Date de l'avis : 18 janvier 2024. | N° de la délibération : n° 2024-006. |
N° de demande d'avis : 23012713 Organisme(s) à l'origine de la saisine : ministère de l'intérieur. | Textes concernés : projet de décret modifiant le code de procédure pénale et relatif à la mise en œuvre d'un traitement de données à caractère personnel dénommé fichier automatisé des empreintes digitales (FAED). |
Thématiques : données biométriques, empreintes digitales et palmaires, fiches de signalisation d'individus, empreintes d'origine inconnue. | Fondement de la saisine : article 32 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. |
L'essentiel :
1. Le fichier automatisé des empreintes digitales (FAED) est un traitement sensible par nature, en raison des données biométriques hautement identifiantes qu'il contient. La CNIL considère que les évolutions des finalités du fichier sont légitimes et prend acte de la nouvelle rédaction de la finalité d'identification des personnes détenues afin d'y préciser l'établissement des cas de récidive ou de la commission d'infractions dans le cadre de procédures distinctes.
2. Le projet de décret prévoit d'allonger les durées de conservation à quarante ans dans le cadre de procédures criminelles. La CNIL invite le ministère à prévoir, pour l'intégralité des empreintes concernées, que cet allongement ne peut être possible que sur décision d'un magistrat. Sous cette réserve, elle estime que cette durée de conservation allongée est pertinente et justifiée par les besoins de la procédure pénale.
3. Compte tenu de la sensibilité du fichier, la CNIL recommande vivement au ministère de faire figurer dans l'analyse d'impact relative à la protection des données (AIPD), ainsi que sur son site web, la liste des mises en relation effectuées. Enfin, elle estime que le FAED devrait faire l'objet d'une homologation de sécurité préalable à toute nouvelle interconnexion dans les meilleurs délais.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le « fichier automatisé des empreintes digitales » (ci-après « FAED ») facilite la recherche et l'identification, par les services de police judiciaire, des auteurs de crimes et délits, par comparaison biométrique des empreintes relevées sur des lieux de commission d'infractions. Il permet également la recherche des personnes décédées, blessées non identifiées et de personnes disparues. Enfin, il peut être utilisé à des fins de coopération européenne et internationale en matière de police judiciaire.
En décembre 2022, le fichier contenait plus de 6,5 millions d'empreintes de personnes identifiées en tant que mises en cause, ainsi que 293.831 empreintes d'origine inconnue.
B. - L'objet de la saisine
Le ministère de l'intérieur a saisi la Commission nationale de l'informatique et des libertés (ci-après « la CNIL »), sur le fondement de l'article 32 de la loi du 6 janvier 1978 modifiée (ci-après loi « informatique et libertés »), d'un projet de décret modifiant le code de procédure pénale et relatif à la mise en œuvre du traitement de données à caractère personnel dénommé FAED.
Le projet de décret abroge le décret n° 87-249 du 8 avril 1987 relatif au FAED et codifie au sein du code de procédure pénale (CPP) les dispositions relatives à ce fichier. Il encadre :
- les finalités d'identification des personnes détenues et d'identification dans un cadre extrajudiciaire des victimes de catastrophes naturelles ou des personnes faisant l'objet de recherches et dont la mort est supposée ;
- l'allongement des durées de conservation des empreintes digitales et palmaires collectées dans le cadre de procédures criminelles ;
- la levée de l'interdiction de principe des mises en relation.
II. - L'avis de la CNIL
A. - Sur les finalités du traitement
Le FAED a pour finalités de faciliter l'identification, par les empreintes digitales et palmaires :
- des auteurs de crimes et de délits, pour les besoins d'enquêtes pénales ;
- des personnes blessées ou décédées, non identifiées, ou encore disparues et faisant l'objet de recherches, dans un cadre judiciaire ou extrajudiciaire ;
- des personnes dans le cadre de la procédure de vérification d'identité prévue à l'article 78-3 du CPP et d'un étranger dans les conditions prévues à l'article L. 142-2 du code de l'entrée et du séjour des étrangers et du droit d'asile (CESEDA).
