[PLF 2025] Suivez en temps réel le projet de loi finance 2025 sur Pappers Politique !

Pappers Politique vous permet de rechercher et surveiller les amendements, rapports, questions, propositions de loi des députés et sénateurs
  • Suivi automatiquement de vos amendements
  • Suivez en temps réel les débats parlementaires
  • Cartographie parlementaire avancée
Réserver une démo

Délibération n° 2021-066 du 3 juin 2021 portant avis sur un projet de décret en Conseil d'Etat relatif à la délivrance par voie électronique sécurisée du bulletin n° 3 du casier judiciaire (demande d'avis n° 21005493)

Outre-mer
Justice et droit
Institutions publiques
Déposé le 2 juin 2021 à 22h00, publié le 8 décembre 2021 à 23h00
Journal officiel

Texte

La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de la justice d'une demande d'avis sur un projet de décret relatif à la délivrance par voie électronique sécurisée du bulletin n° 3 du casier judiciaire ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;
Vu le code de procédure pénale, notamment son article 779 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés,

Après avoir entendu Mme Christine MAUGÜÉ, commissaire, en son rapport et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie le 9 mars 2021, en application de l'article 779 du code de procédure pénale (CPP), d'un projet de décret en Conseil d'Etat visant à permettre la délivrance par voie électronique sécurisée du bulletin n° 3 (B3) du casier judiciaire. Cette disposition prévoit en effet que les mesures nécessaires à l'exécution des articles 768 à 778, et notamment les conditions dans lesquelles doivent être demandés, établis et délivrés les bulletins n° 1, 2 et 3 du casier judiciaire, sont déterminées par un décret en Conseil d'Etat pris après avis de la Commission nationale de l'informatique et des libertés. Le projet de décret soumis modifie les articles R. 82, R. 84 et R. 306 du CPP. La Commission rappelle qu'elle a déjà été amenée à se prononcer sur le dispositif de délivrance dématérialisée des extraits de casier judiciaire dans sa délibération n° 2015-415 du 19 novembre 2015 portant avis sur un projet de décret relatif aux dispositions concernant le contenu et la délivrance des extraits de casier judiciaire.
Le B3 est l'extrait qui contient le contenu le plus restreint. Il indique le relevé des condamnations prononcées par une juridiction nationale pour les crimes ou délits qui sont listés à l'article 777 du CPP, lorsqu'elles ne sont pas exclues du bulletin n° 2. Ce bulletin ne peut être communiqué qu'à la personne concernée ou à son représentant légal. S'agissant des modalités de délivrance du B3, l'actuel article R. 82 du CPP prévoit que :



- la demande, qui doit préciser l'état civil de l'intéressé, peut être faite par lettre ou par voie électronique sécurisée ;
- le B3 peut aussi être obtenu si la personne qu'il concerne se présente au service du casier judiciaire national automatisé et justifie de son identité ;
- il peut également être demandé par voie électronique sécurisée par l'autorité centrale d'un Etat membre de l'Union européenne, saisie par la personne concernée, quel que soit son lieu de naissance.



La Commission relève que le présent projet de décret, qui constitue la première étape de la refonte du casier judiciaire national, vise à :



- permettre, pour s'authentifier au téléservice déjà fonctionnel et qui permet de formuler une demande d'extrait du B3, l'utilisation du service « FranceConnect », créé par l'arrêté du 8 novembre 2018. L'intégration de l'authentification par « FranceConnect » au téléservice du casier judiciaire national a pour objectif notamment de simplifier la démarche pour les personnes, et de réduire le risque de délivrance d'un bulletin à une personne autre que son titulaire. Elle prend acte de ce que le recours à « FranceConnect » pour s'authentifier sera facultatif puisque seront maintenues, d'une part, l'authentification au téléservice au moyen d'un formulaire où doivent être renseignées les données d'identité de l'usager et, d'autre part, la voie postale pour demander la délivrance du B3 pour les personnes éligibles à ce dispositif ;
- supprimer la remise en mains propres du B3 au service du casier judiciaire national, en raison de la mise en place de la dématérialisation de la délivrance du B3.



