• Home  / 
  • DELIBERATION 2005-187

DELIBERATION 2005-187

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés ;

Saisie par le ministre de l'Intérieur d'un projet de décret en Conseil d'Etat pris pour l'application de l'article 21 de la loi n° 2003-239 du 18 mars 2003 et modifiant le décret n° 2001-583 du 5 juillet 2001 pris pour l'application des dispositions du troisième alinéa de l'article 31 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et portant création du système de traitement des infractions constatées "STIC" ;

Vu la convention n° 108 du 28 janvier 1981 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive n° 95/46/CE du Parlement européen et du Conseil en date du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu le code de procédure pénale ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004, et notamment ses articles 26 et 41 ;

Vu la loi n° 95-73 du 21 janvier 1995 modifiée, et notamment son article 17-1 ;

Vu la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure et notamment ses articles 21, 22 et 24 ;

Vu le décret n° 78-774 du 17 juillet 1978 modifié pris pour l'application des chapitres ler à IV et VII de la loi du 6 janvier 1978 précitée ;

Vu la délibération n° 00-064 du 19 décembre 2000 relatif à un projet de décret en Conseil d'Etat portant création du système de traitement des infractions constatées "STIC" et faisant application des dispositions du troisième alinéa de l'article 31 de la loi du 6 janvier 1978 ;

Vu le projet de décret transmis par le ministère de l'Intérieur ;

Après avoir entendu M. François Giquel, commissaire, en son rapport et Mme Catherine Pozzo di Borgo, commissaire du gouvernement adjoint, en ses observations ;

Emet l'avis suivant :

Le ministère de l'Intérieur, conformément à l'article 21 V de la loi n° 2003-239 du 18 mars 200TOPour la sécurité intérieure et à l'article 26 II la loi n° 78-17 du 6 janvier 1978 modifiée, a saisi pour avis la Commission du projet de décret prévu par cette disposition et modifiant le décret du 5 juillet 2001 portant création du Système de traitement des infractions constatées STIC et d'un dossier de formalités préalables.

Le "système de traitement des infractions constatées" (STIC), comme le système d'information judiciaire JUDEX mis en oeuvre par la gendarmerie nationale, constituent des traitements de données à caractère personnel dont les principes de fonctionnement sont fixés par la loi du 18 mars 2003 s'agissant en particulier des finalités de ces fichiers, de leurs modalités d'alimentation et de mise à jour, des catégories de personnes susceptibles d'être inscrites dans ces fichiers et des destinataires des informations.

Le décret d'application de l'article 21 de la loi doit notamment déterminer la liste des contraventions enregistrées, la durée de conservation des informations enregistrées, les modalités d'habilitation des personnels ayant accès aux applications ainsi que, le cas échéant, les conditions dans lesquelles les personnes peuvent exercer leur droit d'accès.

En outre, l'article 26 II de la loi du 6 janvier 1978 modifiée prévoit que les traitements intéressant la sûreté de l'État, la défense ou la sécurité publique et qui portent sur des données sensibles relevant de l'article 8 de la loi doivent être autorisés par décret en Conseil d'État pris après avis motivé et publié de la CNIL.

Dès lors, le décret soumis à la Commission constitue également l'acte réglementaire prévu au titre de cet article.

- sur les finalités du système de traitement des infractions constatées STIC

Aux termes de l'article 2 du projet de décret et conformément à l'article 21 de la loi du 18 mars 2003, le système de traitement des infractions constatées STIC a pour finalité de "faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs et l'exploitation des données à des fins de recherche statistique".

A cette fin, l'article 3 du projet de décret prévoit que le fichier STIC est alimenté à partir des procédures établies par les services de la police, par les unités de la gendarmerie nationale lorsqu'un service de police est appelé à en assurer la continuation ou la conduite commune, ainsi que par les agents des douanes habilités à exercer des missions de police judiciaire.

La Commission observe à cet égard que si le paragraphe IV de l'article 21 de la loi du 18 mars 2003 autorise les agents des douanes à accéder aux informations figurant dans les fichiers de police judiciaire, aucune disposition ne leur permet d'alimenter ce fichier.

Dès lors, elle estime qu'il y a lieu de modifier la rédaction de cet article de façon à prévoir que les procédures permettant d'alimenter le fichier STIL sont "établies par les services de la police et par les unités de la gendarmerie nationale ou par les agents des douanes habilités à exercer des missions de police judiciaire, lorsqu'un service de police est appelé à en assurer la continuation ou la conduite commune".

- sur les modalités de consultation du fichier STIC à des fins d'enquêtes administratives

Conformément à l'article 17-1 de la loi du 21 janvier 1995 modifiée, l'article 6 du projet de décret définit les conditions de consultation du fichier dans le cadre des enquêtes administratives effectuées notamment lors de l'instruction des demandes d'acquisition de la nationalité française et de délivrance et de renouvellement des titres de séjour et des procédures de recrutement, d'autorisation, d'agrément ou d'habilitation, concernant certains emplois, dont les emplois publics participant à l'exercice des missions de souveraineté de l'Etat et les emplois publics ou privés relevant du domaine de la sécurité ou de la défense, d'une part, et pour l'exercice de certaines missions ou interventions de police administrative, d'autre part.

La Commission appelle à nouveau l'attention des pouvoirs publics, comme elle l'a déjà fait à plusieurs reprises, sur les risques graves d'exclusion sociale et d'atteinte aux libertés individuelles, ainsi qu'au respect des droits des personnes que comporte cette utilisation administrative des fichiers de police judiciaire qui leur fait jouer, de fait, aujourd'hui le rôle d'un casier judiciaire parallèle, alors même qu'ils n'ont pas été conçus pour cette finalité et qu'ils ne bénéficient pas, pour leur alimentation, l'effacement et la consultation des données, des garanties rigoureuses prévues par le code de procédure pénale pour le casier judiciaire national.

La Commission a pu constater à maintes reprises, lors des contrôles qu'elle assure au titre du droit d'accès indirect, que les atteintes aux droits des personnes sont réelles, des refus d'embauche ou des licenciements étant décidés sur la seule consultation de ces fichiers et sur la base de signalements injustifiés, erronés ou périmés.

Elle observe aussi que le code de procédure pénale en ses articles 775 et suivants a prévu l'exclusion de la mention de certaines condamnations sur les extraits de casier judiciaire transmis aux administrations visées aux articles 776 et 776-1, dans le souci de préserver le droit à l'oubli et de faciliter la réinsertion sociale des personnes condamnées.

La Commission estime en conséquence que le décret doit apporter des garanties nouvelles aussi proches que possible de celles entourant aujourd'hui les conditions de transmission des informations extraites du casier judiciaire national.

Tout en prenant acte que le projet de décret prévoit que la consultation du fichier à des fins administratives ne peut porter ni sur les données relatives aux victimes ni sur les données concernant des personnes mises en cause ayant fait l'objet d'une mise à jour ordonnée par le procureur de la République, la Commission estime toutefois que des dispositions doivent être prévues afin que le résultat de la consultation ne puisse être communiqué à l'autorité compétente qu'après que le responsable du fichier s'est assuré auprès du procureur de la République compétent qu'aucune décision judiciaire n'est intervenue qui appellerait la mise à jour de la fiche de l'intéressé ou encore qu'aucune requalification judiciaire n'est intervenue qui justifierait la rectification des informations figurant sur cette fiche.

Le dernier alinéa de l'article 6 du projet de décret doit en conséquence être complété en ce sens.

Relevant que le législateur n'a admis la consultation administrative des fichiers de police judiciaire que "dans la stricte mesure exigée par la protection de la sécurité des personnes et la défense des intérêts fondamentaux de la nation", la Commission estime qu'il convient de s'interroger sur le bien fondé d'une consultation systématique à des fins administratives des fichiers de police judiciaire s'agissant des personnes mises en cause pour des faits relevant d'une contravention de 5eme classe ou de certains délits, qui ne mettraient pas en cause la sécurité des personnes ou la défense des intérêts fondamentaux de la nation.

