La commission a été saisie par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'une demande d'avis concernant un projet de décret relatif à la mise en œuvre de logiciels de rapprochement judiciaire à des fins d'analyse criminelle. Cette catégorie de traitement de données à caractère personnel a été créée par la loi n° 2011-267 du 14 mars 2011, dite LOPPSI, notamment aux fins de lutte contre la sérialité des infractions de petite et moyenne gravité. L'article 14 de la LOPPSI a ainsi créé un nouveau chapitre du code de procédure pénale, consacré aux logiciels de rapprochement judiciaire, dont les modalités de mise en œuvre sont dorénavant définies aux articles 230-20 à 230-27 dudit code.
Ces traitements, qui ont pour finalité de « faciliter l'exploitation et le rapprochement d'informations sur les modes opératoires », ont notamment pour caractéristique de porter sur des données relatives à toutes les catégories d'infractions (contraventions, délits et crimes), quelle que soit leur gravité.
La décision du Conseil constitutionnel du 10 mars 2011 relative à la LOPPSI a précisé les contours du régime juridique relatif à ces traitements. Par la censure qu'il a prononcée (sur la durée de conservation des informations qui y sont enregistrées) et la réserve d'interprétation qu'il a émise (concernant les conditions de mise en œuvre de ces traitements), le Conseil a confirmé les caractères ponctuel et limité de leur utilisation. Il a ainsi précisé que « ces logiciels ne pourront conduire qu'à la mise en œuvre, autorisée par ces autorités judiciaires [le procureur de la République ou le juge d'instruction], de traitements de données à caractère personnel particuliers, dans le cadre d'une enquête ou d'une procédure déterminée portant sur une série de faits et pour les seuls besoins de ces investigations ».
En application des dispositions combinées de l'article 230-27 du code de procédure pénale et du II de l'article 26 de la loi du 6 janvier 1978 modifiée, les logiciels de rapprochement judiciaire doivent être autorisés par décret en Conseil d'Etat pris après avis publié et motivé de la commission.
Sur le régime juridique des logiciels de rapprochement judiciaire :
Il est prévu que le projet de décret soumis pour avis à la commission constitue un acte réglementaire unique au sens du IV de l'article 26 de la loi du 6 janvier 1978 modifiée, permettant ainsi la déclaration de plusieurs logiciels de rapprochement judiciaire mis en œuvre aux fins d'analyse criminelle.
En vertu de ces dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent être autorisés par un acte réglementaire unique. Chacun de ces traitements doit alors être mis en œuvre conformément à la description qui figure dans ce texte réglementaire et doit faire l'objet d'un engagement de conformité, préalablement adressé à la CNIL.
Dans la mesure où les conditions prévues à l'article 26-IV semblent être remplies en l'espèce, la commission prend acte du régime juridique projeté concernant les logiciels de rapprochement judiciaire utilisés à des fins d'analyse criminelle. La mise en œuvre de chaque logiciel utilisé par la police nationale, la gendarmerie nationale ou la préfecture de police devra ainsi être précédée de l'envoi d'un engagement de conformité faisant référence au présent décret, comme le prévoit son article 7.
La commission prend également acte de l'engagement du ministère de l'intérieur à joindre à ces engagements de conformité des dossiers techniques précisant notamment les fonctionnalités exactes de chaque logiciel, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté. La fourniture de ces précisions apparaissant nécessaire à l'exercice de son contrôle a priori sur la mise en œuvre de ces traitements, elle demande néanmoins que l'article 7 du projet de décret soit modifié afin de préciser que chaque engagement de conformité sera accompagné d'un dossier de présentation technique du logiciel.
A ce titre, le ministère a déjà adressé à la commission deux dossiers de présentation relatifs aux logiciels ANACRIM-ATRT (Analyse Criminelle-Application de Traitement des Relations Transactionnelles) et ANACRIM-ANB (Analysa NoteBook), mis en œuvre par la gendarmerie nationale.
Le logiciel ANACRIM-ATRT permet l'exploitation automatisée de relevés bancaires et de documents téléphoniques (facturation détaillée, localisation de relais, etc.), obtenus sur réquisitions judiciaires. Par ses fonctions de recherche, de tri et de recoupement de données, l'application permet à l'enquêteur de mettre en évidence des corrélations entre les données collectées : il est par exemple possible d'identifier des numéros de téléphone systématiquement utilisés à l'heure et au lieu de la commission des crimes ou délits qui font l'objet de l'enquête.
