Articles

Article AUTONOME (Délibération n° 2011-232 du 21 juillet 2011 portant avis sur le projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « application des peines, probation et insertion » (APPI))

Article AUTONOME (Délibération n° 2011-232 du 21 juillet 2011 portant avis sur le projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « application des peines, probation et insertion » (APPI))



La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de la justice et des libertés d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « application des peines, probation et insertion » (APPI) ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu le code pénal, notamment ses articles 131-1 et suivants ;
Vu le code de procédure pénale, notamment ses articles 48-1, 712-1 et suivants, 712-6 et suivants, D. 572 et suivants ;
Vu l'ordonnance n° 45-174 du 2 février 1945 modifiée relative à l'enfance délinquante, notamment ses articles 20-8 à 20-10 ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 8 et 26 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié par le décret n° 2007-401 du 25 mars 2007 ;
Vu le décret n° 2009-528 du 11 mai 2009 autorisant la mise en œuvre d'un traitement automatisé dénommé « Cassiopée » ;
Après avoir entendu Mme Claire DAVAL, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie pour avis par le ministère de la justice et des libertés d'un projet de décret en Conseil d'Etat portant création d'un traitement automatisé de données à caractère personnel dénommé « APPI » (application des peines, probation et insertion) et d'un dossier de formalités correspondant à la mise en œuvre dudit traitement.
L'application « APPI » permet principalement la gestion des mesures judiciaires d'application des peines prononcées par les magistrats en charge de l'application des peines et suivies par les personnels des services pénitentiaires d'insertion et de probation (SPIP).
Son développement résulte des nombreuses réformes législatives intervenues en matière d'application des peines, qu'il s'agisse de la création des SPIP par le décret n° 99-276 du 13 avril 1999, de la juridictionnalisation de l'application des peines par les lois n° 2000-516 du 15 juin 2000 renforçant la protection de la présomption d'innocence et les droits des victimes et n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité, ou encore du développement des mesures alternatives à l'incarcération, notamment par la loi pénitentiaire n° 2009-1436 du 24 novembre 2009. Il s'inscrit également dans le cadre du schéma directeur informatique du ministère de la justice, lequel a vocation à permettre d'assurer la modernisation des outils de travail mis à la disposition des magistrats et des fonctionnaires.
L'application « APPI » s'est substituée au logiciel dénommé « MOUVE », mis en place en 1989 par la direction de l'administration pénitentiaire, qui permettait la gestion automatisée des mesures judiciaires en milieu ouvert et avait ainsi vocation à permettre le suivi des dossiers, le contrôle des mesures, la gestion des travaux d'intérêt général et la production de statistiques.
Elle permet de gérer de façon automatisée les informations se rapportant au prononcé et à l'exécution des peines, formaliser les échanges entre les services pénitentiaires compétents pour ces matières et l'autorité judiciaire mandante, évaluer la situation des personnes suivies à des fins de réinsertion sociale et de lutte contre la récidive, créer un dossier dans le cadre des mesures d'exécution des enquêtes et mesures préalables au jugement et produire des statistiques locales et nationales en matière d'application des peines.
A titre liminaire, la commission s'étonne, et déplore, que l'application ait été déployée dès 2005 sur le territoire national avant même que les formalités préalables à sa mise en œuvre n'aient été accomplies.
Sur les finalités
En premier lieu, la commission observe que le traitement « APPI » a essentiellement pour finalité de faciliter le suivi des personnes faisant l'objet d'une mesure judiciaire en matière d'application des peines.
Précisément définie dans le projet de décret, cette finalité principale n'appelle pas d'observation particulière de sa part.
En second lieu, la commission relève que le traitement « APPI » est également le principal outil informatique de travail des SPIP et que, à ce titre, il permet de faciliter l'évaluation des personnes placées sous main de justice afin de déterminer la typologie de suivi à mettre en œuvre dans le cadre du diagnostic à visée criminologique (DAVC), le suivi de l'aide apportée aux personnes libérées, la gestion et le suivi des mesures d'enquête et de contrôle confiées par l'autorité judiciaire pour la préparation ou l'exécution des décisions de justice à caractère pénal.
S'agissant de l'exploitation statistique, le ministère de la justice a indiqué qu'elle ne pourrait porter que sur la volumétrie des dossiers et la nature des mesures prononcées. Aussi ne pourra-t-elle en aucune façon porter sur les particularités des personnes inscrites dans le traitement.
La commission prend acte de ces précisions et invite le ministère de la justice à préciser ce point dans le projet de décret.