Enfin, lorsque le fichier est consulté par des personnels investis de missions de police administrative, comme le prévoit l'article 7 du projet de décret, la Commission estime que pour garantir le caractère limité de cette consultation, le deuxième alinéa de cet article doit être complété de la façon suivante : "Dans ce cas, l'accès à l'information est limité à la seule connaissance de l'enregistrement de l'identité de la personne concernée dans le traitement en tant que mis en cause".

La Commission rappelle en outre qu'aux termes de l'article 10 de la loi du 6 janvier 1978 modifiée, aucune décision produisant des effets juridiques à l'égard d'une personne ne peut avoir pour seul fondement un traitement automatisé de données à caractère personnel destiné à définir le profil de l'intéressé ou à évaluer certains aspects de sa personnalité.

- sur le champ d'application du fichier

La Commission observe que sont susceptibles d'être inscrites dans le fichier STIC les personnes mises en cause - telles que définies à l'article 21 de la loi du 18 mars 2003, et les victimes, et en aucun cas les témoins.

Elle constate ensuite que, conformément à l'article 21 de la loi précitée, les infractions susceptibles de donner lieu à inscription dans le fichier STIC concernent non seulement les crimes et délits, mais également la totalité des contraventions de cinquième classe contre les biens (articles R. 635-1 à R. 635-8), contre les personnes (articles R. 625-1 à R. 625-9) et contre la nation, l'Etat ou la paix publique (articles R. 645-1 à 645-12).

La Commission estime devoir appeler à nouveau l'attention du ministère de l'Intérieur et du ministère de la Justice sur les risques que comporte une telle centralisation, dans un fichier national, d'informations de police judiciaire, eu égard d'une part, à l'extrême diversité des infractions visées, tant par leur nature que part leur degré de gravité et, d'autre part, à leur utilisation dans le cadre de multiples enquêtes administratives, et sur la nécessité de prendre des mesures particulières destinées à prévenir tout fichage non contrôlé, erroné ou abusif des personnes et tout usage d'un tel fichier à des fins étrangères à celles pour lesquelles il est constitué.

En ce qui concerne les contraventions de cinquième classe, la Commission considère à cet égard que si le législateur a permis d'étendre la liste des contraventions de cinquième classe susceptibles de donner lieu à un signalement dans le STIC, il ressort néanmoins des travaux préparatoires que le gouvernement ne devrait pouvoir faire usage de cette possibilité que lorsque cette extension est rendue nécessaire par la sauvegarde de la sécurité intérieure. Or, une telle nécessité n'apparaît pas pouvoir être invoquée pour l'ensemble des contraventions visées au projet de décret.

Dès lors elle considère que la liste des contraventions de cinquième classe doit être réexaminée et justifiée.

- sur la mise à jour du fichier

La Commission observe qu'en vertu de la loi le fichier STIC est placé sous le contrôle du procureur de la République territorialement compétent qui peut décider que les informations figurant dans ces fichiers doivent être effacées, complétées ou rectifiées.

Il relève ainsi du pouvoir d'appréciation du procureur d'ordonner, au vu de la procédure, l'effacement ou la mise à jour des informations notamment en cas de décision de relaxe, d'acquittement, de non-lieu ou en encore de classement sans suite pour insuffisance de charge, selon les modalités définies par l'article 21 III de la loi du 18 mars 2003.

Pour permettre l'application effective de ces règles, il importe que toute disposition soit prise afin que les procureurs puissent transmettre sans délai au gestionnaire du fichier leurs décisions d'effacement ou de mise à jour.

La mise à jour immédiate, systématique, et rigoureuse des informations enregistrées, mise à la charge des procureurs, constitue en effet une garantie essentielle pour les personnes concernées, ce d'autant plus que les fichiers de police judiciaire sont aussi consultés à des fins d'enquête administrative, dans le cadre en particulier de procédures d'embauche ou d'accès à des emplois de sécurité.

La Commission s'étonne à cet égard que le projet de décret ne comporte aucune précision quant aux diligences qui incombent dès lors aux procureurs ; elle estime en conséquence que, doivent figurer expressément dans le projet de décret, les modalités de transmission des informations nécessaires à la mise à jour et à l'effacement des données.

