• Home  / 
  • DELIBERATION 03-032

DELIBERATION 03-032

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés ;

Saisie par le ministère de la Justice d'un projet d'arrêté portant création, dans les établissements pénitentiaires participant à l'expérimentation, d'un traitement automatisé de données nominatives ayant pour objet la gestion des personnes placées sous surveillance électronique ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;

Vu le code de procédure pénale, notamment ses articles 138, 723-7 à 723-17 ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des chapitres Ier à IV et VII de la loi du 6 janvier 1978 précitée ;

Vu l'arrêté du 1er juillet 2002 portant homologation du procédé de surveillance électronique pris pour l'application du décret n° 2002-479 du 3 avril 2002 portant modification du code de procédure pénale ;

Vu le projet d'arrêté du ministre de la Justice ;

Après avoir entendu Monsieur Patrick DELNATTE, commissaire, en son rapport et Madame Charlotte-Marie PITRAT, commissaire du gouvernement, en ses observations;

FORMULE LES OBSERVATIONS SUIVANTES :

Le ministre de la Justice a saisi la Commission d'un projet d'arrêté portant création, dans les établissements pénitentiaires participant à l'expérimentation, d'un traitement automatisé de données nominatives destiné à assurer la gestion des personnes placées sous surveillance électronique.

Cette modalité particulière d'exécution du contrôle judiciaire, d'une peine privative de liberté (ou de son reliquat) ou d'une mesure de liberté conditionnelle consiste à assigner, en permanence ou pendant certaines plages horaires, le condamné ou la personne astreinte à un contrôle judiciaire dans un lieu fixé par le juge et à vérifier à distance que l'intéressé respecte les obligations de présence qui lui ont été imposées.

Ce dispositif repose sur un bracelet-émetteur, que l'intéressé doit porter en permanence pendant toute la durée de la mesure, un émetteur/récepteur qui décode les signaux radio du bracelet-émetteur et un centre de surveillance, installé au greffe de l'établissement pénitentiaire dont dépend la personne concernée, qui reçoit les éventuels messages d'alerte envoyés par l'émetteur/récepteur lorsque ce dernier ne détecte plus la présence du bracelet-émetteur pendant les plages horaires d'assignation.

Le traitement mis en oeuvre dans chacun des établissements pénitentiaires concernés permet à son personnel de vérifier que les personnes placées sous surveillance électronique respectent les obligations de présence imposées par le juge, de modifier, le cas échéant, leurs plages horaires d'assignation et d'éditer périodiquement des rapports et des statistiques non nominatives.

A cette fin, sont enregistrées dans le traitement des informations nominatives relatives à l'identité des personnes placées sous surveillance électronique (nom, prénoms, date de naissance, sexe et situation familiale), au lieu d'assignation fixé par le juge (numéro, rue, code postal, ville et numéros de téléphone), aux modalités particulières d'exécution de la mesure (dates et heures des mouvements au lieu d'assignation, type de mouvement - sous la forme : "entrée" ou "sortie"), au rapport de la personne concernée avec la justice (numéro d'écrou, catégorie pénale, plages horaires journalières de sortie, dates et heures de début et de fin de la période de placement, fin normale ou retrait de la mesure, périmètre d'assignation, dates et heures des alarmes, types), ainsi qu'aux coordonnées des différents responsables du suivi de la personne placée sous surveillance électronique (nom, prénom et numéro de télécopie du magistrat ; nom, prénom et numéro de télécopie du travailleur social ; numéro de téléphone du surveillant d'astreinte).

Les destinations des informations nominatives traitées sont, chacun en ce qui le concerne, les magistrats du tribunal de grande instance dont dépend l'établissement pénitentiaire concerné, le chef de cet établissement pénitentiaire, le directeur du service pénitentiaire d'insertion et de probation et les agents dûment habilités du service chargé de la surveillance électronique.

Les informations nominatives traitées sont effacées dès la fin de la mesure, puis conservées à titre d'archive pendant douze mois sur un rapport magnétique différent dédié uniquement à cette fonction.

Le traitement mis en oeuvre et les postes informatiques permettant d'y accéder sont installés au greffe de chacun des établissements pénitentiaires concernés, dont la sécurité et l'accès font l'objet de mesures de protection particulières.

En outre, la base et les postes permettant d'y accéder sont reliés par un réseau local propre qui ne sera pas interconnecté à un autre réseau.

L'accès aux postes est réservé aux agents de l'établissement pénitentiaire dûment habilités, qui disposent de mots de passe à cette fin. Un dispositif d'enregistrement des accès au traitement permet d'identifier l'auteur et le poste de travail à partir duquel il a été accédé à la base.

En cas de panne matérielle ou logicielle, il est prévu que les prestataires techniques peuvent assurer des opérations de maintenance à distance à partir de deux centres situés à l'étranger.

La Commission prend acte que le recours à une telle procédure revêt un caractère temporaire et que, préalablement à la généralisation du placement sous surveillance électronique prévue en 2004, le ministère de la Justice recommandera aux prestataires techniques choisis de se doter d'un centre de maintenance situé en France.

Elle observe aussi que le ministère de la Justice, outre la mise en place de mesures de sécurité physiques et logiques renforcées, conclura avec chacun des deux prestataires concernés un contrat reprenant les principales dispositions protectrices de la loi du 6 janvier 1978.

Ce contrat prévoit notamment les cas précis dans lesquels ces sociétés peuvent agir à distance sur le traitement, prohibe toute réutilisation des données, rappelle que les informations transmises sont couvertes par le secret professionnel et impose à ces sociétés de prendre des mesures de sécurité particulières pendant les transferts d'informations. Ce contrat prévoit en outre que le contrôle du respect des engagements des parties pourra être effectué sur place par la personne déléguée à la protection des données désignée par le ministère de la Justice, par un membre de la Commission ou par une société de contrôle spécialisée ou un organisme d'audit désigné par la CNIL.

La Commission considère toutefois que ces mesures doivent être renforcées par la formalisation dans ce modèle de contrat des précisions suivantes :

- l'indication que la procédure de télémaintenance ne sera engagée qu'en dernier recours et, en tout état de cause, après que tous les autres moyens de remédier à la panne détectée ont été employés ;

- l'indication des cas dans lesquels cette procédure de télémaintenance, qui dans la plupart des cas prend la forme d'un accès à distance au traitement, peut impliquer un transfert de données nominatives et les mesures de sécurité particulières qui seront adoptées dans cette hypothèse ;

- une typologie sommaire des pannes éventuelles susceptibles d'affecter les matériels comme le logiciel utilisés et, dans la mesure du possible, la précision selon laquelle la résolution de chacune d'entre elles implique ou non le recours à la télémaintenance ;

Les personnes placées sous surveillance, électronique, comme les différents acteurs chargés du suivi de cette mesure, disposent d'un droit d'accès direct aux informations nominatives les concernant. Elles sont informées personnellement de l'existence du traitement, ainsi que de leurs droits d'accès et de rectification par le document leur notifiant les obligations qui leur incombent dans le cadre de leur placement. En outre, un document d'information est affiché au greffe de l'établissement pénitentiaire concerné.

EMET, au bénéfice des observations qui précèdent, un avis favorable au projet d'arrêté du ministre de la Justice portant création, dans les établissements pénitentiaires participant à l'expérimentation, d'un traitement automatisé de données nominatives destiné à assurer la gestion des personnes placées sous surveillance électronique.

DEMANDE que lui soit soumis le modèle de contrat de protection des données en matière d'opérations de maintenance ainsi modifié.

Le président Michel GENTOT.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: