Sur le régime juridique des fichiers de recherche de contamination ADN
d'échantillons biologiques dénommés « ORCA »
Il est prévu que le projet de décret soumis pour avis à la commission constitue un acte réglementaire unique, au sens du IV de l'article 26 de la loi du 6 janvier 1978 modifiée, permettant ainsi la déclaration de plusieurs traitements de recherche de contamination ADN d'échantillons prélevés et analysés par les laboratoires de l'INPS et de I'IRCGN. Compte tenu du traitement de données biométriques, les traitements ORCA sont également soumis aux dispositions relatives à l'acte réglementaire unique prévu par l'article 27-III de la loi du 6 janvier 1978 modifiée.
En vertu de ces dispositions, les traitements, qui répondent à une même finalité portent sur des catégories de données identiques et ont les mêmes destinataires, peuvent être autorisés par un acte réglementaire unique. Chacun de ces traitements doit être mis en œuvre conformément à la description qui figure dans ce texte réglementaire et doit faire l'objet d'un engagement de conformité, préalablement adressé à la Commission nationale de l'informatique et des libertés.
Dans la mesure où les conditions formelles prévues à l'article 26-IV de la loi du 6 janvier 1978 modifiée sont remplies en l'espèce, la commission prend acte du régime juridique projeté concernant les traitements « ORCA ». La mise en œuvre de chaque traitement pour chaque laboratoire relevant de l'INPS et de l'IRCGN devra ainsi être précédée de l'envoi d'un engagement de conformité faisant référence au présent décret.
Toutefois, la commission souhaite que le projet de texte examiné soit modifié afin de rappeler cette obligation, par l'insertion d'un article spécifique dans le projet de décret.
A cet égard, la commission constate que l'acte réglementaire unique projeté permettra de simplifier les démarches de déclaration des traitements ORCA, poursuivant les mêmes finalités et traitant des mêmes catégories de données et de destinataires.
Sur la finalité des traitements
L'article 1er du projet de décret prévoit la mise en œuvre de traitements de données à caractère personnel ayant pour finalité « d'identifier, lors des analyses génétiques effectuées par les laboratoires de police technique et scientifique, à la demande des autorités judiciaires et des services de police et des unités de gendarmerie, une éventuelle contamination des échantillons analysés », finalité prévue à l'article 706-56 du code de procédure pénale.
Conformément à ces dispositions, les laboratoires de l'INPS et de l'IRCGN sont requis pour effectuer une identification par analyse d'empreinte génétique, sur demande d'un officier de police judiciaire, d'un procureur de la République ou d'un juge d'instruction.
Cependant, lors des manipulations techniques d'un échantillon biologique en cours d'analyse réalisées par un personnel dûment habilité au sein d'un laboratoire relevant de l'INPS ou de l'IRCGN, un risque de contamination de cet échantillon est envisageable. Dans cette hypothèse, l'identification de la personne mise en cause ou dont l'échantillon biologique a été prélevé sur une scène d'infraction peut être perturbée ou entraîner un résultat erroné.
Dès lors, la finalité du traitement consiste à réduire les risques d'erreur d'identification. Pour cela, les traitements « ORCA » conservent les profils génétiques de tous les personnels susceptibles d'être en contact avec les échantillons dans les laboratoires. Une fois l'identification de la personne par son empreinte génétique effectuée, le résultat est comparé avec la base « ORCA » afin de vérifier que le résultat n'est pas erroné. Dans le cas contraire, l'échantillon est exclu afin de ne pas fausser les résultats des analyses et ainsi les résultats de l'enquête judiciaire en cours.
Ainsi, chaque laboratoire de l'INPS et de l'IRCGN disposera d'un traitement « ORCA » interne et indépendant, contenant les profils génétiques de tous les employés ainsi que des visiteurs afin de s'assurer qu'aucune contamination n'a eu lieu.
La commission prend acte de ce que les traitements « ORCA » seront mis en œuvre par chaque laboratoire relevant de l'INPS et de l'IRCGN de manière indépendante. Les traitements « ORCA » ne seront pas interconnectés entre eux, ni avec le fichier national des empreintes génétiques (FNAEG).