La Commission appelle à nouveau fermement l'attention du ministère de l'Intérieur et du ministère de la Justice sur la nécessité de mettre en place rapidement des liaisons informatiques sécurisées entre les parquets et le ministère de l'Intérieur, afin d'assurer un contrôle effectif des parquets sur le fonctionnement des fichiers de police judiciaire et une mise à jour sans délai de ce fichier.

- sur les catégories d'informations traitées et sur les données sensibles

Les données à caractère personnel enregistrées dans le fichier STIC sont, pour les personnes mises en cause, l'identité (nom, nom marital, nom d'emprunt officiel, prénoms, sexe), les surnoms et les alias s'il y a lieu, les date et lieu de naissance, la situation familiale, la filiation, la nationalité, l'adresse, l'état de la personne (modes opératoires et informations relevant de l'article 8 de la loi lorsque ces renseignements sont susceptibles d'éclairer le mode opératoire ou les mobiles de l'infraction, références des affaires judiciaires pour lesquelles la personne est mise en cause, suites judiciaires transmises par le procureur de la République territorialement compétent dans les conditions du projet de décret), la profession, le signalement et la photographie.

Pour les victimes, sont enregistrés : identité (nom, nom marital, nom d'emprunt officiel, prénoms, sexe), date et lieu de naissance, situation familiale, nationalité, adresse, profession, état de la personne (références des affaires judiciaires dans lesquelles la personne est victime, suites judiciaires transmises par le procureur de la République territorialement compétent dans les conditions du projet de décret), signalement et photographie pour les personnes disparues et les corps non identifiés uniquement.

Sont également enregistrées des informations non nominatives ou indirectement nominatives concernant les faits objets de l'enquête, les lieux, dates et modes opératoires, ainsi que des informations et images relatives aux objets.

La Commission considère que la finalité du fichier justifie la collecte et l'enregistrement pour des motifs d'intérêt public de données à caractère personnel relevant de l'article 8 de la loi, à la condition toutefois que cette collecte et cet enregistrement, ainsi que le prévoit l'article 4 du projet de décret, ne soient effectués que dans les seuls cas où ces informations résultent de la nature ou des circonstances de l'infraction ou se rapportent à des signes physiques particuliers, objectifs et permanents, en tant qu'éléments de signalement des personnes et dès lors que ces éléments sont nécessaires à la recherche et à l'identification des auteurs des infractions répertoriées dans le système STIC.

- sur la durée de conservation

Le projet de décret précise que les données concernant les personnes majeures mises en cause seront, en principe, conservées vingt ans à compter de la date d'établissement de la procédure. Toutefois, les informations concernant certains crimes et délits figurant sur une liste annexée au décret seront conservées pendant quarante ans et les informations relatives aux contraventions de Seine classe, aux délits routiers, aux délits d'abandon de famille et de nonreprésentation d'enfant et aux délits d'usage de stupéfiant seront conservées pendant cinq ans.

S'agissant des mineurs, le projet de décret prévoit que la durée de conservation de principe est de cinq ans, exception faite de certains crimes et délits graves énumérés dans deux listes annexées au décret, qui déterminent des durées de conservation, respectivement, de dix et vingt ans.

La durée de conservation des informations concernant les victimes est au maximum de quinze ans, sous réserve de la faculté qui leur est ouverte de demander la suppression des informations qui les concernent dès lors que l'auteur de l'infraction aura été définitivement condamné. Cette durée est prolongée jusqu'à la découverte des objets lorsque l'infraction porte sur des oeuvres d'art, des bijoux ou des armes.

Si, dans leur principe, de telles durées peuvent être justifiées par la finalité de recherche et d'identification des auteurs d'infractions, la possibilité désormais reconnue par la loi de consulter, dans le cadre d'enquêtes administratives, les informations ainsi conservées rend d'autant plus impératif la mise à jour et l'effacement d'informations enregistrées selon les règles précédemment définies.

