distincte de la personne disparue et dont l'empreinte n'avait pas été relevée.
Si le ministère relève que les dispositions en vigueur du CPP ne s'opposent pas à cette possibilité, la Commission souligne néanmoins qu'elles ne le permettent pas expressément et que, en sens inverse, l'article 706-54-2° du CPP prévoit que les empreintes génétiques recueillies dans un cadre extrajudiciaire font l'objet d'un enregistrement distinct de celui des autres empreintes génétiques conservées dans le fichier, ce qui semble impliquer un cloisonnement entre les finalités pour lesquelles ces données sont traitées. Elle considère que le projet de décret introduit des modifications très significatives du FNAEG sur ce point, et qui appellent les observations suivantes.
D'une part, ces modifications opèrent un changement d'échelle significatif du volume de données susceptibles d'être comparées au sein du FNAEG, concernant des personnes à l'encontre desquelles ne pèse aucune suspicion de commission d'une infraction.
D'autre part, la Commission relève que ces modalités de comparaison conduisent à étendre les finalités pour lesquelles les données relatives à ces personnes sont collectées, et strictement encadrées par le projet de décret, à savoir l'identification de personnes disparues et considère que la pertinence d'une telle utilisation, au-delà de l'identification des seules personnes disparues, n'est à ce stade pas démontrée.
Enfin, la Commission estime qu'il n'est pas possible d'attraire ainsi au sein du FNAEG tous les proches d'une personne mise en cause dans une affaire judiciaire par exemple, qui se retrouvent alors potentiellement identifiables par le biais de la recherche en parentèle. Or le seul motif pour lequel cette partie de la population se retrouve identifiable, via le FNAEG, lors de procédures judiciaires, tiendrait au fait qu'un de leurs proches a disparu à un moment dans le passé et que les traces des personnes de leur famille recueillies à ce moment-là sont encore conservées dans le fichier. Cette utilisation ultérieure des données est entièrement distincte de la finalité pour laquelle elles ont été collectées, et revient à créer, par destination, un fichier génétique permettant d'identifier une grande partie de la population.
Compte tenu de ce qui précède, la Commission demande donc au ministère de retirer du projet de décret le deuxième niveau de comparaison auquel peut consentir le proche d'une personne disparue lorsque son empreinte génétique est inscrite au FNAEG. Elle s'interroge en tout état de cause sur la possibilité de recourir à une norme de niveau réglementaire pour encadrer, le cas échéant, ce niveau de comparaison et de recherche au sein du FNAEG.
En réponse aux observations de la Commission précédemment exposées, le ministère s'est engagé à retirer du consentement de second niveau la possibilité de comparaison des empreintes génétiques des proches d'une personne disparue avec les traces biologiques issues de personnes inconnues relevées sur une scène d'infraction, mais à maintenir les comparaisons avec les empreintes des personnes suspectées ou condamnées. La Commission en prend acte mais maintient, pour le surplus, sa demande de retrait.
Sur les mises en relation avec d'autres traitements et l'utilisation d'un numéro d'identification unique :
Le projet de décret modifie l'article R. 53-19 du CPP afin de prévoir que le FNAEG peut, « par exception », faire l'objet d'interconnexions, de rapprochements ou de mises en relation avec les traitements suivants : le traitement mis en œuvre par le service central de préservation des prélèvements biologiques mentionné à l'article R. 53-20-1 du CPP, le traitement mentionné à l'article R. 15-33-66-4 du CPP (Cassiopée), le traitement mentionné à l'article R. 40-23 du CPP (le traitement d'antécédents judiciaires, TAJ), les traitements automatisés utilisés par les personnes physiques ou morales agréées au titre du décret n° 97-109 du 6 février 1997 ayant réalisé les analyses dans les conditions prévues à l'article R. 53-18 du CPP, le traitement automatisé de traces et empreintes digitales et palmaires (FAED), les logiciels de rédaction des procédures de la police nationale (LRPPN) et de la gendarmerie nationale (LRPGN), le système d'information Schengen (SIS), la passerelle internationale en matière d'ADN de l'organisation internationale de police criminelle Interpol, le fichier des personnes recherchées (FPR).