La commission prend acte que les traitements « ORCA » ne seront pas utilisés à d'autres fins, tout particulièrement aux fins de contrôle de la qualité du travail des employés du laboratoire.
Sur la nature des données traitées
Les données à caractère personnel collectées portent sur les personnels scientifiques et administratifs amenés à être en contact avec les scellés et les échantillons analysés au sein des laboratoires de l'INPS et de l'IRCGN, ainsi que sur les visiteurs desdits laboratoires. Il s'agit en effet de collecter les données concernant toutes les personnes potentiellement en contact avec les échantillons biologiques.
L'article 2 du projet de décret énumère les catégories de données collectées, à savoir les données d'identification des personnes concernées (nom, prénom, fonction et, le cas échéant, la date de présence ou de passage dans les locaux) ainsi que leur profil génétique.
A l'instar des empreintes génétiques conservées au sein du FNAEG, les profils génétiques établis au sein des fichiers « ORCA » seront réalisés à partir de segments d'acide désoxyribonucléique non codants, à l'exception du segment correspondant au marqueur du sexe, et ce conformément aux dispositions de l'article 706-54 du code de procédure pénale.
En outre, le numéro d'affaire lié à l'échantillon analysé est traité afin de permettre au laboratoire, dans le cadre d'une démarche qualité, de perfectionner son fonctionnement et d'éviter des contaminations ultérieures, en identifiant par exemple la manière dont a été contaminé l'échantillon.
Par ailleurs, les profils génétiques des personnes et les numéros d'affaires issus des échantillons analysés dans le cadre d'une procédure antérieure à la mise en œuvre du traitement et datant de moins de dix-huit mois sont également traités au sein des traitements « ORCA ».
Comme le précise le dossier technique présenté à l'appui du projet de décret, les traitements « ORCA » sont composés de deux bases de données distinctes qui ne sont pas interconnectées. Ainsi, les données relatives aux profils génétiques des personnels et des analyses antérieures enregistrées dans ORCA sont séparées des données d'identification de ces personnes.
La commission considère que les données collectées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par les traitements « ORCA », conformément aux dispositions de l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
Sur la durée de conservation des données
Aux termes de l'article 3 du projet de décret, les données enregistrées dans les fichiers « ORCA » seront conservées dix-huit mois. Pour le ministère, ce délai correspond à l'estimation raisonnable de la persistance d'un acide désoxyribonucléique contaminant. Au-delà de celui-ci, le risque de contamination d'un échantillon serait en effet faible, tout autant que la possibilité de révéler une contamination à la suite d'un événement extérieur, tel qu'une pollution à l'intérieur d'un lot de consommables utilisés aux fins d'analyses par exemple.
Au-delà de cette durée de conservation, il est prévu que l'effacement des données soit réalisé de manière automatique. Toutefois, pour certains laboratoires de l'INPS, le ministère a indiqué que l'effacement des données serait effectué manuellement. La commission invite donc le ministère à prendre toutes les mesures nécessaires pour automatiser, dans les meilleurs délais, l'effacement des données dans tous les laboratoires disposant d'un traitement « ORCA ».
Par ailleurs, la commission souligne que les échantillons d'ADN seront systématiquement incinérés selon des protocoles conformes aux dispositions applicables en matière de destruction de matériels biologiques humains, dès la réalisation du profil génétique de la personne prélevée.
La commission considère que cette durée de conservation est nécessaire au regard de la finalité poursuivie par les traitements de données à caractère personnel « ORCA » conformément aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données
L'article 4 du projet de décret précise que seuls les agents habilités à réaliser les analyses génétiques de chaque laboratoire auront accès aux données liées aux profils génétiques des personnes enregistrées au sein des traitements « ORCA ». Les experts habilités à déterminer des profils génétiques et les personnels qualifiés les assistant n'auront accès au traitement « ORCA » interne de leur laboratoire qu'aux fins de vérifier si une empreinte génétique y est enregistrée. Cependant, ces personnels n'auront pas accès aux données nominatives enregistrées dans le traitement.