ANACRIM-ANB est un logiciel d'analyse et de représentation visuelle de données. Il permet de représenter des données sous forme de graphes relationnels ou événementiels, afin de représenter par exemple des réseaux de relations entre individus ou des enchaînements chronologiques d'événements. Les informations contenues dans les pièces et documents de procédures (procès-verbal, compte rendu, etc.) sont ainsi représentées sous différentes formes, qui peuvent être enrichies par les enquêteurs, afin de mettre en évidence des contradictions entre certaines données ou de confirmer certains faits.
D'autres logiciels mis en œuvre par la gendarmerie nationale, la police nationale et la préfecture de police devraient par la suite être présentés à la commission.
Sur les finalités des logiciels de rapprochement judiciaire :
L'article 1er du projet de décret prévoit la mise en œuvre de « traitements de données à caractère personnel ayant pour finalité l'exploitation et le rapprochement d'informations sur les modes opératoires réunies au cours d'une même enquête par les unités de gendarmerie et les services de police chargés d'une mission de police judiciaire dans le cadre :
1° Des enquêtes préliminaires, des enquêtes de flagrance ou des investigations exécutées sur commission rogatoire ;
2° Des procédures de recherche des causes de la mort ou d'une disparition prévues par les articles 74 et 74-1 du code de procédure pénale ».
La commission prend acte de ces finalités, conformes aux dispositions de l'article 230-20 du code de procédure pénale telles que précisées par la décision du 10 mars 2011 du Conseil constitutionnel. Il est en effet expressément prévu que ces logiciels ne peuvent être utilisés que dans le cadre d'une enquête déterminée et ne sauraient donc « permettre la mise en œuvre d'un traitement général des données recueillies à l'occasion des diverses enquêtes mentionnées à l'article 230-20 » du code de procédure pénale, conformément à la réserve d'interprétation du Conseil.
Plus précisément, la commission observe que les traitements de données projetés sont des outils de traitement de la complexité, qui permettent à la fois l'analyse de données complexes (du fait de leur nature ou de leur volumétrie) et leur représentation sous une forme simplifiée. Il s'agit donc uniquement d'outils d'aide à l'enquête, mobilisés pour les seuls besoins d'une enquête déterminée, qui n'ont pas pour objet de garder en mémoire les informations qui y sont enregistrées.
Leur utilisation est en outre contrôlée par les autorités judiciaires. Leur mise en œuvre, pour une enquête déterminée, fait l'objet d'une autorisation par le procureur de la République ou la juridiction d'instruction. La mention en procédure du recours à un tel logiciel, l'établissement du rapport présentant les résultats des rapprochements effectués ainsi que la possibilité pour le magistrat compétent d'obtenir la copie informatique des données et informations exploitées permettent aux magistrats du parquet ou de la juridiction d'instruction d'exercer un contrôle effectif, a priori et a posteriori, de l'utilisation des logiciels de rapprochement judiciaire.
Par ailleurs, la commission observe que l'article 230-27 du code de procédure pénale prévoit que le décret pris pour l'application de ces dispositions doit préciser, entre autres, les infractions concernées par l'utilisation de logiciels de rapprochement judiciaire. Interrogé sur ce point, le ministère a précisé qu'il n'était pas possible, au vu de la multiplicité et de la diversité des infractions pouvant donner lieu à l'utilisation de ces logiciels, d'en dresser une liste exhaustive. Il a dès lors proposé que le projet de décret soit modifié afin de prévoir que ces logiciels peuvent être utilisés dans le cadre d'enquêtes relatives à des crimes et délits punis d'une peine d'emprisonnement.
Une telle rédaction serait de nature à restreindre le champ des infractions pouvant donner lieu à l'utilisation de logiciels de rapprochement judiciaire, dans la mesure où les dispositions du code de procédure pénale n'ont prévu aucun seuil infractionnel, contrairement à l'enregistrement de données à caractère personnel dans les fichiers d'analyse sérielle ou d'antécédents. En ce sens, la commission estime que cette rédaction permettrait de mieux proportionner l'utilisation des logiciels de rapprochement à des fins d'analyse criminelle, outils efficaces et potentiellement intrusifs.
Enfin, la commission prend acte qu'aucune finalité statistique, au sens de l'article 6 de la loi du 6 janvier 1978 modifiée, n'est assignée aux logiciels de rapprochement judiciaire mis en œuvre aux fins d'analyse criminelle.