Il prévoit en outre que certains de ces traitements peuvent comporter un numéro d'identification unique avec le fichier national automatisé des empreintes génétiques.
Le ministère a précisé que la majorité de ces mises en relations sera réalisée de manière manuelle. Plus particulièrement s'agissant des traitements Cassiopée et du TAJ, le ministère a indiqué qu'elles doivent permettre à l'autorité judiciaire de mettre à jour l'application FNAEG lorsque, suite à la demande d'une personne, elle autorise l'effacement des données. Il a également été précisé que ces mises en relation s'inscrivent dans une démarche de simplification et de fiabilisation de la chaîne judiciaire et pénale et ne concernent, en tout état de cause, que des fichiers qui partagent une même finalité de police judiciaire et plus spécifiquement d'identification d'auteurs d'infractions ou de personnes (personnes disparues, cadavres non identifiés).
Le ministère a indiqué que la seule donnée utilisée à cette fin dans le FNAEG est l'identifiant commun, dit IDPP, associé au seul profil génétique. Le projet de décret prévoit à cet égard que ce « numéro d'identification » pourra faire l'objet d'un enregistrement dans le traitement, s'agissant des données associées aux échantillons biologiques de certaines catégories de personnes.
Le ministère a précisé que l'utilisation de cet identifiant doit permettre de fiabiliser l'identité de la personne et d'opérer une comparaison sur la base de ce numéro, avec d'autres traitements. Il a indiqué que ce numéro sera généré automatiquement par les logiciels de rédaction des procédures et ne fera l'objet d'une transmission dans le FNAEG que dans les hypothèses précitées (cadre judiciaire uniquement).
A titre liminaire, la Commission relève que l'usage d'un tel identifiant pourrait avoir pour justification la fiabilisation des données relatives à un individu au sein de différents fichiers de police et permettre ainsi de remédier aux difficultés rencontrées s'agissant de l'exactitude des données. En effet, elle considère qu'il est nécessaire que les mises en relation entre les fichiers mentionnés soient particulièrement fiables, eu égard aux conséquences importantes que peuvent avoir des erreurs liées à des homonymies, à la présence de noms d'emprunt, ou à l'existence de fiches correspondant à des informations relatives à une personne inconnue.
Si la Commission ne remet pas en cause l'éventuelle utilité que pourrait représenter une telle possibilité, elle rappelle néanmoins que l'utilisation d'un identifiant, rattaché à une personne, et permettant de l'identifier au sein de différents fichiers (quand bien même ce numéro ne serait pas unique), comporte des risques importants devant être assortis de garanties fortes.
La Commission estime que le ministère ne justifie pas de la proportionnalité de l'usage d'un tel identifiant au regard d'un éventuel objectif de fiabilisation de l'identité des individus et/ou de leur identification au cours d'une procédure judiciaire. En l'état des éléments fournis, et notamment le fait que ce numéro sera en réalité attaché à une procédure et non à un individu, elle s'interroge fortement, au-delà du principe même de la mise en œuvre de cet identifiant, sur l'utilité opérationnelle associée à la collecte de cette donnée (à l'instar du numéro de procédure par exemple).
A fortiori, elle souligne que le ministère entend associer un tel numéro à des personnes définitivement déclarées coupables, à des personnes disparues, ou encore à leurs ascendants, descendants ou collatéraux sans que la nécessité d'y recourir, particulièrement à l'égard de ces personnes, soit démontrée. La Commission estime par voie de conséquence que la collecte de ce numéro est disproportionnée au regard des finalités pour lesquelles les informations relatives à ces personnes sont traitées.