En premier lieu, le projet de décret prévoit explicitement une finalité d'identification des personnes détenues dans les établissements pénitentiaires.
Le ministère indique que cette évolution doit permettre :
- d'établir la récidive, en comparant les empreintes avec d'autres empreintes collectées dans le cadre d'une autre enquête ;
- de vérifier que la personne n'est pas connue sous d'autres identités ;
- de confronter les empreintes de la personne concernée avec celles d'origine inconnue afin de révéler d'autres infractions.
La CNIL relève que les services et unités de la police nationale et de la gendarmerie nationale sont d'ores et déjà autorisés à réaliser des prélèvements sur les personnes détenues, au titre de l'établissement de leur dossier individuel pénitentiaire (articles D. 214-7 et D. 214-30 du code pénitentiaire). Par ailleurs, la collecte des empreintes des personnes détenues était déjà prévue par les dispositions qui encadrent actuellement le FAED. Le ministère précise que cette modification intervient dans un souci de transparence.
Cependant, La CNIL observe que le projet de décret crée une finalité autonome « d'identification des personnes détenues dans les établissements pénitentiaires ». Or, les cas d'usage indiqués au point 7 ne visent pas spécifiquement à déterminer l'identité de la personne détenue, qui est en principe connue, mais s'inscrivent dans les autres finalités prévues par le décret, en particulier la conduite d'enquêtes de police judiciaire. La CNIL recommande donc au ministère de reformuler cette finalité et de préciser, dans le projet de décret, l'établissement de la récidive et la recherche d'infractions dans d'autres procédures au titre de cette finalité. Elle prend acte de l'engagement du ministère de préciser cette finalité en ce sens.
En second lieu, le projet de décret ajoute une finalité d'identification des victimes de catastrophes naturelles ou des personnes faisant l'objet de recherches et dont la mort est supposée.
Le ministère a précisé que cette possibilité s'inscrit dans la finalité plus globale et préexistante d'identification des cadavres dans un cadre extrajudiciaire, lorsque l'identité de la personne décédée est inconnue.
Compte tenu des raisons opérationnelles invoquées par le ministère, et du fait que cette évolution s'inscrit dans la continuité de ce qui est déjà encadré, l'extension de cette finalité est légitime.
B. - Sur les empreintes traitées
1. Sur les empreintes pouvant faire l'objet d'une comparaison sans enregistrement
Le projet de décret prévoit que les empreintes collectées dans le cadre d'une vérification d'identité (sur le fondement de l'article 78-3 du CPP) et pour permettre l'identification d'un étranger (dans les conditions de l'article L. 142-2 du CESEDA), peuvent être comparées avec celles des personnes mises en cause, détenues, disparues et collectées dans le cadre judiciaire ou transmises dans le cadre de la coopération judiciaire internationale. Ces empreintes ne sont pas conservées dans le traitement.
La CNIL accueille favorablement la mention dans le projet de décret de la garantie selon laquelle il ne s'agit que d'une comparaison avec les empreintes digitales et palmaires, laquelle ne peut donner lieu à un enregistrement des empreintes dans le FAED.
Le résultat de cette consultation est présenté sous forme de rapport de rapprochement qui ne contient pas d'empreintes. La CNIL s'interroge sur sa durée de conservation de quarante jours en base active au regard des justifications opérationnelles insuffisantes en l'état (statistiques et perte du rapport). A cet égard, la séparation existante entre les données judiciaires et extrajudiciaires est une garantie importante pour l'application des règles de gestion qui leurs sont propres.
C. - Sur les nouvelles catégories de données associées aux empreintes enregistrées dans le FAED
1. Concernant l'immatriculation, la marque, le type de véhicule et les nom et prénoms de la victime de l'infraction
Le projet de décret prévoit la collecte de nouvelles informations :
- l'immatriculation, la marque, le type de véhicule faisant l'objet de relevés d'empreintes d'origine inconnue : il s'agit des données permettant d'identifier le véhicule sur lequel des empreintes d'origine inconnue ont été prélevées ;
- les nom et prénoms de la victime de l'infraction « lorsque les nécessités de l'enquête ou de l'information le justifient ».
Afin d'encadrer leur usage, le ministère met en œuvre les garanties suivantes :
- aucune de ces informations ne peut faire l'objet d'une requête dans le FAED ;
- la collecte des nom et prénoms de la victime n'est pas systématique et n'intervient que si elle est nécessaire (par exemple si l'adresse de la victime ne suffit pas) et n'est prévue que pour les seules empreintes digitales et palmaires d'origine inconnue collectées dans le cadre judiciaire.
S'agissant des informations relatives à la victime de l'infraction, le ministère a précisé qu'il s'agit de se repérer sur la scène d'infraction (par exemple, lors d'une série de cambriolages dans plusieurs appartements, avec différentes victimes sans numéro de porte pour les distinguer autrement que par le numéro d'étage).
La CNIL reconnaît l'utilité de la collecte de ces nouvelles données. Elle prend acte de ce que le ministère présente des garanties afin d'éviter tout détournement de finalités et notamment, qu'aucune recherche de personnes n'est possible sur ces champs.
2. Concernant la nationalité des personnes dont les empreintes sont collectées
Le projet de décret prévoit la collecte de la nationalité des personnes dont les empreintes sont traitées.
Le ministère a précisé que cette donnée n'est pas enregistrée en base active du FAED mais stockée directement dans la base d'archivage accessible à un nombre restreint de personnes. Elle n'est alors pas consultable ou requêtable, ni directement exploitable par les utilisateurs du FAED. En effet, elle est relevée lors de la signalisation pour être transmise au casier judiciaire national, lequel est responsable du traitement national de données à caractère personnel nécessaire au fonctionnement du traitement européen ECRIS-TCN (article 771-1 du CPP).
Au regard des justifications invoquées par le ministère, la collecte de cette donnée est légitime.
D. - Sur l'allongement des durées de conservation des données dans le cadre de procédures criminelles
Les durées de conservation des données à caractère personnel du FAED sont proportionnées à la gravité des infractions concernées. Des durées différentes, variant actuellement de dix à vingt-cinq ans, sont prévues selon plusieurs critères : la nature de l'infraction, le statut de la personne (minorité, personne détenue ou mise en cause, décédée ou personne non identifiée) et l'origine des données (organisme international ou procédure nationale).
Le projet de décret prévoit un allongement des durées de conservation des empreintes recueillies dans un cadre criminel et des informations qui leur sont liées. Ces informations pourront être conservées quarante ans :
- pour certaines empreintes, la durée de conservation ne peut être allongée que sur décision du procureur de la République ou, en cours d'information, du juge d'instruction. Il s'agit des empreintes d'origine inconnue et de celles des cadavres ou des personnes découvertes grièvement blessées non identifiées ou disparues, recueillies dans un cadre judiciaire (1°, 5° et 6° de l'article R. 40-38-2 du CPP projeté) ;
- pour les empreintes des personnes mises en cause dans une procédure pénale et des personnes détenues (3° et 4° de l'article R. 40-38-2 du CPP projeté), cet allongement des durées peut intervenir sans la décision du procureur de la République ou du juge d'instruction. Seuls la relaxe ou l'acquittement, comme pour toutes les empreintes, conduiront à l'effacement anticipé du fichier.
Le ministère justifie cette modification par :
- un alignement sur les durées de conservation des traces biologiques du fichier national automatisé des empreintes génétiques (ci-après « FNAEG »). Les empreintes génétiques peuvent, dans certaines hypothèses, être conservées pour une durée de quarante ans ;
- l'allongement du délai de prescription de l'action publique en matière criminelle qui est de vingt ans. Une durée de quarante ans permettrait de tenir compte des actes d'enquête et de l'instruction préparatoire qui interrompent le délai de prescription. Elle tient compte également des points de départ différés pour certaines infractions (notamment, les infractions sexuelles sur mineur).
S'agissant du champ infractionnel précis, il peut s'agir de la résolution des affaires anciennes non élucidées (dites « cold cases ») mais également de toute catégorie d'infraction criminelle. Le ministère précise que cela permettra, par exemple, l'identification des cadavres plusieurs années après leur découverte ou l'identification ultérieure d'auteurs d'infractions en cas de récidive.
Dans sa décision du 16 septembre 2010, le Conseil constitutionnel a rappelé que la durée de conservation des données doit être proportionnée à la nature ou à la gravité des infractions concernées. (Cons. const., 16 septembre 2010, n° 2010-25 QPC). En l'espèce, la CNIL estime que les durées ainsi fixées sont proportionnées. Elle invite toutefois le ministère à prévoir, pour l'intégralité des empreintes concernées, que l'allongement de la durée de conservation ne peut être possible que sur décision d'un magistrat. Sous cette réserve, la CNIL estime que cette durée de conservation allongée est justifiée par les besoins de la procédure pénale.
E. - Sur les mises en relation, interconnexions et rapprochements avec d'autres traitements
Le projet de décret met fin à l'interdiction de principe des mises en relation actuellement prévue par l'article 9 du décret n° 87-249 en vigueur, dans la perspective d'une interconnexion des fichiers de police au niveau national et international et, en particulier, dans le cadre de la mise en œuvre du système d'information Schengen (ci-après « SIS ») et du système ECRIS-TCN.
Depuis 2015 des exceptions étaient expressément prévues par le décret en vigueur :
- concernant le traitement Cassiopée, mentionné à l'article R. 15-33-66-4 du CPP. Cette interconnexion est maintenue afin de permettre de mettre à jour le FAED lorsque l'autorité judiciaire demande l'effacement des données ;
- dans le cadre de la coopération internationale en matière de police judiciaire.
Il est prévu que le FAED fasse l'objet d'interconnexions, de rapprochements ou de mises en relation avec les autres traitements suivants : le traitement mentionné à l'article R. 40-23 du CPP (le traitement d'antécédents judiciaires, TAJ) ; les logiciels de rédaction des procédures de la police nationale (LRPPN) et de la gendarmerie nationale (LRPGN) ; le traitement mentionné à l'article R. 249-9 du CPP (le dossier pénal numérique, DPN) ; le système d'information Schengen (N-SIS) ; le fichier des personnes recherchées (FPR) ; le casier judiciaire national (CJN) mentionné à l'article 768 du CPP ; le système d'entrée et de sortie (EES).
La CNIL rappelle que lorsque des traitements mis en relation sont encadrés par des actes réglementaires, la mise en relation doit respecter les dispositions régissant les traitements concernés. En particulier, l'opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. Pour être licite, le transfert de données d'une base vers une autre doit ainsi s'inscrire ou concourir aux finalités poursuivies par la base d'origine ou à celles associées aux transmissions à des destinataires, les données transférées doivent être autorisées à figurer dans la base de destination et au moins une personne habilitée à alimenter la base de destination doit constituer un accédant ou un destinataire de la base d'origine. La liste des mises en relation effectuées n'a pas à être autorisée par les actes réglementaires des traitements mais doit figurer dans l'analyse d'impact relative à la protection des données (AIPD) (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
En l'espèce, et après vérification au regard des actes réglementaires des fichiers concernés, la CNIL estime possibles et légitimes les mises en relation indiquées.
Eu égard à la sensibilité du fichier, au volume de données traitées et aux durées de conservation particulièrement longues, la CNIL souligne la nécessité de satisfaire à l'exigence de transparence vis-à-vis du public. Dès lors, elle recommande vivement au ministère de lister sur son site web l'ensemble des mises en relation réalisées avec d'autres bases de données.
F. - Sur l'exactitude des données traitées
1. Concernant la mise à jour des données du FAED
Il ressort de l'AIPD que les données à caractère personnel contenues dans le FAED font l'objet :
- d'un effacement automatique quotidien à l'issue des délais réglementaires de conservation prévus à l'article 2 du projet de décret (article R. 40-38-4 du CPP projeté), sauf pour les empreintes d'origine inconnue, pour lesquelles le système propose une liste d'affaires qui arrivent à expiration et que l'opérateur doit valider manuellement ;
- d'un effacement manuel anticipé, selon les cas prévus à l'article R. 40-38-5 du CPP projeté :
- en cas d'identification de la personne à laquelle elles se rapportent (auteur d'infraction, personne grièvement blessée ou décédée, etc.) ;
- à réception de l'avis de la découverte de la personne disparue, sur instruction du procureur de la République ou du juge d'instruction ou, à leur demande, de l'officier de police judiciaire si la prescription de l'action publique est acquise ;
- dès réception d'une information émanant du procureur général ou du procureur de la République (en cas de décision de relaxe ou d'acquittement devenue définitive, de classement sans suite ou de non-lieu sur ordonnance du juge d'instruction) sauf si l'autorité judiciaire en prescrit le maintien ;
- ou à la demande du magistrat chargé du contrôle du fichier ou de l'intéressé, lorsque l'autorité judiciaire estime que la conservation n'apparaît plus nécessaire.
La CNIL prend acte de ce qu'un système automatisé permettant l'effacement des données à caractère personnel, à l'expiration des durées prévues par le projet de décret, est mis en œuvre pour les fiches de signalisation. Ce dispositif permet de garantir le respect de cette durée de conservation.
Elle considère cependant que les empreintes d'origine inconnue, lesquelles sont soumises à des durées de conservation analogues, devraient être supprimées via ce même procédé. Elle prend acte de l'engagement du ministère de mettre en œuvre une fonctionnalité d'effacement automatisé des empreintes d'origine inconnue.
2. Concernant la mise à jour des données via les mises en relation du FAED avec d'autres traitements
Concernant l'interconnexion avec le N-SIS, le ministère a précisé qu'à ce jour, seul un processus d'alimentation manuelle en fiches de signalisation est mis en œuvre. Le ministère indique que ce processus sera automatisé à l'avenir. De même, la transmission d'informations dans le TAJ sera réalisée ultérieurement au titre d'une interconnexion afin d'automatiser les fusions de dossiers dans le TAJ.
Compte tenu de la sensibilité des données biométriques dans le cadre d'un fichier de police judiciaire facilitant l'identification d'auteurs d'infractions, d'éventuelles erreurs sont susceptibles d'avoir de lourdes conséquences pour les personnes concernées.
Au regard du principe d'exactitude des données, toute mise à jour des données à caractère personnel contenues dans le FAED doit être répercutée dans les autres traitements auxquelles elles ont été transmises.
G. - Sur les mesures de sécurité
1. Sur l'homologation du système d'information et sa mise à jour
Le FAED repose aujourd'hui sur un système d'information ne répondant pas aux exigences actuelles d'une homologation de sécurité. La mise à jour du système n'est prévue qu'en 2025, et l'homologation de sécurité n'aura lieu qu'au terme de celle-ci. Le ministère indique que le FAED ne disposera, jusqu'à cette mise à jour, que d'une autorisation provisoire d'emploi.