La Commission prend acte que la modalité d'identification via FranceConnect « sera en théorie proposée à tous les demandeurs du B3 ». Elle estime toutefois que la modification telle que projetée de l'article R. 82 du CPP semble indiquer que cette fonctionnalité ne sera accessible qu'au demandeur né à l'étranger, au demandeur dont le lieu de naissance est inconnu ou au demandeur âgé de moins de douze ans et considère que le projet de décret devrait être modifié afin de clarifier ce point.
Seuls les B3 « néant », c'est-à-dire sans condamnation ou autre mesure seront adressés par voie dématérialisée. Les autres B3 seront transmis par lettre recommandée avec demande d'avis de réception.
La Commission rappelle que le traitement relève du règlement général relatif à la protection des données (RGPD) dès lors qu'il a pour finalité la délivrance de documents d'information aux demandeurs.



Sur les conditions générales de mise en œuvre du dispositif



En premier lieu, la Commission relève que la suppression du quatrième alinéa de l'article R. 82 du CPP a pour but de prendre acte de la fermeture de l'accueil physique du casier judiciaire national depuis le 24 septembre 2018, pour les personnes nées en France métropolitaine ou dans certains territoires ultramarins (Guadeloupe, Guyane, Martinique, Mayotte et La Réunion). Elle observe que le présent projet de décret ne modifie pas les dispositions relatives aux modalités de délivrance du B3 pour les personnes nées en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna (articles R. 290 et suivants ainsi que R. 306 du CPP). Les personnes résidant dans ces territoires mais nées en dehors de ceux-ci pourront quant à elles demander la délivrance du B3 selon les modalités habituelles prévues (par courrier ou via le téléservice du casier judiciaire national).
Le ministère a précisé que les personnes concernées pourront notamment avoir connaissance des différentes possibilités de demander la délivrance du B3 en fonction de leur lieu de naissance et de l'éventuel accompagnement mis en place pour les aider par différentes informations figurant sur les sites web du ministère de la justice (www.justice.fr et www.casier-judiciaire.justice.gouv.fr) et www.service-public.fr. La Commission relève également que la page du site du ministère de la justice permettant de faire la demande de délivrance du B3 est traduite en plusieurs langues (anglais, allemand, espagnol) et est accessible aux personnes malvoyantes.
S'agissant des personnes mineures, la Commission prend acte de ce que le téléservice comporte un filtre sur la date de naissance qui porte sur l'âge de douze ans et que seul un représentant légal est habilité à demander un extrait du B3 par courrier adressé au casier judiciaire national. Pour les mineurs âgés de douze à dix-sept ans, elle prend acte de ce que le représentant légal peut faire une demande de B3 par l'intermédiaire du téléservice ou par courrier postal. S'agissant des majeurs protégés sous tutelle, elle prend aussi acte de ce que seul le tuteur pourra effectuer la demande de délivrance du B3 par courrier adressé au casier judiciaire national. En revanche, elle relève qu'un majeur sous sauvegarde de justice, sous curatelle ou sous curatelle renforcée pourra effectuer lui-même la demande de délivrance du B3.
En second lieu, s'agissant du fonctionnement du dispositif projeté, la Commission relève qu'en principe - et sous réserve de la clarification de la rédaction du décret ainsi qu'indiquée au point 4 - toute personne, quelle que soit sa nationalité, peut demander une copie de son B3 par l'intermédiaire du téléservice mis en place et en s'identifiant avec « FranceConnect ».
Les personnes qui tentent de se connecter avec « FranceConnect » mais qui ne disposent pas d'un identifiant auprès de ce service car elles ne sont pas renseignées dans le Répertoire national d'identification des personnes physiques (RNIPP) ou dont l'identité n'est pas validée (par exemple : personnes nées à l'étranger et n'ayant jamais travaillé en France, cas d'homonymie, etc.), recevront un message d'erreur transmis par « FranceConnect ». La Commission prend acte des précisions apportées par le ministère selon lesquelles, dans cette hypothèse, ces personnes pourront revenir à la page d'accueil du site web proposant le téléservice et choisir, en fonction de leur situation, de formuler leur demande en utilisant le formulaire ou par voie postale, en joignant les justificatifs demandés.