Sur les données susceptibles d'y être enregistrées :
Le projet de décret prévoit en son article 2 que les données et informations exploitées par les logiciels de rapprochement judiciaire « ne peuvent provenir que des pièces et documents de procédures judiciaires déjà détenus par les services ». Ainsi, l'utilisation de logiciels de rapprochement judiciaire ne donne pas lieu à la collecte de nouvelles données à caractère personnel : seules sont utilisées les informations contenues dans les dossiers de procédures, qui ont donc été obtenues dans les conditions prévues par le code de procédure pénale (procès-verbaux d'audition, réquisitions judiciaires, etc.).
S'il s'agit d'un champ de collecte très large, tant en termes de catégories de données à caractère personnel que de catégories de personnes concernées, la commission souligne que cette rédaction est conforme aux dispositions du premier alinéa de l'article 230-21 du code de procédure pénale. Elle relève également que cette disposition exclut l'utilisation de certaines données à caractère personnel, telles que celles enregistrées dans les autres traitements mis en œuvre par les services de police et de gendarmerie nationales.
En outre, la commission observe que les informations exploitées par les logiciels de rapprochement judiciaire ne sont pas nécessairement associées à une identité clairement établie. En effet, l'utilisation de ces logiciels se caractérise par la mise en œuvre d'un processus d'identification nominative progressive des personnes, en cas de lien direct et non fortuit avec l'affaire ayant donné lieu à leur utilisation. Le deuxième alinéa de l'article 230-21 du code de procédure pénale dispose ainsi que « Lorsque sont exploitées des données pouvant faire indirectement apparaître l'identité des personnes, celle-ci ne peut apparaître qu'une fois les opérations de rapprochement effectuées, et uniquement pour celles de ces données qui sont effectivement entrées en concordance entre elles ou avec d'autres informations exploitées par le logiciel ».
Cette identification progressive a lieu à l'initiative de l'enquêteur qui agit sous le contrôle de l'autorité judiciaire (magistrat du parquet ou juridiction d'instruction). Par exemple, ce n'est qu'à l'issue des rapprochements effectués sur la base des facturations détaillées de téléphonie, si ceux-ci font apparaître qu'une personne est susceptible d'être en lien direct et non fortuit avec l'affaire en cause, que l'analyste peut obtenir, sur réquisition judiciaire, l'identité précise de cette personne.
Le deuxième alinéa de l'article 2 du projet de décret précise que les logiciels peuvent en outre contenir des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée, c'est-à-dire des données laissant apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci.
La commission prend acte que de telles données ne pourront être traitées que dans les cas où elles résultent de la nature ou des circonstances de l'infraction ou se rapportent à des signes physiques particuliers, objectifs et permanents, en tant qu'élément de signalement des personnes, dès lors que ces éléments sont nécessaires à la recherche et à l'identification des auteurs d'infractions.
Sur la durée de conservation des informations :
Aux termes de l'article 3 du projet de décret, « les données et informations contenues dans les logiciels sont effacées à la clôture de l'enquête et ; en tout état de cause, à l'expiration d'un délai de trois ans à compter de leur enregistrement ».
La commission relève que cette durée de conservation est conforme aux dispositions de l'article 230-22 du code de procédure pénale telles que modifiées en application de la décision précitée du Conseil Constitutionnel. Celui-ci avait notamment considéré qu'eu égard à la possibilité d'enregistrer des données « même liées à des faits de faible gravité, la conservation de ces données ne sauraient être prolongée à l'initiative de l'enquêteur au-delà de trois ans après leur enregistrement ».
Par conséquent, la commission estime que des mécanismes spécifiques doivent être mis en œuvre afin de s'assurer du strict respect de cette durée de conservation, qui constitue une garantie essentielle de nature à assurer la conciliation entre la sauvegarde de l'ordre public et la recherche des auteurs d'infractions, d'une part, et le respect de la vie privée, d'autre part.
A cet égard, elle prend acte que le ministère de l'intérieur a prévu, pour l'ensemble des logiciels de rapprochement judiciaire autorisés en vertu du présent projet d'acte réglementaire unique, des mécanismes d'effacement automatique des données qui y sont enregistrées, au terme du délai de trois ans. La commission relève cependant que l'effacement des données à la clôture de l'enquête est laissé à l'initiative de l'enquêteur.