Elle relève surtout que la collecte ainsi que l'usage qui est fait de cet identifiant, va bien au-delà de la réglementation du seul FNAEG, puisqu'il sera commun à l'ensemble des fichiers indiqués. A cet égard, la Commission estime qu'une telle évolution, qui revêt des enjeux majeurs en matière de libertés publiques, ne saurait être appréhendée au travers de la seule modification des conditions de mise en œuvre du FNAEG mais doit, le cas échéant, s'inscrire dans une réflexion approfondie de manière à identifier précisément l'objectif poursuivi ainsi que les conséquences induites par une telle modification, sur l'ensemble des traitements concernés, mis en œuvre dans la sphère pénale. Elle rappelle à cet égard que de telles évolutions impliqueraient la modification des dispositions encadrant ces différents fichiers afin que cet identifiant figure dans les actes réglementant chacun d'eux.
Sur la durée de conservation des données :
Les dispositions relatives à la durée de conservation des données sont modifiées de manière substantielle, notamment afin de prendre en compte la réserve d'interprétation du Conseil constitutionnel formulée dans sa décision du 16 septembre 2010. En se prononçant sur les dispositions législatives relatives au FNAEG, le Conseil a en effet considéré « [qu'] il appartient au pouvoir réglementaire de proportionner la durée de conservation de ces données personnelles, compte tenu de l'objet du fichier, à la nature ou à la gravité des infractions concernées tout en adaptant ces modalités aux spécificités de la délinquance des mineurs ».
L'article R. 53-14 du CPP tel que modifié par le projet de décret prévoit des durées de conservation spécifiques aux données relatives aux personnes mineures, la liste des infractions les plus graves qui entraînent une augmentation des durées de conservation et de nouvelles modalités d'effacement anticipé en cas de « suite favorable » aux intéressés. Dans la mesure où la Commission a toujours considéré que le traitement de données relatives aux mineurs appelle des garanties particulières, elle estime que les nouvelles durées de conservation définies respectent les dispositions de l'article 6-5° de la loi du 6 janvier 1978 modifiée ainsi que celles du RGPD, conformément aux observations formulées par le Conseil constitutionnel.
En premier lieu, le projet de décret prévoit une diminution de la durée de conservation de principe des traces biologiques, la faisant passer de quarante ans à vingt-cinq ans. Néanmoins, en cas d'un recueil dans le cadre d'une enquête ou une instruction préparatoire relative à une des infractions, limitativement énumérées par le projet de décret, et considérées comme les plus graves, il sera possible, comme cela est le cas actuellement, de conserver ces données quarante ans. De la même manière, les durées de conservation des données relatives aux personnes à l'encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu'elles aient commis une infraction, ainsi qu'aux personnes déclarées coupables ou irresponsables, sont réduites. Ainsi, les données relatives à ces catégories de personnes peuvent être, par principe, conservées respectivement quinze et vingt-cinq ans lorsque la personne est majeure. La Commission estime que ces durées sont, dans la majorité des cas, pertinentes. Elle relève cependant que certaines des catégories d'infractions recouvrent des actions d'une gravité variable. Il en va ainsi notamment du vol et des dégradations ou menace de dégradation de biens. Pour ce type d'infraction, s'agissant des faits les moins graves, une durée de 25 ans pourrait s'avérer disproportionnée et la Commission invite le ministère à réfléchir à la façon de gérer cette disparité au sein des données, dans l'objectif d'affiner les durées de conservation.
En second lieu, le projet de décret fixe expressément une durée de conservation de quarante ans des données relatives aux cadavres non identifiés et aux personnes disparues recueillies dans le cadre d'une procédure judiciaire ou extra-judiciaire. L'ensemble des données sont effacées lorsque le service gestionnaire est informé de l'identification de la personne concernée ou de la découverte de la personne disparue. La Commission estime que cette durée de conservation, bien que particulièrement longue, est pertinente au regard des finalités pour lesquelles les données ont été collectées. Elle souligne que les données relatives à leurs proches pourront être conservées pour une durée identique mais que ces dernières pourront, à tout moment, solliciter l'effacement de leurs données.
Enfin, la Commission estime que les nouvelles durées ainsi définies devront être appliquées au stock des données actuellement enregistrées dans le FNAEG, et prend acte de l'engagement du ministère sur ce point.