- sur les destinataires des informations et les modalités d'habilitation

Peuvent être destinataires des informations enregistrées dans le système STIC, pour les besoins des enquêtes judiciaires et conformément au paragraphe IV de l'article 21 de la loi du 18 mars 2003 :

- les personnels des services de la police nationale et de la gendarmerie nationale, ainsi que les agents des douanes habilités à effectuer des missions de police judiciaire, qui exercent des missions de police judiciaire et ont fait l'objet d'une désignation par l'autorité hiérarchique,

- les autres personnels de l'Etat investis par la loi d'attributions de police judiciaire ;

- les magistrats du parquet,

- les magistrats instructeurs, pour les recherches relatives aux infractions dont ils sont saisis,

- les organismes de coopération internationale en matière de police judiciaire et les services de police étrangers, dans les conditions énoncées à l'article 24 de la loi pour la sécurité intérieure du 18 mars 2003.

En outre, conformément à l'article 17-1 de la loi du 21 janvier 1995 modifié par l'article 25 de la loi du 18 mars 2003, le projet de décret prévoit que les personnels de la police et de la gendarmerie spécialement habilités ainsi que les personnels investis de missions de police administrative désignés selon les mêmes procédures puissent avoir accès aux fichiers à des fins administratives.

Compte tenu du très grand nombre d'utilisateurs potentiels et de la sensibilité des fichiers concernés, ainsi que de la possibilité nouvelle, pour les personnels de la police et de la gendarmerie nationale, d'accéder "par tous moyens techniques mobiles aux données du fichier", il est impératif que des règles d'habilitation rigoureuses de ces personnels soient définies.

Or, contrairement à ce que prévoit l'article 21 IV de la loi du 18 mars 2003, le projet de décret ne précise pas les modalités d'habilitation des personnels accédant aux fichiers dans le cadre de leurs missions de police judiciaire.

La Commission estime en conséquence que le projet de décret doit être complété de façon à préciser que ces personnels doivent être individuellement désignés et spécialement habilités et à indiquer l'autorité qui la délivre, la nature des données auxquelles l'habilitation donne accès, les catégories de personnels ou de fonctions bénéficiant de cette habilitation.

Elle considère qu'il doit en être de même d'une part pour les personnels des services de police et de gendarmerie susceptibles d'avoir accès au fichier à des fins administratives et qui doivent être "spécialement habilités à cet effet" selon la loi et, d'autre part, pour les personnels administratifs qui doivent être "désignés selon les mêmes procédures".

Par ailleurs, la Commission prend acte qu'un système de journalisation des interrogations permet de conserver trace des connexions pendant trois ans et un historique des requêtes effectuées est mis en oeuvre au niveau central.

De même, toute mise à jour (création, modification, suppression) provoquera l'enregistrement pendant trois ans des informations relatives au personnel qui y aura procédé.

- sur l'exercice du droit d'accès

L'article 8 du décret du 5 juillet 2001 relatif au fichier STIL, qui ne serait pas modifié par le présent projet de décret, prévoit que "le droit d'accès s'exerce d'une manière indirecte, dans les conditions prévues par l'article 39 (41) de la loi du Janvier 1978 susvisée, par demande portée devant la Commission Nationale de l'Informatique et des Libertés, pour l'ensemble des données". Son deuxième alinéa dispose que "la Commission peut constater, en accord avec le ministère de l'intérieur, que des données nominatives enregistrées ne mettent pas en cause la sûreté de l'Etat, la défense ou la sécurité publique et qu'il y a donc lieu de les communiquer à la personne intéressée, sous réserve que la procédure soit judiciairement close et après accord du procureur de la République".

La Commission observe que l'article 22 de la loi du 18 mars 2003, a modifié l'article 39 de la loi du 6 janvier 1978 (devenu, par la loi du 6 août 2004, l'article 41) de façon à ce que "lorsque la Commission constate, en accord avec le responsable du traitement, que la communication des données qui y sont contenues, ne met pas en cause ses finalités, la sûreté de l'Etat, la défense ou la sécurité publique, ces données peuvent être communiquées au requérant". En outre, son dernier alinéa dispose que : "lorsque le traitement est susceptible de comprendre des informations dont la communication ne mettrait pas en cause les fins qui lui sont assignées, l'acte réglementaire portant création du fichier peut prévoir que ces informations peuvent être communiquées au requérant par le gestionnaire du fichier directement saisi".