Elle recommande dès lors de prévoir des mesures de nature à permettre aux superviseurs hiérarchiques des enquêteurs de contrôler le bon effacement des dossiers clôturés, comme par exemple l'affichage d'un compteur détaillant le nombre de dossiers ouverts.
Sur les destinataires des données enregistrées dans les logiciels de rapprochement judiciaire :
L'article 4 du projet de décret liste les destinataires des données enregistrées dans les logiciels de rapprochement judiciaire, en distinguant les personnels bénéficiant d'un accès direct aux données des personnels à qui ces informations peuvent être communiquées. En ce qui concerne les premiers, il s'agit des militaires de la gendarmerie nationale et des agents de la police nationale mettant en œuvre les logiciels, des procureurs de la République sous le contrôle desquels les logiciels sont utilisés en vertu de l'article 230-23 du code de procédure pénale, ainsi que du magistrat dit « référent » créé par l'article 230-24 du même code aux fins de contrôler cette mise en œuvre et de s'assurer de la mise à jour des données.
Les personnels auxquels les informations peuvent être communiquées sont les suivants : les officiers et agents de police judiciaire de la police et gendarmerie nationales, pour les recherches relatives aux infractions dont ils ont à connaître, les magistrats du parquet et les magistrats instructeurs, pour les recherches relatives aux infractions dont ils sont saisis, ainsi que les organismes de coopération internationales en matière de police judiciaire et les services de police étrangers, dans les conditions prévues par l'article 24 de la loi du 18 mars 2003 modifiée.
Conformément aux dispositions de l'article 230-27 du code de procédure pénale, cet article précise en outre les conditions d'habilitation des agents des services de police judiciaire qui peuvent utiliser les logiciels de rapprochement judiciaire.
Sur le contrôle des logiciels de rapprochement judiciaire :
Conformément aux dispositions des articles 230-23 et 230-24 du code de procédure pénale, les traitements de données opérés par les logiciels de rapprochement judiciaire sont contrôlés par le procureur de la République compétent ainsi que par le magistrat dit référent. Ces deux modalités de contrôle des logiciels mis en œuvre à des fins d'analyse criminelle sont rappelées à l'article 3 du projet de décret.
A plusieurs reprises, la commission a appelé l'attention du Gouvernement sur la nécessité d'articuler clairement les missions et les prérogatives de ce magistrat référent avec les compétences dévolues à la CNIL par la loi du 6 janvier 1978 modifiée, en particulier avec ses prérogatives de contrôle définies à l'article 44 de la loi ainsi qu'avec ses compétences en matière de droit d'accès indirect aux données. Or, si certaines précisions ont été apportées par le ministère de l'intérieur, le dispositif n'apparaît pas suffisamment défini pour répondre à toutes les interrogations de la commission s'agissant de l'articulation exacte des missions du magistrat référent avec celles des procureurs de la République, d'une part, et celles de la CNIL, d'autre part.
En particulier, aucune information précise n'a été fournie concernant le rôle dévolu au magistrat référent dans le cadre de la mise en œuvre, par la gendarmerie nationale, des deux logiciels de rapprochement judiciaire déjà déclarés à la commission (ANACRIM-ANB et ANACRIM-ATRT).
Dès lors, la commission réitère sa demande visant à être mieux informée du rôle de ce magistrat et rappelle qu'elle se tient à la disposition du Gouvernement pour participer à ce travail de définition.
Enfin, la commission rappelle que le contrôle, par les procureurs de la République et le magistrat référent, des traitements opérés par les logiciels de rapprochement judiciaire s'exerce sans préjudice des pouvoirs de contrôle dévolus à la commission en vertu des dispositions de l'article 44 de la loi du 6 janvier 1978 modifiée, comme le prévoit expressément l'article 230-23 du code de procédure pénale.
Tout particulièrement, les missions de contrôle devront s'attacher à vérifier le respect des conditions d'alimentation des logiciels de rapprochement judiciaire, de traitement des données dites sensibles, des modalités prévues d'identification progressive des personnes et d'effacement des données enregistrées à la clôture de l'enquête. Elles permettront également de vérifier si les habilitations des militaires de la gendarmerie nationale et des agents de la police nationale précisent la nature des données auxquelles elles autorisent l'accès, conformément aux dispositions de l'article 230-25 du code de procédure pénale.
