La Commission nationale de l'informatique et des libertés,
Saisie par le ministère de la justice et des libertés d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « bureau d'ordre de l'action publique et des victimes » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I-2° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu le décret n° 2008-689 du 9 juillet 2008 relatif à l'organisation du ministère de la justice ;
Vu l'arrêté du 9 juillet 2008 fixant l'organisation en bureaux de la direction des affaires criminelles et des grâces ;
Vu l'arrêté du 9 juillet 2008 fixant l'organisation en sous-directions de la direction des affaires criminelles et des grâces ;
Après avoir entendu Mme Claire Daval, commissaire, en son rapport, et Mme Elisabeth Rolin, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministère de la justice et des libertés d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel dénommé « bureau d'ordre de l'action publique et des victimes ».
L'informatisation du bureau d'ordre de l'action publique et des victimes de la direction des affaires criminelles et des grâces (ci-après « DACG ») est intervenue en février 1994. Cette application n'a néanmoins fait l'objet d'aucune formalité préalable auprès de la commission. Cette dernière regrette que cette mise en conformité ait été aussi tardive.
Ce traitement a pour objet l'enregistrement et la conservation des informations relatives aux affaires signalées à la direction par les procureurs généraux, et contribue à la définition de l'action publique du ministère de la justice. Il convient donc de faire application de l'article 26-I-2° de la loi du 6 janvier 1978 modifiée, qui prévoit que les traitements mis en œuvre pour le compte de l'Etat et qui ont pour objet « la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté » sont autorisés par arrêté ministériel pris après avis de la commission.
Sur les finalités du traitement :
L'article ler du projet d'arrêté détermine les finalités assignées au traitement. Il s'agit de permettre de « gérer l'enregistrement et de conserver des informations relatives aux dossiers transmis par les procureurs généraux », « de définir des orientations et instructions pour l'action des magistrats du ministère public chargés de l'exercice des poursuites pénales et de l'exécution des peines », « de contrôler la mise en œuvre de ces orientations » et « d'assister les procureurs généraux dans la mise en œuvre de leurs prérogatives propres ».
Les « dossiers transmis par les procureurs généraux » désignent en pratique les « affaires signalées ». Les procureurs généraux près les cours d'appel signalent en effet certains dossiers à la DACG en fonction de leur gravité, de la nature de l'infraction concernée, de la personnalité des protagonistes ou encore des antécédents judiciaires du mis en cause.
La commission relève que ces finalités correspondent aux missions dévolues à la DACG en matière d'action publique, en application de l'article 5 du décret du 9 juillet 2008 susvisé. En effet, la DACG « prépare les instructions générales d'action publique, coordonne et évalue leur mise en application » et « contrôle l'exercice de l'action publique par les parquets généraux et les parquets ».
Elle estime néanmoins que ces finalités devraient être plus strictement définies dans le respect des compétences dévolues au garde des sceaux en matière de suivi de l'action publique.
Elle souligne en outre que seules les données relatives aux affaires pénales seront enregistrées dans le traitement, les affaires civiles ou commerciales gérées par les parquets en étant exclues.
Enfin, la commission relève que le traitement pourra être utilisé pour réaliser des statistiques liées à l'activité de la direction. En revanche, il ne sera pas utilisé aux fins de suivi statistique de l'activité des juridictions et parquets, et ces statistiques ne devront pas permettre d'identifier directement ou indirectement les personnes.
Sur les données collectées :
L'article 2 du projet d'arrêté prévoit de collecter des informations relatives aux personnes parties à une procédure judiciaire, aux auteurs des correspondances adressées à la direction des affaires criminelles et des grâces, et aux magistrats et fonctionnaires de cette même direction.
La commission relève qu'il est notamment prévu, pour les personnes parties à une procédure judiciaire et les auteurs de correspondances, de collecter les « mandats électifs ». Elle prend acte que seuls les mandats électifs publics sont concernés. En outre, elle rappelle que sous peine de faire entrer le traitement BOAPV dans le champ d'application matériel de l'article 8 de la loi du 6 janvier 1978 modifiée, le traitement ne pourra faire apparaître les opinions politiques des personnes concernées et que seuls la nature du mandat et le siège de son exercice pourront être enregistrés dans le traitement.
Par ailleurs, elle prend acte de l'argumentaire du ministère, selon lequel le fait que l'application puisse comporter indirectement des données dites « sensibles » au sens de l'article 8 de la loi du 6 janvier 1978 modifiée, par un recoupement d'informations entre les données relatives aux personnes concernées par la procédure judiciaire et la nature de la qualification pénale des faits, ne permet pas de considérer que le traitement BOAPV porte sur des données dites « sensibles » au sens de l'article 26-II de cette même loi.
La commission relève qu'à sa demande, les informations relatives à la procédure judiciaire seront ajoutées par le ministère à la liste des informations collectées, puisque de telles données apparaîtront, à l'évidence, dans le traitement.
Enfin, elle observe qu'un champ « commentaire » sera mis en œuvre, permettant de préciser par exemple les éventuels liens avec d'autres dossiers, avec une problématique générale ou encore de faire ressortir le dossier à une date précise. La commission rappelle que les données à caractère personnel qui seront éventuellement mentionnées dans ce champ doivent être pertinentes, adéquates et non excessives au regard des finalités poursuivies. Par ailleurs, elles devront être communiquées à l'intéressé, à sa demande, conformément à l'article 39 de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation :
L'article 3 du projet d'arrêté prévoit une durée de conservation de principe de dix ans à compter du dernier enregistrement d'une pièce entrante ou sortante, ou d'une décision de clôture du dossier prise par le magistrat compétent. Cette durée de conservation se décompose en deux périodes, une période de trois ans en base active, puis une période de sept ans en base inactive. Au terme du délai de dix ans, l'ensemble des données est effacé, à l'exception des fiches de synthèse ainsi que des données se rapportant à des procédures criminelles contre les personnes ou à des homicides involontaires et dans lesquelles aucun auteur n'a été identifié ; ces données sont alors conservées jusqu'à prescription de l'action publique des infractions visées.
Le ministère a justifié cette durée de conservation au regard de la durée d'utilité administrative applicable aux dossiers « papier » qui a été fixée, en 2005, à dix ans à compter de l'ouverture du dossier d'action publique.
La commission note que le ministère a prévu, s'agissant de l'archivage en base inactive, un transfert des données sur une base distincte, un accès ponctuel et spécialement motivé à ces données, et la mise en œuvre de sécurités.
Toutefois, elle invite le ministère à envisager une durée de conservation plus courte, par exemple en fonction de la durée de prescription de l'action publique de l'infraction concernée à l'origine du signalement.
Sur les destinataires :
L'article 4 du projet d'arrêté liste les destinataires des données enregistrées dans le traitement BOAPV, en distinguant les personnels bénéficiant d'un accès direct aux données des personnels à qui ces informations peuvent être communiquées. En ce qui concerne les premiers, il s'agit des magistrats et fonctionnaires en charge de l'action publique au sein de la DACG, conformément aux finalités assignées au traitement Ainsi, peuvent accéder au traitement, pour les nécessités liées au traitement des seuls dossiers qui leur sont confiés et à raison de leurs attributions, les magistrats de la DACG, ainsi que les fonctionnaires de cette direction, membres des bureaux en charge de l'action publique, du bureau d'ordre de l'action publique, du bureau d'ordre du bureau de l'exécution des peines et des grâces, du service des requêtes et de la cellule de traitement des correspondances parlementaires.
La commission souligne que le ministère a défini strictement les profils d'accès en fonction du besoin d'en connaître : les membres des bureaux en charge de l'action publique ont accès aux seules données relatives aux affaires relevant de leur domaine de compétences, tel qu'il est défini par l'arrêté du 9 juillet 2008 fixant l'organisation en sous-directions de la DACG.
Les personnels auxquels les informations peuvent être communiquées sont le garde des sceaux et les membres de son cabinet. Le ministre de la justice est en effet, en application de l'article 30 du code de procédure pénale, chargé de conduire la politique d'action publique, et adresse à cette fin des instructions générales d'action publique aux magistrats du ministère public. La commission rappelle que cette communication devra intervenir dans la limite des compétences, définies par la loi, du garde des sceaux par rapport au ministère public.
Sur les droits des personnes :
En application des dispositions de l'article 32-VI de la loi du 6 janvier 1978 modifiée, qui prévoit que le droit d'information ne s'applique pas aux traitements de données ayant pour objet, entre autres, « la poursuite d'infractions pénales », le ministère a écarté le droit d'information. La commission prend acte qu'il entend néanmoins délivrer une certaine information aux victimes, afin de faciliter l'exercice de leurs droits d'accès et de rectification : elles sont informées par la juridiction que leurs données peuvent être enregistrées dans des applications.
La commission prend acte que le projet d'arrêté prévoit un droit d'accès indirect, en application des articles 41 et 42 de la loi du 6 janvier 1978 modifiée, sauf pour les magistrats et les fonctionnaires de la DACG, dont les droits s'exercent auprès de cette dernière.
La commission admet que le droit des personnes de s'opposer à l'enregistrement de leurs données dans le traitement, prévu à l'article 38 de la loi du 6 janvier 1978 modifiée, ne s'applique pas au traitement projeté.
D'une manière plus générale, la commission relève que l'effectivité de ces droits d'accès et de rectification n'est pas garantie, dès lors que le droit d'information est exclu, alors même que cette exclusion est prévue par la loi.
Sur l'architecture du traitement et les sécurités :
La commission note que des mesures de traçabilité ont été prévues et que ces traces seront conservées trois ans. Elle observe que toutes les actions sur la base inactive seront également tracées. Compte tenu du faible nombre d'accédants à l'application, le ministère n'a pas souhaité mettre en place de dispositif d'alerte. Aussi, et afin de détecter les éventuels usages anormaux, la commission rappelle qu'il est indispensable d'exploiter régulièrement ces traces.
S'agissant de la sécurité générale du traitement, il convient de relever les garanties apportées par le ministère. L'application met en œuvre des procédés de chiffrement du transport des données ; de surcroît, les communications entre les postes clients et le serveur doivent intervenir sur le réseau interne du ministère de la justice, ce qui apporte une garantie supplémentaire concernant leur confidentialité. Toutefois, au regard des informations figurant dans le traitement, elle invite le ministère à prévoir un chiffrement de la base.
Concernant les mesures destinées à assurer la confidentialité des données lors des opérations de maintenance des logiciels informatiques, et en cas d'envoi des données au prestataire, la commission invite néanmoins le ministère à mettre en œuvre une méthode d'anonymisation plus satisfaisante.
La commission relève par ailleurs que la politique de sécurité des accès n'est pas satisfaisante (mot de passe d'une longueur minimale de cinq caractères sans blocage du compte). Le ministère est invité à mettre en place des mesures plus contraignantes dans les meilleurs délais.
La commission prend acte que pour des raisons de sécurité, aucun poste nomade ne sera pourvu de l'application.