Tout système d'information de l'Etat doit en principe faire l'objet d'une décision d'homologation avant sa mise en exploitation, et doit par la suite être maintenu en condition de sécurité, conformément aux objectifs 5 et 6 de la politique de sécurité des systèmes d'information de l'Etat (PSSIE). De plus, le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics précise que les systèmes antérieurs à son entrée en vigueur doivent faire l'objet d'une homologation de sécurité dans un délai de deux ans. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) précise enfin qu'une autorisation provisoire d'emploi (APE) peut être prononcée pour une durée courte (trois à six mois), si elle est assortie de conditions strictes et d'un plan d'action précis destiné à supprimer les risques trop élevés pour permettre une homologation.
Compte tenu de la sensibilité des données concernées et des risques associés à l'utilisation de briques technologiques obsolètes, la CNIL estime que le FAED devrait disposer d'une homologation de sécurité préalablement à toute interconnexion avec d'autres traitements nationaux ou internationaux. Les systèmes avec lesquels le FAED sera mis en relation, ainsi que les interconnexions elles-mêmes, devraient également faire l'objet d'une homologation de sécurité.
2. Sur l'authentification des personnes accédant au traitement
L'accès au traitement FAED par des agents sur le terrain, ainsi que tout accès aux fiches de signalisation qu'il contient, reposent désormais sur un système d'authentification forte nécessitant l'utilisation d'une carte agent et d'un code PIN. Seul l'accès à l'application Métamorpho, qui n'est possible que depuis certains sites spécifiques et pour moins de 300 agents, repose encore sur une brique technologique ne permettant pas la mise en place de l'authentification forte.
La CNIL accueille favorablement la mise en œuvre d'une authentification forte pour les agents sur le terrain, et prend acte de ce que la mise à jour projetée du système d'information permettra d'étendre l'authentification forte à l'ensemble des agents accédant au traitement.
3. Sur les mesures de journalisation
Les composants du traitement FAED font l'objet d'un système de journalisation permettant la collecte de plusieurs types de données (journaux techniques, traces techniques et traces métiers). Ces données de traçabilité sont conservées pour une durée de trois ans, afin d'identifier d'éventuels comportements irréguliers dans les opérations réalisées par les personnes accédants au traitement.
Cette durée de conservation peut se justifier :
- d'une part en raison de la gravité et de la vraisemblance du risque de détournement des finalités du traitement principal ;
- d'autre part en raison de l'incompatibilité du système actuel avec les systèmes de gestion des traces permettant la détection automatique des consultations non autorisées.
Par ailleurs, il ressort de l'AIPD fournie par le ministère que les journaux des opérations réalisées sur le système FAED permettent « d'en établir le motif, la date et l'heure et, dans la mesure du possible d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci ». Il est également indiqué que les différents composants du système FAED gèrent leurs données de traçabilité chacun de manière indépendante, et que « le suivi d'un dossier nécessite donc d'avoir accès à tous les fichiers de tous les serveurs ».
Le ministère précise que l'ensemble des accès aux traitement FAED se fait désormais par le biais de comptes nominatifs. Cependant, afin de faciliter la détection, notamment automatique, d'incidents de sécurité, la CNIL recommande que les données de traçabilité de l'ensemble du traitement soient regroupées dans un système dédié et sécurisé.
4. Sur les mesures de chiffrement et la sauvegarde des données
Le ministère indique que les flux de données nécessaires au fonctionnement du traitement bénéficient de mesures de chiffrement, notamment concernant les échanges entre les terminaux déployés sur le terrain et l'infrastructure centrale. Les données de sauvegarde du traitement ne sont en revanche pas chiffrées.
La CNIL accueille favorablement les mesures de chiffrement des flux, et recommande de prévoir des mesures complémentaires de chiffrement pour les données au repos et leurs sauvegardes, à l'aide d'algorithmes et de procédures de gestion des clés réputés sûrs, conformément à ses recommandations et à celles de l'ANSSI en la matière. De plus, elle rappelle que le processus de restauration des sauvegardes doit être régulièrement testé pour s'assurer de l'intégrité de celles-ci.