Ces données d'identification des personnes et le numéro de l'affaire correspondant sont accessibles uniquement aux agents spécifiquement habilités à cet effet par le directeur du laboratoire dans lequel se trouve le traitement. Ces personnes auront ainsi accès manuellement aux données d'identification des personnes afin de leur permettre, uniquement en cas de contamination avérée, de relier un profil génétique à une identité réelle.
La commission prend acte qu'aucune autre personne n'aura accès aux informations contenues dans les traitements « ORCA », pour quelle que soit la finalité.
Sur les droits des personnes
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les personnes concernées seront informées de leurs droits par une lettre d'information. Celle-ci précise que les traitements « ORCA » ne sont pas anonymes et informent les personnels et visiteurs des modalités d'exercice de leurs droits d'accès et de rectification, ainsi que de la nécessité de recueillir leur consentement préalable. L'information délivrée au sein de cette annexe répond ainsi aux exigences des dispositions de la loi informatique et libertés.
Cependant, compte tenu de la relation de subordination qui prévaut entre le salarié et son employeur, le consentement des personnels des laboratoires ne peut pas être considéré comme un consentement libre et éclairé et ce même si le ministère précise que le refus de prélèvement et d'enregistrement de données n'entraînerait aucune sanction, à l'exception du fait que la personne n'aurait pas la possibilité de pénétrer dans les locaux des sections de biologie des laboratoires. La commission rappelle en outre que le recueil du consentement de ces personnes, au sens de l'article 7-3° de la loi du 6 janvier 1978 modifiée, n'est pas nécessaire dans la mesure où les laboratoires de la police et de la gendarmerie nationales sont investis d'une mission de service public. La commission prend néanmoins acte de la volonté du ministère de l'intérieur d'obtenir, dans une démarche positive, le plein accord des personnes concernées. Elle estime de même légitime, au vu de la finalité assignée aux traitements « ORCA », que leur droit d'opposition soit écarté.
L'exercice des droits d'accès et de rectifications aux données traitées dans ORCA s'effectue de manière directe auprès des directeurs des instituts de l'INPS et de l'IRCGN, en application des articles 39 et 40 de la « loi informatique et libertés ».
Enfin, la commission prend acte que, sur le fondement du dernier alinéa de l'article 38 de ladite loi, leur droit d'opposition est écarté par le projet de décret.
Sur la sécurité des données et la traçabilité des actions
L'article 5 du projet de décret prévoit que les consultations des traitements « ORCA » feront l'objet d'un enregistrement comprenant l'identification du consultant, la date et l'heure de la consultation ainsi que l'objet de la consultation. Ces informations seront conservées trois ans. La commission prend acte que cette traçabilité est mise en œuvre pour toutes les opérations affectant les données enregistrées dans les fichiers « ORCA ».
Aucune analyse automatisée des traces n'est cependant prévue. A cet égard, la commission rappelle que les traces doivent être régulièrement exploitées afin de détecter d'éventuelles consultations indues de ces traitements.
Les traitements « ORCA » ne sont pas interconnectés entre eux. Cependant, les laboratoires relevant de I'INPS et de l'IRCGN disposent d'une infrastructure informatique globale sécurisée, à savoir le réseau général de transport du ministère de l'intérieur, assurant ainsi un niveau de protection suffisant et homogène avec les autres traitements mis en œuvre par le ministère.
Les accès aux traitements « ORCA » se feront par l'utilisation d'un identifiant et d'un mot de passe personnel. A cet égard, la commission rappelle que, pour être conforme aux dispositions de l'article 34 de la loi du 6 janvier 1978 modifiée, la gestion de ces accès doit respecter les principes suivants :
― chaque utilisateur doit disposer d'un identifiant qui lui est propre ;
― les mots de passe doivent être obligatoirement modifiés après leur réinitialisation ;
― ces mots de passe doivent comprendre a minima huit caractères de types différents (majuscules, minuscules, chiffres et caractères spéciaux) et être modifiés régulièrement (par exemple tous les trois mois).