Sur les droits des personnes concernées :
Conformément aux dispositions respectives du VI de l'article 32 et de l'article 38 de la loi du 6 janvier 1978 modifiée, le projet de décret prévoit en son article 6 que les personnes concernées ne sont pas informées du traitement de données dont ils font l'objet et ne disposent pas de la possibilité de s'y opposer.
La commission prend cependant acte de la décision du ministère visant à mettre en œuvre un droit à l'information des victimes par voie d'affichage, afin de faciliter l'exercice de leurs droits d'accès et de rectification.
Le projet de décret prévoit que ces droits s'exercent dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 modifiée, conformément aux dispositions de l'article 42 de la même loi, c'est-à-dire par voie indirecte en adressant une demande auprès de la commission. L'article 230-27 du code de procédure pénale a en effet expressément prévu un droit d'accès indirect des personnes concernées aux données enregistrées dans les logiciels de rapprochement judiciaire.
Cependant, la commission relève que l'exercice de ces droits se heurte à d'importantes difficultés pratiques, dans la mesure où aucune fonctionnalité spécifique permettant, dans le seul cadre de l'instruction des demandes d'accès ou de rectification des personnes concernées, de rechercher l'ensemble des informations concernant ces demandeurs, n'a été prévue par le ministère. Or, en ce qui concerne en particulier les logiciels reposant sur une architecture centralisée, comme ANACRIM-ATRT, aucune impossibilité technique ou juridique ne semble justifier l'absence d'une telle fonctionnalité.
En revanche, l'architecture technique du logiciel ANACRIM-ANB, du fait du caractère local des bases de données, soulève de réelles problématiques techniques en ce qui concerne la possibilité pour les personnes concernées d'exercer leurs droits d'accès et de rectification.
En tout état de cause, la commission rappelle que, aux termes de l'article 87 du décret du 20 octobre 2005 modifié, le responsable de traitement dispose d'un délai de trois mois, prorogeable d'un mois supplémentaire en cas d'investigations complexes, pour répondre à une demande d'accès transmise par l'intermédiaire de la commission.
Sur les sécurités des logiciels de rapprochement judiciaire :
Si les logiciels de rapprochement judiciaire autorisés en vertu du présent acte réglementaire unique peuvent varier dans leur architecture technique ou dans les mesures de sécurité entourant les traitements de données, l'article 5 du projet de décret prévoit que tous ces logiciels devront cependant assurer une certaine traçabilité. Ainsi, il est prévu que les consultations de données fassent l'objet d'un enregistrement comprenant l'identifiant de l'agent ainsi que la date et l'heure de consultation, et que ces données de journalisation soient conservées trois ans.
La commission estime que, compte tenu de la nature des données exploitées et des fonctionnalités offertes par les logiciels de rapprochement judiciaire, il conviendrait que toutes les opérations fassent l'objet d'une traçabilité, notamment la création, la modification, la suppression, la transmission ou l'export de données.
Elle prend acte que de telles mesures sont d'ailleurs prévues s'agissant du logiciel ANACRIM-ATRT et que ces traces seront exploitées par une cellule spécifiquement dédiée au contrôle de ces journaux. S'agissant du logiciel ANACRIM-ANB en revanche, la commission relève que ces mesures ne sont appliquées que sur les postes de travail des analystes et que les journaux d'évènement ne seront donc que très difficilement accessibles.
Par ailleurs, la commission prend acte que le ministère n'a pas prévu de condition particulière en ce qui concerne les architectures techniques des logiciels de rapprochement judiciaire qui seront autorisés en vertu du présent décret. De fait, la définition de cette architecture peut varier sans que les conditions posées par le Conseil constitutionnel, s'agissant de la gestion des règles d'accès aux données par les utilisateurs (chaque enquêteur n'a accès qu'aux données relatives à la procédure qu'il a initiée dans le logiciel), en soient affectées. La commission souligne cependant qu'elle s'attachera tout particulièrement, à l'occasion de la fourniture des dossiers de présentation technique des logiciels qui seront ultérieurement déclarés, à vérifier que l'utilisation de ces logiciels est limitée à l'échelon local dans le cadre d'une procédure judiciaire spécifique.
Enfin, elle estime que les mesures de sécurité prévues en ce qui concerne les deux logiciels mis en œuvre par la gendarmerie nationale qui lui ont été présentés sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Néanmoins, la commission recommande que les données stockées dans les postes de travail des utilisateurs du logiciel ANACRIM-ANB soient chiffrées afin de garantir leur inintelligibilité en cas de compromission de ces données.