Dès lors que la loi du 18 mars 2003 ouvre au gestionnaire du fichier concerné une possibilité de communiquer directement aux requérants les informations dont la communication ne mettrait pas en cause la finalité du fichier considéré, la Commission estime qu'il y a lieu de prévoir pour les personnes inscrites dans le fichier STIC en tant que victimes, la transmission directe par les soins du ministère de l'Intérieur du contenu de leur fiche.

La saisine directe du responsable du traitement, même limitée aux victimes, permettra en outre de réduire la durée des procédures, ce qui va dans le sens d'une meilleure garantie des droits individuels.

Pour tenir compte des dispositions du premier alinéa de l'article 41 de la loi du 6 janvier 1878 modifiée, et dans le même souci de répondre plus rapidement et plus efficacement aux requérants, la Commission considère en outre que la rédaction nouvelle de l'article 41 de la loi n'impose plus de subordonner l'exercice du droit d'accès indirect au recueil de l'accord du procureur de la République ni à l'exigence que la procédure soit judiciairement close.

En conséquence, l'article 8 du décret STIC devrait être modifié de façon d'une part, à prévoir l'exercice du droit d'accès direct pour les victimes et, d'autre part, à supprimer les deux conditions supplémentaires prévues par cet article pour permettre la communication, avec l'accord du ministère de l'Intérieur, des données les concernant aux personnes mises en cause.

- sur l'information des personnes

Aucune mesure d'information n'est prévue ni à l'égard des personnes mises en cause ni à l'égard des victimes.

Le ministère de l'Intérieur invoque les dispositions de l'article 32 VI de la loi du 6 janvier 1978 modifiée qui prévoit une dérogation à l'obligation générale d'information des personnes s'agissant des traitements de données ayant pour objet la prévention, la recherche, la constatation ou la poursuite d'infractions pénales.

Toutefois, dans la mesure où le législateur a expressément reconnu aux personnes faisant l'objet d'une inscription dans les fichiers de police judiciaire la possibilité, sous certaines conditions, de demander la rectification des données en cas de requalification judiciaire et, s'agissant des victimes, l'effacement des données les concernant, la Commission estime que l'information des personnes sur l'existence et les conditions d'exercice de ces droits, ainsi que sur leur droit d'accès doit être reconnue et garantie par des mesures spécifiques.

La Commission considère en conséquence que le décret doit être complété afin que toutes dispositions soient prises pour que les personnes concernées soient clairement et précisément informées de leurs droits et tout particulièrement des conditions d'exercice de leur droit d'accès, de leur droit de demander, le cas échéant, que la qualification judiciaire des faits soit substituée à la qualification initiale telle qu'elle est enregistrée dans le fichier STIC, ainsi que du droit de s'adresser au procureur de la République territorialement compétent pour solliciter la mise à jour des informations les concernant.

- sur les échanges internationaux de données avec les organismes de coopération internationale en matière de police et les services de police étrangers

Le projet de décret prévoit que les informations du fichier STIC peuvent faire l'objet d'une cession aux organismes de coopération internationale en matière de police judiciaire (INTERPOL, EUROPOL, SCHENGEN) et aux services de police étrangers qui présentent un niveau de protection suffisant, dans le respect des engagements internationaux dont ces données font l'objet ou peuvent faire l'objet, d'autre part, à permettre à ces organismes d'alimenter indirectement le fichier STIC.

Ces différents échanges ne peuvent être effectués qu'à la condition, expressément inscrite à l'article 24 de la loi du 18 mars 2003, que les services concernés "présentent, pour la protection des données personnelles, des garanties équivalentes à celles du droit interne, dans le cadre des engagements internationaux régulièrement introduits dans l'ordre juridique interne". Dès lors ils n'appellent pas d'observations de fond.

La Commission estime en conséquence que pour être conforme à ces dispositions il y aurait lieu de reprendre, à l'article 9-1 du projet de décret, les termes de l'article 24 de la loi.

Le Président Alex TURK.

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: