La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'un projet d'arrêté autorisant la création de traitements de données à caractère personnel ayant pour finalité le suivi de l'exécution des mesures de contrôle judiciaire.
Il y a lieu de faire application des dispositions de l'article 26 de la loi du 6 janvier 1978 modifiée qui soumet à une autorisation par arrêté ministériel pris après avis motivé et publié de la commission nationale de l'informatique et des libertés les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et ayant pour objet l'exécution de mesures de sûreté.
En outre, et conformément aux dispositions de l'article 26-IV de la loi du 6 janvier 1978 modifiée, le projet d'arrêté a vocation à constituer un acte réglementaire unique, auquel devront se référer les engagements de conformité adressés à la commission.
Il s'agit en effet de traitements mis en œuvre, pour leur majorité, au niveau local (commissariats et unités territoriales de gendarmerie) et sous format papier, qui font actuellement l'objet d'une démarche de régularisation et d'informatisation par le ministère de l'intérieur.
Sur les finalités des traitements :
L'article 1er du projet d'arrêté autorise le directeur général de la police nationale, le directeur général de la gendarmerie nationale ainsi que le préfet de police à mettre en œuvre des traitements de données à caractère personnel dénommés « contrôle judiciaire ». Le projet d'acte réglementaire assigne trois finalités distinctes à ces traitements.
La commission relève que deux finalités principales sont en réalité poursuivies par ces traitements le suivi du respect, par les personnes soumises à un contrôle judiciaire en application des articles 138 et 142-5 du code de procédure pénale, de l'obligation de se présenter périodiquement aux forces de police ainsi que des autres obligations ou interdictions prévues par l'article 138 et dont le contrôle ou la mise en œuvre sont confiés au service de police ou à l'unité de gendarmerie, d'une part, et la vérification, par ces services ou unités pour les besoins d'une enquête pénale, des modalités d'exécution de la mesure, d'autre part.
La commission estime que la finalité de suivi du respect, par les personnes soumises à un contrôle judiciaire, de l'obligation de se présenter périodiquement à un service de police ou une unité de gendarmerie n'appelle pas d'observation particulière.
Elle s'est en revanche interrogée sur l'utilité de la seconde finalité mentionnée dans le projet d'arrêté. En effet, les dispositions du code de procédure pénale relatives aux réquisitions judiciaires et le II de l'article 3 de la loi du 6 janvier 1978 modifiée permettent déjà à l'autorité judiciaire d'avoir communication, à des fins d'enquête dans le cadre d'une procédure judiciaire, des données issues de tout traitement de données à caractère personnel, sans qu'il soit nécessaire de lui assigner une telle finalité.
En outre, les informations relatives aux mesures de contrôle judiciaire sont enregistrées dans d'autres traitements de données à caractère personnel et sont donc à la disposition des services enquêteurs sur simple réquisition.
Dans ces conditions, la commission a sollicité des précisions auprès du ministère de l'intérieur. Celui-ci a indiqué que cette finalité est nécessaire à l'utilisation des données enregistrées dans les traitements dans le cadre de procédures judiciaires. A défaut, ces informations ne pourraient être conservées au-delà de la période d'exécution du contrôle judiciaire, rendant ainsi sans effet toute réquisition judiciaire. En outre, le ministère a indiqué qu'il convient de permettre aux services enquêteurs de vérifier ultérieurement les modalités d'exécution de ces mesures et d'accéder rapidement à ces informations dans le cadre de leur mission de police judiciaire.
La commission considère que la justification avancée par le ministère n'est pas suffisamment convaincante. En tout état de cause, elle estime que si cette seconde finalité devait être maintenue, le ministère devrait mettre en place des garanties complémentaires, notamment en termes de durée de conservation des données et de sécurité. Ainsi, les consultations devront faire l'objet d'une traçabilité effective pour permettre à la commission, dans le cadre de ses missions de contrôle diligentées en application de l'article 44 de la loi du 6 janvier 1978 modifiée, d'assurer le nécessaire contrôle de l'utilisation des fichiers concernés à des fins de police judiciaire.
Enfin, la commission prend acte que ces traitements locaux n'ont aucune finalité statistique.
Sur les données à caractère personnel traitées :
L'article 2 du projet d'arrêté établit la liste des données personnelles qui seront collectées. Ces données sont relatives à la personne soumise au contrôle judiciaire ainsi qu'à la procédure judiciaire et n'appellent pas de remarque particulière.
La commission prend acte que la liste est exhaustive et que des données relatives à d'autres personnes physiques (victime, complices, co-auteurs, etc.) ou à des personnes intervenant à titre professionnel (avocats, travailleurs sociaux, etc.) dans l'exécution de la mesure ne seront pas enregistrées.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données sont conservées dix ans à compter de leur enregistrement, mais qu'à compter de la fin de la mesure de contrôle judiciaire, elles ne peuvent être consultées que dans le cadre d'une procédure judiciaire.
La commission prend acte que dans les cas où l'autorité judiciaire informe les services concernés que la personne a bénéficié d'une décision définitive de non-lieu, de relaxe ou d'acquittement, les données la concernant sont immédiatement supprimées. Elle recommande au ministère de donner des instructions afin que cette transmission d'information soit effective et permette un effacement des données.
La commission observe que la durée de conservation de dix ans est prévue au regard de la finalité d'aide à l'enquête judiciaire assignée aux traitements. Or, elle considère que cette durée de conservation doit être proportionnée à la finalité principale des traitements concernés, à savoir le suivi, par les services de police ou de gendarmerie, des personnes soumises à un contrôle judiciaire. La commission estime que les informations devraient donc être supprimées au terme d'un délai raisonnable à compter de l'exécution de la mesure, par exemple dans un délai de deux ans.
En outre, elle observe que, compte tenu du caractère non automatisé de la plupart de ces traitements, aucun dispositif technique de restriction des accès ne peut être mis en place. Elle prend cependant acte de l'engagement du ministère d'adresser des directives aux personnels pour rappeler l'interdiction d'accéder à ces données en dehors de tout cadre judiciaire passée la période d'exécution de la mesure.
Enfin, dans la mesure où ces traitements locaux prendront majoritairement la forme de registres papier, la commission observe qu'aucun mécanisme d'effacement automatique des informations ne peut être mis en œuvre. Elle demande qu'une telle procédure soit mise en place s'agissant des traitements informatisés.
Sur les destinataires des traitements :
L'article 4 du projet d'arrêté prévoit que seuls les agents des services de la police nationale et les militaires de la gendarmerie nationale, individuellement désignés et spécialement habilités, affectés dans les unités mettant en œuvre ces traitements peuvent accéder aux informations qui y sont enregistrées, en fonction de leurs attributions et dans la limite du besoin d'en connaître.
La commission relève que le ministère n'a pas entendu faire figurer à cet article les magistrats et fonctionnaires du ministère de la justice ayant à connaître du déroulement de l'exécution de la mesure, alors même qu'ils constituent bien des destinataires au sens de l'article 3-II de la loi du 6 janvier 1978 modifiée, lesquels doivent figurer dans l'acte réglementaire en application de l'article 29 de cette même loi.
Sur les droits des personnes concernées :
La commission prend acte que les personnes faisant l'objet d'une mesure de contrôle judiciaire seront informées du traitement de leurs données, soit par mention sur la convocation soit par affichage dans les locaux.
En ce qui concerne les droits d'accès et de rectification des personnes concernées, le ministère considère que, dès lors que les traitements ont notamment pour finalité l'utilisation des données à des fins d'enquête judiciaire, il y a lieu d'appliquer le régime juridique prévu aux articles 41 et 42 de la loi du 6 janvier 1978 modifiée (droit d'accès indirect). Néanmoins, le ministère entend mettre en place un droit d'accès direct aux données, sur le fondement des dispositions du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée.
Or, la commission observe que les traitements dénommés « contrôle judiciaire » ont pour finalité principale l'exécution de mesures de sûreté et non l'utilisation des données à des fins d'enquête judiciaire. A ce titre, ils ne relèvent ni de l'article 41 ni de l'article 42 de la loi du 6 janvier 1978 modifiée. Dès lors, et dans la mesure où le ministère entend en pratique permettre un droit d'accès direct au traitement, la commission estime nécessaire de modifier le projet d'arrêté en mentionnant les dispositions de droit commun prévues aux articles 39 et 40 de cette même loi.
Le projet d'arrêté précise par ailleurs que ces droits s'exercent directement « auprès du responsable de traitement ». A cet égard, la commission souligne que les responsables des traitements « contrôle judiciaire » sont les directeurs généraux de la police et de la gendarmerie nationales ainsi que le préfet de police. L'article 6 du projet d'arrêté serait donc utilement modifié, afin de prévoir que les droits d'accès et de rectification s'exercent directement auprès des services ou unités mettant en œuvre les traitements concernés, et non auprès des responsables de ceux-ci.
La commission relève par ailleurs que le ministère entend écarter le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée.
Sur la procédure d'engagement de conformité :
La commission relève que l'article 7 du projet d'arrêté prévoit que la mise en œuvre des traitements « contrôle judiciaire » par le directeur général de la police nationale (DGPN), le directeur général de la gendarmerie nationale (DGGN) ou le préfet de police est subordonnée à l'envoi à la commission d'un engagement de conformité faisant référence à l'arrêté.
La commission prend acte de l'engagement du ministère de lui communiquer un état précis des traitements mis en œuvre à l'occasion de la transmission de ces engagements de conformités.
Sur l'architecture et les mesures de sécurité :
La commission observe que ces traitements locaux prennent majoritairement la forme de registres papier et ne donnent pas lieu à un traitement informatique. Selon les indications du ministère, seule la préfecture de police dispose à ce jour d'un outil élaboré, et l'architecture technique et les mesures de sécurité qui ont été portées à la connaissance de la commission ne concernent donc que les traitements mis en œuvre par la préfecture de police. Il est cependant prévu que les traitements « contrôle judiciaire » soient progressivement informatisés.
Les traitements autorisés en vertu d'un acte réglementaire unique peuvent varier dans leur architecture technique et dans les mesures de sécurité précisément mises en œuvre, sous réserve que tous ces traitements bénéficient d'un niveau adéquat de sécurité.
A cet égard, la commission relève que pour tous les traitements automatisés, des mesures suffisantes de traçabilité seront mises en œuvre. L'article 5 du projet d'arrêté prévoit en effet que « les consultations effectuées font l'objet d'un enregistrement comprenant l'identification du consultant, les dates et heures de la consultation. Ces données sont conservées trois ans ».
Elle prend également acte de l'engagement du ministère de transmettre, à l'occasion de l'envoi des engagements de conformité relatifs aux traitements de la DGPN et de la DGGN, une présentation des sécurités techniques de ces traitements, informatisés ou non.