Sur les modalités d'effacement des données enregistrées dans le FNAEG :
Les modalités d'effacement des données à la demande de la personne concernée sont substantiellement modifiées par le projet de décret, notamment afin de prendre en compte la jurisprudence de la CEDH, en particulier l'arrêt M. K. contre France du 18 avril 2013 relatif au FAED.
En premier lieu, ces modalités sont modifiées s'agissant des cas, déjà prévus par les dispositions législatives du CPP (issues pour partie de la loi du 23 mars 2019 susvisée), d'effacement des données avant la fin de la durée de conservation : lorsque la personne a été déclarée coupable de l'une des infractions mentionnées à l'article 706-55, qu'elle a fait l'objet d'une décision d'irresponsabilité pénale après avoir été poursuivie pour l'une de ces mêmes infractions ou est mise en cause dans une procédure judiciaire en cas d'indices graves ou concordants, et que la conservation de ces données « n'apparaît plus nécessaire compte tenu de la finalité du fichier » (article 706-54-1) et lorsqu'il est mis fin aux recherches d'identification qui ont justifié leur recueil en cas de recherche extra-judiciaire aux fins d'identification (article 706-54, alinéa 6).
S'agissant des données relatives aux personnes déclarées coupables ou ayant fait l'objet d'une décision d'irresponsabilité pénale, le projet de décret précise désormais les critères permettant d'apprécier l'opportunité de l'effacement des données ou de leur maintien dans le FNAEG ainsi que le délai à l'issue duquel une demande en ce sens peut être adressée. Ces critères, utilisés notamment dans le cadre du FAED et d'autres fichiers de police judiciaire, n'appellent pas d'observation particulière de la part de la Commission.
S'agissant de l'hypothèse d'un effacement anticipé des données relatives aux traces biologiques, le projet de décret indique qu'il pourra être réalisé sur instruction du procureur de la République, du juge d'instruction ou à la demande de l'officier de police judiciaire « dès lors qu'il est établi que leur conservation n'apparaît plus nécessaire compte tenu de la finalité du fichier ». La Commission invite le ministère à préciser les critères d'appréciation de cette nécessité, à l'instar de ce qui est actuellement prévu au projet d'article R. 53-14-2, et prend acte des précisions apportées par le ministère selon lesquelles ces critères pourront par exemple porter sur la résolution de l'affaire, l'identification de l'auteur, ou encore la perte du caractère infractionnel du fait en cause.
En second lieu, et afin de se mettre en conformité avec la décision précitée de la CEDH, le projet de décret prévoit des effacements anticipés, ordonnés d'office par le procureur de la République ou à la demande de la personne concernée.
Ainsi, en cas de décision de relaxe ou d'acquittement devenue définitive, les empreintes génétiques et les données relatives à la personne sont effacées de plein droit sur demande de l'intéressé. En ne prévoyant pas la possibilité pour le procureur de la République de maintenir ces données dans le FNAEG pour des raisons liées aux finalités assignées au traitement, le projet de décret opère une distinction fondée sur l'existence ou non d'une condamnation. Si la Commission estime que cela permet d'écarter le risque de stigmatisation de personnes n'ayant pas été reconnues coupables d'une infraction, comme relevé à plusieurs reprises par la CEDH, elle rappelle néanmoins que, cet effacement est de droit, et ne doit pas être conditionné à la demande de l'intéressé, conformément aux dispositions de l'article 706-54-1 du CPP. La Commission considère que la possibilité que les données soient effacées d'office, constitue une garantie importante et invite dès lors le ministère, qui a confirmé que le décret devait être interprété ainsi et que l'effacement « sur demande » de l'intéressé qu'il prévoit n'est pas la seule modalité permettant l'effacement des données, à clarifier le projet de décret sur ce point. Elle rappelle enfin, que les difficultés avancées par le ministère visant à obtenir des informations quant aux suites judiciaires apportées à une affaire, ne sauraient conduire à vider de sa substance la possibilité pour une personne que ses données soient effacées d'office. L'effacement sur demande ne devrait dès lors jouer qu'un rôle subsidiaire, en cas de dysfonctionnement ponctuel.
En cas de décision de non-lieu et de classement sans suite pour absence d'infraction, insuffisance de charges ou auteur inconnu, les empreintes sont effacées à la demande de l'intéressé, sauf si le procureur de la République en prescrit le maintien pour des raisons liées à la finalité du fichier, au regard des éléments cités précédemment.
En ce qui concerne les classements sans suite pour d'autres motifs, c'est-à-dire ceux qui, d'une manière générale, ne permettent pas d'écarter la responsabilité de la personne concernée dans la commission des faits, la Commission estime qu'ils devraient pouvoir donner lieu à effacement dans les conditions « de droit commun » prévues au deuxième alinéa de l'article 706-54 du CPP, c'est-à-dire lorsque la conservation des données n'apparaît plus nécessaire pour des raisons liées à la finalité du fichier.
Sur les modifications apportées aux autres conditions de mise en œuvre du traitement :
Sur la collecte de données relatives au cadre procédural et aux infractions objets de la procédure diligentée :
La Commission relève que le projet de décret (article R. 53-11) permet la collecte dans le FNAEG, lorsque cela est justifié, du « cadre procédural » ainsi que, « le cas échéant, des références aux infractions mentionnées à l'article 706-55 et objets de la procédure dans le cadre de laquelle l'enregistrement au fichier est demandé ».
Dans la mesure où le FNAEG est un fichier d'identification et non d'antécédents judiciaires, le ministère a mis en œuvre des garanties entourant le traitement de ces catégories d'informations (renseignement au moyen d'une liste déroulante, et impossibilité d'effectuer une recherche sur la base de ces informations). Au regard des garanties ainsi apportées, la Commission approuve la présence dans le fichier de ces informations (y compris sous forme de métadonnées), qui permettront de veiller au respect de la finalité judiciaire ou extra-judiciaire du traitement des données, au respect des durées de conservation des données et à l'instruction des demandes d'effacement, afin de prendre en compte la réserve d'interprétation formulée par le Conseil constitutionnel.
Sur la coopération européenne et internationale :
En premier lieu, l'article 42 du règlement 2018/1862 prévoit que pourront être inscrites dans le système d'information Schengen les personnes disparues qui doivent être placées sous protection (dans l'intérêt de leur propre protection, ou pour prévenir une menace à l'ordre public ou à la sécurité publique) et, avec leur consentement, leur parentèle, lorsqu'aucun matériel dactyloscopique, photographique ou une image faciale n'est disponible.
Si le ministère envisage de développer une interconnexion du SIS avec le FNAEG, il a indiqué que la transmission du profil génétique vers le traitement relatif à la partie nationale du système d'information Schengen de deuxième génération (N-SIS II) sera, dans un premier temps, réalisée « manuellement ». A cet égard, il est envisagé pour ce faire que l'enquêteur procède à la création d'une fiche dans le FPR (insertion des données d'identité, motif de la recherche, etc.), sur laquelle seront ajoutés les identifiants relevés dans les logiciels de rédaction des procédures et/ou le TAJ. Cette fiche sera transmise de façon automatisée au N-SIS II, qui viendra requêter le FNAEG afin de récupérer le profil génétique associé à la personne disparue et aux éventuels parents. Le profil génétique s'ajoutera alors à la fiche inscrite dans le SIS. La Commission relève toutefois que ces dispositions ne sont pas encore en application et que ces évolutions nécessitent en tout état de cause une modification du décret n° 2010-569 du 28 mai 2010 relatif au FPR, qui devra lui être soumise pour avis. Elle souligne d'ores et déjà qu'elle examinera avec attention les modifications envisagées, compte tenu de la particulière sensibilité de ces données.
En second lieu, la Commission souligne que des données peuvent être transmises hors de l'Union européenne, et que ces transferts ne pourront être réalisés que dans le cadre de la coopération internationale. Elle rappelle de manière générale que les transferts de données vers des Etats n'appartenant pas à l'Union européenne ou vers des destinataires établis dans des Etats n'appartenant pas à l'Union européenne ne pourront être opérés que sous réserve du respect des conditions énoncées aux articles 45 et suivants du RGPD, et 112 de la loi du 6 janvier 1978 modifiée, auxquelles la Commission renvoie.
Enfin, elle appelle à une vigilance particulière concernant les échanges de données au sein de l'Union européenne fondés sur le traité de Prüm (qui vise à lutter contre le terrorisme, la criminalité transfrontalière et la migration illégale, et institue ainsi une « coopération renforcée »), compte tenu de la nécessaire révision de celui-ci au regard de l'évolution de la réglementation en matière de protection des données à caractère personnel intervenue depuis 2005, et eu égard à la sensibilité des informations susceptibles d'être transmises et aux garanties qui doivent être prises pour assurer la protection des données génétiques.
Sur la durée de conservation des données de traçabilité :
La Commission prend note de l'engagement du ministère de limiter la conservation des traces applicatives à une durée de trois ans. Elle recommande par ailleurs que des mesures d'analyse automatique des traces soient mises en œuvre afin de détecter le plus rapidement possible toute atteinte à la sécurité des données du traitement.
Sur les autres mesures de sécurité :
La Commission prend acte de ce que les développements informatiques permettant les évolutions envisagées seront confiés à un sous-traitant. Elle relève à cet égard que le ministère prévoit de transmettre à ce sous-traitant des données réelles, notamment des profils génétiques ainsi que les codes-barres associés, tandis que d'autres données (nom et prénoms des personnes concernées, informations relatives aux laboratoires) seront anonymisées avant la transmission. La Commission rappelle qu'elle recommande, lorsque cela est possible, de fournir aux prestataires chargés des développements informatiques des données fictives générées spécifiquement ou bien des données préalablement anonymisées et non des données réelles issues du traitement. Dans le cas où cela ne serait pas techniquement possible, le ministère devra spécifiquement encadrer la transmission de telles données avec le sous-traitant via un contrat fixant des objectifs de sécurité et prévoyant les modalités de destruction des données à l'issue du contrat.
La Commission rappelle la nécessité d'utiliser des briques technologiques (systèmes d'exploitation, bibliothèques et logiciels) à jour afin d'assurer la sécurité du traitement. L'utilisation de briques technologiques obsolètes peut mettre en danger la sécurité du traitement, particulièrement pour les outils permettant les communications sécurisées tels qu'OpenSSL. La Commission prend note de l'usage de solutions de chiffrement conformes à l'annexe B1 du référentiel général de sécurité lors des communications par courriel avec les laboratoires. Elle recommande l'usage d'un client de messagerie mis à jour pour garantir la sécurité des communications. Pour les communications utilisant un support physique, elle invite le responsable de traitement à mettre au plus vite en place des mesures de chiffrement et, a minima, à procéder à la vérification des données en demandant au laboratoire la communication d'un condensat (« hash ») via la messagerie sécurisée.
La Commission rappelle également que toute mise en œuvre future d'interconnexions devra être soumise au même niveau d'exigence de sécurité, notamment en termes de chiffrement des communications.
Pour permettre un meilleur contrôle de l'intégrité de toute donnée saisie manuellement par les opérateurs, la Commission recommande l'utilisation de sommes de contrôle (« checksums ») qui permettent efficacement de détecter des erreurs.
La Commission accueille favorablement la systématisation en cours de l'usage combiné d'une carte agent et d'un code PIN à quatre chiffres. Si l'authentification par mot de passe n'est pas exclue, elle rappelle que celle-ci devra être réalisée conformément aux recommandations formulées dans sa délibération n° 2017-012 du 19 janvier 2017.
La Commission prend note des critères de la politique de sécurité de ministère de l'intérieur respectés dans la mise en place des sauvegardes. De manière additionnelle, elle rappelle que le processus de restauration doit être régulièrement testé pour s'assurer de l'intégrité de celles-ci.
Les autres mesures de sécurité n'appellent pas d'observations de la part de la Commission.

La présidente,


M.-L. Denis