Sur les données traitées
Le projet de décret contient la liste détaillée des informations et des données à caractère personnel enregistrées dans le traitement « APPI », lesquelles appellent les observations suivantes.
La commission, qui a demandé au ministère des précisions sur ce point, prend acte que le traitement « APPI » ne contient aucune donnée relative à des personnes mineures. Pour autan, elle note que le projet de décret qui lui a été soumis prévoit « concernant les mineurs, nom et prénom du titulaire de l'autorité parentale ». La commission prend acte que, à sa demande, le ministère envisage de modifier le projet de décret sur ce point.
Concernant les données de localisation, outre l'adresse des personnes, seront traitées les données relatives aux « coordonnées de géolocalisation, des zones d'exclusion, des zones tampon et des zones d'inclusion, ainsi que les horaires d'assignation ». La commission relève que la présence de ces données s'explique par la mise en relation du traitement « APPI » avec les traitements relatifs à la gestion des mesures de placement sous surveillance électronique fixe et mobile.
S'agissant spécifiquement des données relatives à l'évaluation des personnes placées sous main de justice collectées dans le cadre du diagnostic à visée criminologique (DAVC), il apparaît que celles-ci sont principalement issues des entretiens réalisés par les personnels des SPIP avec l'intéressé et présentent à ce titre un caractère objectif. En revanche, certains champs se caractérisent par l'imprécision de leur intitulé et la subjectivité des données qui peuvent y être renseignées. Ainsi, la commission [consciente de l'importance de ces données pour permettre l'individualisation des mesures, la réinsertion sociale et la lutte contre la récidive] considère que les champs « rapport à la condamnation et aux actes commis : affaires antérieures et en cours, positionnement au regard de la condamnation, des faits de la loi, de la victime », « capacité personnelle au changement », « conclusion de l'évaluation », « freins et leviers au projet de réinsertion », tous associés à des zones de commentaire libre, devraient être explicités et faire l'objet de consignes précises d'utilisation. La commission rappelle, en tout état de cause, que ces données doivent, comme toute autre relative à l'intéressé, lui être communiquées à sa demande, conformément à l'article 39 de la loi du 6 janvier 1978 modifiée.
La commission observe que des données « sensibles » relevant de l'article 8 de la loi du 6 janvier 1978 modifiée sont susceptibles d'être utilisées pour évaluer la pertinence de l'octroi ou non de telle ou telle mesure liée à l'application d'une peine et considère qu'elles font partie des éléments d'information nécessaires à l'individualisation de la peine. Elle relève qu'à sa demande le projet de décret précise qu'il ne pourra être procédé à l'enregistrement de telles données que dans la seule mesure où leur traitement s'avère nécessaire à l'évaluation de la situation de la personne suivie, eu égard aux dispositions en vigueur en matière d'application des peines. Ainsi, s'agissant par exemple du traitement des « fonctions électives » des personnes, la commission, qui prend acte de l'utilité de ces données dans le cadre des mesures d'aménagement des peines, considère qu'elles ne doivent pas laisser apparaître les opinions politiques des personnes. Sur les données médicales, la commission observe qu'elles sont strictement encadrées dans des conditions figurant dans le projet de décret et qui n'appellent pas d'observation. Par ailleurs, la commission prend acte qu'il est interdit de sélectionner une catégorie particulière de personnes à partir d'une donnée « sensible » et que ces données ne peuvent en aucun cas être mises en relation avec un autre traitement.
Par ailleurs, le projet de décret prévoit le traitement des données relatives à d'autres personnes intervenant dans ce cadre judiciaire, à savoir les experts, personnes qualifiées, avocats, victimes, parties civiles ou personnes appelées à fournir des informations ou des prestations nécessaires à l'exécution de la mesure.
Enfin, les informations relatives à la procédure judiciaire et aux mesures mises en place sont traitées. A cet égard, la commission relève que l'application contiendra les rapports établis par les personnels des services pénitentiaires d'insertion et de probation en exécution d'une mesure d'enquête, de suivi ou de contrôle.
Sur les durées de conservation
Les données seront conservées en base active pendant une durée de cinq ans à compter de la fin de la peine, de la mesure d'aménagement ou de la mesure de sûreté et, dans les autres cas, à compter de l'enregistrement des données. Les données seront ensuite archivées durant cinq années supplémentaires. La commission rappelle qu'un tel archivage suppose le transfert des données sur une base logiquement voire physiquement distincte, un accès ponctuel et spécialement motivé à ces données et la mise en œuvre de mesures de sécurité spécifiques.
La commission souligne que les données seront mises à jour en cas de loi d'amnistie ou de décision de grâce ou de réhabilitation. Par ailleurs, elle prend acte, notamment quant aux mesures d'enquête et de contrôle préalables au jugement, que les données seront effacées lorsque la procédure judiciaire sera finalement clôturée par une décision définitive de non-lieu, de relaxe ou d'acquittement. La commission invite le ministère à indiquer dans le projet de décret ces situations particulières conduisant à la mise à jour ou à l'effacement des données.
Sur les destinataires
Le projet de décret prévoit que pourront seuls accéder aux données les magistrats (les procureurs de la République, les juges en charge de l'instruction et de l'application des peines et les juges des libertés et de la détention) et les agents du greffe chargés de les assister, les personnels des services pénitentiaires d'insertion et de probation (directeurs et conseillers d'insertion et de probation, ainsi que certains personnels administratifs, de surveillance et de service social), ceux des établissements et services de la protection judiciaire de le jeunesse (PJJ) ainsi que les chefs d'établissements pénitentiaires.
A cet égard, la commission a souhaité que des précisions soient apportées sur la nature des données auxquelles devraient avoir accès ces destinataires en fonction de leurs attributions et souligné qu'il serait également utile de distinguer les personnes ayant un accès en simple consultation au traitement des personnes ayant un accès avec modification. En réponse, le ministère de la justice a indiqué que les magistrats du parquet n'ont accès à l'application qu'en consultation, sauf dans le cadre de l'exécution de certaines mesures d'aménagement des peines introduites par la loi précitée du 24 novembre 2009 (mesures de surveillance électronique de fin de peine ou de procédures simplifiées d'aménagement de peines). La commission prend acte de ces précisions.
La commission note que le projet de décret prévoit que l'accès au traitement de ces destinataires sera restreint aux données nécessaires à la réalisation des enquêtes, à l'application ou l'exécution des peines ou à la mise en œuvre des mesures dont chacun a la charge. Le dossier administratif soumis à la commission laisse effectivement apparaître certaines restrictions d'accès. Ainsi, les personnels des services de la PJJ ne peuvent accéder qu'aux données relatives aux jeunes majeurs âgés de 18 à 21 ans suivis dans les conditions prévues à l'article 20-9 de l'ordonnance susvisée du 2 février 1945. De même, les directeurs d'établissements pénitentiaires n'accèdent pas aux données d'évaluation et accèdent au reste du traitement uniquement en consultation (sauf dans le cadre de la modification d'une mesure d'aménagement d'une peine dans les conditions prévues à l'article 712-8 du code de procédure pénale). S'agissant des personnels de surveillance affectés au sein des SPIP, leur accès aux données d'évaluation est limité à la consultation.
Pour autant, la commission invite le ministère à définir plus strictement encore les profils d'accès en fonction du besoin d'en connaître de chaque catégorie de destinataire. A cet égard, elle considère notamment que, comme les personnels de la PJJ, l'accès au traitement des juges des enfants, agissant en qualité de juge d'application des peines, ne devrait concerner que les dossiers relatifs aux jeunes majeurs. De plus, la commission souligne que les personnels des greffes des services judiciaires, les personnels administratifs des SPIP et des services de la PJJ ainsi que les personnels de surveillance affectés dans les SPIP ne devraient pas accéder à l'ensemble des données traitées, notamment s'agissant des données d'évaluation des personnes, sauf à y être spécialement habilités lorsque cet accès est nécessaire à l'exercice de leurs fonctions.
Par ailleurs, le projet de décret dispose que, sans accès au traitement, seront destinataires d'une partie des données du traitement, à raison de leurs attributions, les personnels habilités des services centraux et déconcentrés en charge du suivi des personnes placées sous main de justice de l'administration pénitentiaire ainsi que les magistrats du siège et du ministère public n'accédant pas directement au traitement.
Sur les interconnexions
Aux termes du projet de décret, il est précisé que le traitement « APPI » pourra faire l'objet d'une interconnexion ou d'une mise en relation avec le traitement Cassiopée, le système automatisé du casier judiciaire national, le système de gestion informatisée des personnes écrouées (GIDE) et le système de traitement automatisé du centre de surveillance chargé du suivi des placements sous surveillance électronique et des placements sous surveillance électronique mobile (PSE et PSEM).
S'agissant de Cassiopée, la commission a souhaité avoir des précisions quant à la nature des informations susceptibles d'être échangées entre « APPI » et ledit traitement.
En réponse, le ministère de la justice a fait valoir que l'application des peines correspondait au dernier « maillon » de la chaîne pénale. Dans ces conditions, et afin d'éviter toute ressaisie des données et, partant, de limiter le risque d'erreur inhérent à ce type d'opération, certaines données « objectives » du dossier informatique de Cassiopée (identité de la personne, nature de la condamnation, par exemple) seront reprises dans « APPI ». Les données ainsi transmises permettront de constituer les pièces initiales du dossier d'application des peines de la personne condamnée. En revanche, il convient de préciser qu'aucun flux ne partira d'« APPI » en direction de Cassiopée.
S'agissant du système automatisé du casier judiciaire national, le juge de l'application des peines ou le juge des enfants compétent pourra faire la demande de bulletin n° l par le biais de l'application « APPI ». En cas de réponse « néant », l'information sera retournée automatiquement ; en cas de mention, le bulletin papier est retourné par voie postale ou télécopie.
En ce qui concerne le traitement GIDE, certaines des informations qu'il contient pourront être importées directement dans « APPI ».
En ce qui concerne les échanges avec le centre de surveillance chargé de la gestion des personnes placées sous surveillance électronique ou sous surveillance électronique mobile, l'application « APPI » délivre audit centre les informations utiles au placement, et notamment les coordonnées de géolocalisation des zones ainsi que les horaires d'assignation.
La commission prend acte de ces précisions et considère que les interconnexions prévues entre « APPI » et le traitement Cassiopée, le système automatisé du casier judiciaire national, le système de gestion informatisée des personnes écrouées (GIDE) et le système de traitement automatisé du centre de surveillance chargé du suivi des placements sous surveillance électronique et des placements sous surveillance électronique mobile (PSE et PSEM) sont justifiées et sont de nature à accroître l'efficacité de la procédure d'application des peines.
Sur l'architecture du traitement et les sécurités
Les utilisateurs s'authentifient sur le système par un mot de passe d'une longueur minimale de six caractères. Cependant, il n'existe aucune politique contraignante en matière de robustesse et de renouvellement des mots de passe. La commission prend acte que le ministère envisage un renforcement de la politique de mots de passe du traitement APPI (longueur minimale d'au moins huit caractères, renouvellement obligatoire, impossibilité d'utiliser les trois derniers mots de passe, limitation du nombre de tentatives possibles). Elle invite le ministère à renforcer ces mesures dans les meilleurs délais.
Le traitement conserve les traces relatives à certaines actions de création, de modification de suppression ou d'édition. Les traces sont conservées pendant trois ans. Seuls les directeurs de l'administration pénitentiaire et des services judiciaires, ainsi que les personnes qu'ils ont habilitées, peuvent y accéder.
En revanche, les simples consultations du traitement ne font l'objet d'aucune mesure de traçabilité. Sur ce point, la commission considère qu'une telle situation ne saurait être que provisoire eu égard à la sensibilité des données et à l'importance du nombre de leurs destinataires. La commission déplore que le ministère projette de ne mettre en œuvre qu'à moyen terme un dispositif complet de traçabilité des actions. Elle lui demande de mettre en place, sans attendre, les mesures appropriées.
Elle observe par ailleurs que les données contenues dans les bases ne bénéficient pas de mesures de chiffrement, lesquelles seraient pourtant utiles afin de garantir la confidentialité des informations. De même, aucune mesure de chiffrement n'est prévue s'agissant des échanges de données et le ministère a fait savoir qu'il ne l'envisageait pas. La commission, qui regrette ce choix, considère que de telles mesures seraient justifiées par le caractère extrêmement sensible des informations enregistrées dans le traitement.
En définitive, la commission tient à souligner l'insuffisance des garanties apportées en matière de traçabilité des actions et de sécurité des données.
Sur les droits des personnes
Les personnes seront informées du traitement de leurs données ainsi que des droits qu'elles tiennent de la loi du 6 janvier 1978 modifiée par affichage dans les parties accessibles au public des locaux des services pénitentiaires d'insertion et de probation (SPIP) et des tribunaux de grande instance (TGI). La commission considère que la remise d'une notice individuelle lors du premier entretien avec le personnel du SPIP garantirait l'effectivité de cette information.
Le projet de décret dispose que les droits d'accès et de rectification prévus aux articles 39 et 40 de la loi du 6 janvier 1978 modifiée s'exercent directement auprès du procureur de la République près le tribunal de grande instance territorialement compétent. Toutefois, dans la version initiale du projet de décret, il était prévu que le droit d'accès s'exerce de manière indirecte pour les données relatives aux experts et personnes qualifiées, personnes associées, victimes et parties civiles. Ayant considéré que ce régime spécifique ne se justifiait pas, la commission a souhaité que ledit projet de décret soit modifié sur ce point. Elle prend donc acte de ce que le ministère de la justice a finalement décidé de prévoir un régime unique de droit d'accès direct.
Le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas au présent traitement.