Sur la réalisation d'une analyse d'impact relative à la protection des données (AIPD)



La Commission observe que le dossier transmis ne contient pas d'analyse d'impact relative à la protection des données (articles 35 et 36 du RGPD). Elle relève que le ministère considère en effet que « l'ajout de la fonctionnalité d'authentification par Franceconnect n'élève pas le niveau de risque, l'utilisation de ce service ayant au contraire pour objet de sécuriser la demande de B3. Dès lors, sa mise en œuvre n'entraîne pas la nécessité de réaliser une AIPD sur ce traitement ». Cette analyse relative au seul recours à l'authentification via « FranceConnect » n'appelle pas d'observations particulières.
Cependant, la Commission observe qu'il ressort plus largement des éléments transmis que le ministère a considéré que deux critères permettant d'apprécier si un traitement est susceptible d'engendrer un risque élevé, tels que prévus par les lignes directrices qui ont été adoptées le 4 avril 2017 par le groupe de protection des personnes à l'égard du traitement de données à caractère personnel, dénommé « G29 » et reprises par le Comité européen à la protection des données, étaient remplis s'agissant du téléservice de délivrance des B3, à savoir le traitement de données à grande échelle et le traitement de données relatives à des personnes vulnérables. Or, les lignes directrices précisent que « dans la plupart des cas, le responsable de traitement peut considérer qu'un traitement satisfaisant à deux critères nécessite une AIPD ».
En outre, la Commission relève l'existence d'un risque d'accès illégitime aux données puisque le ministère évoque l'utilisation de l'historique des demandes afin de rechercher « les demandeurs de B3 en nombre pour repérer les demandeurs institutionnels ». A cet égard, il a notamment été identifié, « à plusieurs reprises, que certains employeurs effectuaient la demande de B3 en lieu et place de la personne recrutée ».
La Commission observe que, en 2018, le ministère a considéré que la mise en place du téléservice de délivrance des B3 ne conduisait pas à une élévation du niveau de risque et ne nécessitait pas la réalisation d'une AIPD. Compte tenu de ce qui précède, elle rappelle toutefois que les mesures techniques et organisationnelles doivent faire l'objet d'une évaluation régulière et, au regard des risques invoqués, elle recommande dès lors au ministère de réaliser une AIPD dans le cadre de sa mise en conformité pour l'ensemble des opérations nécessaires au bon fonctionnement du casier judiciaire et estime que celle-ci devrait lui être transmise dans le cas où elle ferait apparaître des risques résiduels élevés, conformément à l'article 36 du RGPD.



Sur les mesures de sécurité



La Commission prend acte de la mise en place d'une journalisation sur l'outil de consultation et d'une journalisation fonctionnelle sur les opérations et les documents créés. Elle relève que ces journalisations ont pour finalité la détection et la prévention d'opérations illégitimes sur les données principales. Celles-ci pourront faire l'objet de réquisitions dans le respect des textes en vigueur.
La durée de conservation des journaux de l'outil de consultation de six mois est conforme aux préconisations de la Commission. Elle prend acte de ce que ces journaux, consultables par tous les agents du CJN, ont pour objectif de répondre aux demandeurs sur l'historique et le suivi de leurs demandes.
La durée de conservation de la journalisation fonctionnelle est de trois années, ce que la Commission considère comme proportionné compte tenu de l'existence de détournements connus et avérés du traitement ainsi que des risques réels pour les personnes concernées eu égard aux données susceptibles de figurer au B3. Elle souligne dès lors la nécessité de mettre en œuvre des mesures pour lutter contre ces détournements. Elle relève que ces traces correspondent à un historique des opérations et des documents créés, elles ne sont accessibles qu'aux administrateurs. Elles sont utilisées pour répondre aux éventuels recours et permettre au ministère d'effectuer un « autocontrôle », c'est-à-dire détecter les demandes répétées de B3 pour identifier les demandes d'employeurs et les cibler pour des campagnes de sensibilisation selon les précisions apportées par le ministère.



Sur les données collectées



La Commission observe qu'il ressort du document de présentation qui lui a été adressé par le ministère que, lorsque le demandeur s'identifie par « FranceConnect », « les données d'état civil (civilité, nom de famille, son ou ses prénom(s), la date, le département et le lieu de naissance) sont déjà renseignées sur le formulaire (…) il s'agit des données issues de la vérification du RNIPP effectuée par FranceConnect ».
Elle relève que l'article 3 de l'arrêté du 8 novembre 2018 relatif au téléservice dénommé « FranceConnect » prévoit les catégories de données à caractère personnel enregistrées.
A cet égard, s'agissant de la donnée relative au sexe du demandeur, la Commission prend acte de ce que celle-ci sera vérifiée au moyen des données renseignées au titre de l'état civil.

La présidente,


M.-L. Denis