La Commission nationale de l'informatique et des libertés a été saisie pour avis par le ministre de l'intérieur, de l'outre-mer, des collectivités territoriales et de l'immigration d'un projet d'arrêté autorisant la création de traitements de données à caractère personnel relatifs au suivi des permissions de sortir.
Il y a lieu de faire application des dispositions de l'article 26-1 (2°) de la loi du 6 janvier 1978 modifiée qui soumet à une autorisation par arrêté ministériel pris après avis motivé et publié de la Commission nationale de l'informatique et des libertés les traitements de données à caractère personnel mis en œuvre pour le compte de l'Etat et intéressant la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l'exécution des condamnations pénales ou des mesures de sûreté.
En outre, et conformément aux dispositions de l'article 26-IV de la loi du 6 janvier 1978 modifiée, le projet d'arrêté a vocation à constituer un acte réglementaire unique, auquel devront se référer les engagements de conformité adressés à la commission. Il s'agit en effet de traitements mis en œuvre, pour leur majorité, au niveau local (commissariats et unités territoriales de gendarmerie) et sous format papier, qui font actuellement l'objet d'une démarche de régularisation et d'informatisation par le ministère de l'intérieur.
Sur les finalités des traitements :
L'article 1er du projet d'arrêté autorise le directeur général de la police nationale, le directeur général de la gendarmerie nationale ainsi que le préfet de police à mettre en œuvre localement des traitements de données à caractère personnel relatifs au suivi des personnes bénéficiant de permissions de sortir dont la finalité est, d'une part, « d'assurer le suivi des informations relatives aux personnes bénéficiant d'une mesure de permission de sortir des établissements pénitentiaires, accordée par le juge de l'application des peines, lorsque le lieu de résidence est situé sur le ressort territorial du responsable de traitement » ; et de « vérifier, pour les besoins des enquêtes pénales dont sont saisis les services de la police et des unités de la gendarmerie nationales, les modalités d'exécution de ces mesures », d'autre part.
La commission estime que la finalité de suivi local des informations relatives aux personnes bénéficiant d'une mesure de permission de sortir, lorsque le lieu de résidence est situé sur le ressort territorial du responsable de traitement, n'appelle pas d'observation particulière.
Elle s'est en revanche interrogée sur l'utilité de la seconde finalité mentionnée dans le projet d'arrêté. En effet, les dispositions du code de procédure pénale relatives aux réquisitions judiciaires et le II de l'article 3 de la loi du 6 janvier 1978 modifiée permettent déjà à l'autorité judiciaire d'avoir communication, à des fins d'enquête dans le cadre d'une procédure judiciaire, des données issues de tout traitement de données à caractère personnel, sans qu'il soit nécessaire de lui assigner une telle finalité.
En outre, les informations relatives aux permissions de sortir des détenus sont enregistrées dans d'autres traitements de données à caractère personnel, comme par exemple le traitement de gestion informatisée des détenus en établissement (GIDE), créé par le décret n° 2011-817 du 6 juillet 2011, et sont donc à la disposition des services enquêteurs sur simple réquisition.
Dans ces conditions, la commission a sollicité des précisions auprès du ministère de l'intérieur. Celui-ci a indiqué que cette finalité est nécessaire à l'utilisation des données enregistrées dans les traitements dans le cadre de procédures judiciaires. A défaut, ces informations ne pourraient être conservées au-delà de la période d'exécution de la mesure de permission de sortir rendant ainsi sans effet toute réquisition judiciaire. En outre, le ministère a indiqué qu'il convient de permettre aux services enquêteurs de vérifier ultérieurement les modalités d'exécution de ces mesures et d'accéder rapidement à ces informations dans le cadre de leur mission de police judiciaire.
La commission considère que la justification avancée par le ministère n'est pas suffisamment convaincante. En tout état de cause, elle estime que si cette seconde finalité devait être maintenue, le ministère devrait mettre en place des garanties complémentaires, notamment en termes de durée de conservation des données et de sécurité. Ainsi, les consultations devront faire l'objet d'une traçabilité effective pour permettre à la commission, dans le cadre de ses missions de contrôle diligentées en application de l'article 44 de la loi du 6 janvier 1978 modifiée, d'assurer le nécessaire contrôle de l'utilisation des fichiers concernés à des fins de police judiciaire.
Enfin, la commission prend acte que ces traitements locaux n'ont aucune finalité statistique.
Sur les données à caractère personnel traitées :
L'article 2 du projet d'arrêté prévoit que les données à caractère personnel pouvant être enregistrées dans les traitements de suivi des permissions de sortir sont les suivantes :
― quant à l'identité du bénéficiaire de la mesure : nom, prénom, date et lieu de naissance, lieu de résidence ;
― quant à l'identité de l'hébergeant : nom, prénom, date et lieu de naissance, nationalité, adresse et lieu de travail ;
― quant aux informations en rapport avec la décision d'exécution de la mesure : centre de détention, infraction, autorité judiciaire concernée, modalités d'exercice de la mesure.
La commission prend acte du caractère exhaustif de cette liste.
Elle prend également acte des précisions du ministère selon lesquelles la collecte et le traitement des données relatives à la date, au lieu de naissance, à la nationalité, à l'adresse et au lieu de travail de l'hébergeant sont nécessaires aux services de police et de gendarmerie « afin de s'assurer de l'effectivité du suivi des permissions de sortir et de pouvoir réagir rapidement » en cas de rupture de ses engagements par la personne bénéficiaire de la mesure.
Elle relève que seules des données relatives à la nature de l'infraction seront traitées dans le cadre des fichiers de suivi des permissions de sortir, à l'exclusion de toute information relative à la condamnation prononcée, afin de permettre aux commandants d'unité de gendarmerie ou aux chefs de service de police d'adapter les missions de leurs personnels en fonction de la nature de l'infraction commise.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données sont conservées dix ans à compter de leur enregistrement, mais qu'à compter du terme de la mesure de permission de sortir, elles ne peuvent être consultées que dans le cadre d'une procédure judiciaire.
La commission observe que la durée de conservation de dix ans est prévue au regard de la finalité d'aide à l'enquête judiciaire assignée aux traitements. Or, elle considère que cette durée de conservation doit être proportionnée à la finalité principale des traitements concernés, à savoir le suivi, par les services de police ou de gendarmerie, des personnes bénéficiant d'une mesure de permission de sortir. La commission estime que les informations devraient donc être supprimées au terme d'un délai raisonnable à compter de l'exécution de la mesure, par exemple dans un délai de deux ans.
En outre, elle observe que, compte tenu du caractère non automatisé de la plupart de ces traitements, aucun dispositif technique de restriction des accès ne peut être mis en place. Elle prend cependant acte de l'engagement du ministère d'adresser des directives aux personnels pour rappeler l'interdiction d'accéder à ces données en dehors de tout cadre judiciaire passée la période d'exécution de la mesure.
Enfin, dans la mesure où ces traitements locaux prendront majoritairement la forme de registres papier, la commission observe qu'aucun mécanisme d'effacement automatique des informations ne peut être mis en œuvre. Elle demande qu'une telle procédure soit mise en place s'agissant des traitements informatisés.
Sur les destinataires des traitements :
L'article 4 du projet d'arrêté prévoit que seuls les agents des services de la police nationale et les militaires et de la gendarmerie nationale, individuellement désignés et spécialement habilités, affectés dans les services ou unités mettant en œuvre ces traitements peuvent accéder aux informations qui y sont enregistrées, en fonction de leurs attributions et dans la limite du besoin d'en connaître.
Ces dispositions n'appellent pas de remarque particulière de la part de la commission.
Sur les droits des personnes concernées :
La commission prend acte que le ministère entend écarter le droit d'information des personnes concernées, en application des dispositions de l'article 32-VI de la loi du 6 janvier 1978 modifiée. Elle relève en effet que, dans le cadre d'une permission de sortir, les services de police et de gendarmerie nationale n'ont pas vocation à rencontrer le détenu et ne peuvent donc l'informer du traitement dont il fait l'objet. En outre, la commission rappelle que les personnes concernées sont informées par l'administration pénitentiaire de la transmission aux forces de l'ordre des données les concernant enregistrées dans le traitement GIDE.
Cependant, elle relève que les données des personnes hébergeant les permissionnaires sont également enregistrées dans ces traitements. La commission demande donc au ministère de prévoir une information pour ces personnes.
En ce qui concerne les droits d'accès et de rectification des personnes concernées, le ministère considère qu'il y a lieu d'appliquer le régime juridique prévu aux articles 41 et 42 de la loi du 6 janvier 1978 modifiée (droit d'accès indirect). Néanmoins, le ministère entend mettre en place un droit d'accès direct aux données, sur le fondement des dispositions du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée.
Or, la commission rappelle que pour les traitements mis en œuvre aux fins de prévention, recherche et constatation des infractions pénales, comme cela est le cas s'agissant des traitements « permission de sortir », l'accès indirect aux données qui y sont enregistrées ne constitue qu'une possibilité et en aucun cas le principe. Dès lors, et dans la mesure où le ministère entend en pratique permettre un droit d'accès direct au traitement, la commission estime nécessaire de modifier le projet d'arrêté en mentionnant les dispositions de droit commun prévues aux articles 39 et 40 de cette même loi.
Le projet d'arrêté précise par ailleurs que ces droits s'exercent directement « auprès du responsable de traitement territorialement compétent ». A cet égard, la commission souligne que les responsables des traitements relatifs au suivi des permissions de sortir sont les directeurs généraux de la police et de la gendarmerie nationales ainsi que le préfet de police. L'article 6 du projet d'arrêté serait donc utilement modifié, afin de prévoir que les droits d'accès et de rectification s'exercent directement auprès des services ou unités mettant en œuvre les traitements concernés et non auprès des responsables de ceux-ci.
La commission relève enfin que le droit d'opposition prévu à l'article 38 de la loi du 6 janvier 1978 modifiée ne s'applique pas aux traitements concernés par le projet d'arrêté.
Sur la procédure d'engagement de conformité :
En application des dispositions du 1V de l'article 26 de la loi du 6 janvier 1978 modifiée, le projet d'arrêté doit prévoir que la mise en œuvre des traitements « permission de sortir » par le directeur général de la police nationale (DGPN), le directeur général de la gendarmerie nationale (DGGN) et le préfet de police est subordonnée à l'envoi à la commission d'un engagement de conformité faisant référence à cet arrêté.
La commission prend acte de l'engagement du ministère de lui communiquer un état précis des traitements mis en œuvre à l'occasion de la transmission de ces engagements de conformité.
Sur l'architecture et les mesures de sécurité :
La commission observe que ces traitements locaux prennent majoritairement la forme de registres papier et ne donnent pas lieu à un traitement informatique. Selon les indications du ministère, seule la préfecture de police dispose à ce jour d'un outil élaboré et l'architecture technique et les mesures de sécurité qui ont été portées à la connaissance de la commission ne concernent donc que les traitements mis en œuvre par la préfecture de police. Il est cependant prévu que les traitements « permission de sortir » soient progressivement informatisés.
Les traitements autorisés en vertu d'un acte réglementaire unique peuvent varier dans leur architecture technique et dans les mesures de sécurité précisément mises en œuvre, sous réserve que tous ces traitements bénéficient d'un niveau adéquat de sécurité.
A cet égard, la commission relève que, pour tous les traitements automatisés, des mesures suffisantes de traçabilité seront mises en œuvre. L'article 5 du projet d'arrêté prévoit en effet que « les consultations font l'objet d'un enregistrement comportant l'identifiant de consultant ainsi que la date et l'heure de la consultation. Ces données sont conservées trois ans ».
Elle prend également acte de l'engagement du ministère de transmettre, à l'occasion de l'envoi des engagements de conformité relatifs aux traitements de la DGPN et de la DGGN, une présentation des sécurités techniques de ces traitements, informatisés ou non.