Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis concernant un projet d'arrêté relatif à la mise en œuvre de traitements automatisés de données à caractère personnel dénommés « logiciel d'uniformisation des procédures d'identification » (LUPIN).
Ces traitements ont pour finalité l'identification des auteurs de certaines infractions, principalement les cambriolages, par l'enregistrement d'informations collectées par les enquêteurs et la police technique et scientifique sur les lieux de commission de ces infractions. Le ministère a dès lors fait application de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée.
Il est en outre prévu que cet arrêté constitue un acte réglementaire unique au sens de l'article 26-IV de la loi du 6 janvier 1978 modifiée, permettant ainsi la déclaration de plusieurs traitements.
En vertu de ces dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent être autorisés par un acte réglementaire unique. La mise en œuvre de ces traitements par les différents services et unités relevant de la police nationale, la gendarmerie nationale ou la préfecture de police devra être précédée d'un engagement de conformité faisant référence au présent arrêté, comme le prévoit son article 7. A ce titre, le ministère a déjà adressé à la commission un dossier de présentation relatif au traitement LUPIN mis en œuvre par la préfecture de police de Paris. La commission regrette que ce traitement, mis en œuvre depuis plusieurs années, ait été déclaré si tardivement.
La commission prend acte que les engagements comporteront un dossier technique de présentation, permettant à la commission d'exercer son contrôle a priori sur les fonctionnalités exactes de chaque traitement, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté.
Sur les finalités et le régime juridique des traitements envisagés :
Les traitements envisagés ont pour finalité « l'identification des auteurs d'infractions prévues aux articles 311-1 à 311-13 et 322-5 à 322-22-1 du code pénal, par l'enregistrement d'informations collectées par les officiers et agents de police judiciaire ainsi que par les agents spécialisés, techniciens ou ingénieurs de police technique et scientifique sur les lieux de commissions de ces infractions ».
Ainsi, ces traitements poursuivent une double finalité. Il s'agit, d'une part, d'améliorer la « main courante police technique et scientifique », en permettant aux officiers et agents de police judiciaire ainsi qu'aux agents spécialisés, techniciens ou ingénieurs de police technique et scientifique d'enregistrer les données constatées sur les scènes où les vols ont été commis et, d'autre part, d'identifier les auteurs de ces infractions.
Les traces relevées sur la scène de l'infraction sont envoyées à l'identité judicaire, tandis que les informations relatives aux traces ainsi qu'à la commission des faits seront enregistrées dans les traitements envisagés. En cas d'identification positive dans les traitements de police technique et scientifique (FNAEG et FAED), l'identité judiciaire communique aux services l'identité du mis en cause.
Les données enregistrées dans les traitements projetés seront ensuite exploitées par les enquêteurs, notamment par l'intermédiaire de rapprochements permettant d'établir des liens entre des traces ou des modes opératoires caractéristiques constatés sur plusieurs lieux d'infractions différents.
En effet, plusieurs fonctionnalités, telles que, par exemple, des cartographies sur une infraction et une période déterminées ou des recherches par mode opératoire, permettront ainsi aux enquêteurs d'établir des liens entre plusieurs procédures et de mettre ainsi en lumière des séries de faits.
La commission considère que ces finalités sont déterminées, explicites et légitimes.
Elle constate que, si ces finalités en sont proches, les traitements envisagés ne relèvent pas de la définition des fichiers d'analyse sérielle prévus aux articles 230-12 à 230-18 du code de procédure pénale, notamment au regard des infractions concernées, dans la mesure où ils portent sur la petite et moyenne délinquance. De même, ils ne relèvent pas du régime juridique des logiciels de rapprochement judiciaire, prévu aux articles 230-20 à 230-27 du même code, puisque leur objet est précisément de procéder à des rapprochements entre différentes affaires.
Dès lors, dans la mesure où ils visent le rassemblement des preuves et l'identification des auteurs d'infractions, ces traitements relèvent du seul fondement de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté énumère les données collectées, qui sont relatives aux victimes, aux mis en cause et à la commission des faits.
A titre liminaire, la commission relève que la collecte de données est élargie par rapport au cadre juridique applicable aux fichiers d'analyse sérielle, la mise en œuvre de ces derniers étant limitée aux infractions punies d'au moins cinq ans d'emprisonnement.
La collecte des données relatives aux victimes est justifiée par la nécessité de discriminer leurs traces par rapport à celles laissées sur les lieux par le ou les auteurs. La commission s'interroge en revanche sur l'autre justification avancée par le ministère, à savoir pouvoir les informer, en cas d'identification d'un mis en cause après la plainte initiale, de leur droit de se porter partie civile, conformément à l'article 420-1 du code de procédure pénale. Cette identification des victimes et leur information doivent en effet pouvoir intervenir par l'intermédiaire d'autres traitements ou le dossier de procédure.
La commission estime que le projet d'arrêté devrait être modifié afin d'y faire apparaître, au 1° de l'article 2 « le cas échéant, la nature des traces, soit papillaire, soit génétique, prélevées à des fins de discrimination avec les traces laissées par les mis en cause ».
S'agissant des données concernant la commission des faits, la commission relève, concernant le traitement LUPIN mis en œuvre par la préfecture de police de Paris, que les infractions ainsi que les modes opératoires font l'objet d'un thésaurus.
Par ailleurs, les éventuelles images issues d'enregistrements vidéo seront obtenues dans le cadre de l'enquête judiciaire conformément au code de procédure pénale ; les dispositifs ne comporteront pas de système de reconnaissance faciale.
Enfin, concernant les traces, la commission prend acte que seuls le nombre et la nature des traces seront enregistrés dans les traitements concernés, qui ne contiendront en aucun cas les données papillaires ou génétiques, enregistrées dans le fichier automatisé des empreintes digitales (FAED) et le fichier national automatisé des empreintes génétiques (FNAEG). Les traces peuvent être de plusieurs sortes : « papillaires », c'est-à-dire digitales ou palmaires, « génétiques » ou « autres ». La commission prend acte que cette dernière catégorie de trace ne concerne pas des caractéristiques physiques du mis en cause, mais des informations susceptibles de figurer dans la procédure judiciaire (par exemple : mention de l'existence de marque de pesée, d'outillage, de chaussures, etc.).
La commission relève enfin que des données relevant de l'article 8 de la loi du 6 janvier 1978 modifiée ne pourront être traitées. A cet égard, elle relève que les fonctionnaires chargés de l'alimentation du traitement LUPIN de la préfecture de police de Paris seront sensibilisés à cette interdiction. Elle prend acte de l'engagement du ministère de l'intérieur de veiller à ce que ces données ne soient pas collectées au sein des traitements qui seront mis en œuvre par d'autres services et qui devront faire l'objet d'un engagement de conformité au présent projet d'arrêté.
Sous ces réserves, la commission considère que les données collectées sont adéquates, pertinentes et non excessives au regard des finalités assignées aux traitements envisagés.
Sur la durée de conservation des données :
L'article 3 du projet d'arrêté prévoit que les données à caractère personnel sont conservées pendant trois ans à compter de leur enregistrement.
Le ministère de l'intérieur a justifié cette durée de conservation en précisant qu'elle correspondait à la durée de la prescription de l'action publique applicable aux délits (trois ans), alors même que certaines infractions donnant lieu à enregistrement dans les traitements LUPIN sont des crimes, pour lesquels la durée de prescription de l'action publique est de dix ans.
La commission relève ainsi que le ministère de l'inteneur a retenu comme durée de conservation des données la durée de prescription de l'action publique la plus cohérente au regard de la catégorie principale d'infraction concernée par les traitements LUPIN (les cambriolages, c'est-à-dire des délits de vols par effraction qui constituent des vols aggravés).
Par ailleurs, la conservation des données relatives à une enquête déterminée au-delà de la fin de l'enquête et pour une durée de trois ans permettra, grâce à d'éventuels indices et faits similaires identifiés sur plusieurs enquêtes, de résoudre d'autres enquêtes, en cours ou clôturées après vaines recherches, dès lors qu'elles ne sont pas prescrites.
La commission estime dès lors que cette durée de conservation est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Elle relève enfin que, pour le traitement LUPIN mis en œuvre par la préfecture de police de Paris, il est prévu un mécanisme automatique de suppression des données à l'issue du délai de prescription, seul à même de garantir le respect de la durée de conservation. La commission regrette néanmoins l'absence d'information sur les modalités techniques de cette suppression et estime que les mesures mises en œuvre devront assurer un effacement total des données. En particulier, une mesure devra permettre de s'assurer que les données devant être effacées seront supprimées des bases actives et également des jeux de sauvegarde et archivage. Enfin, la commission estime que les autres traitements devraient également bénéficier de cette garantie, qui pourrait dès lors être expressément prévue dans le projet d'arrêté.
Sur les destinataires des données :
L'article 4 du projet d'arrêté énumère les destinataires des données enregistrées dans les traitements envisagés.
Les agents de la police nationale et des militaires de la gendarmerie nationale, individuellement désignés et spécialement habilités par leurs chefs de service ou commandants d'unité, affectés dans les services et unités de police judiciaire mettant en œuvre les traitements, ont accès aux données enregistrées dans les traitements projetés, dans la limite du besoin d'en connaître.
Peuvent être destinataires de données enregistrées dans les traitements projetés les officiers et agents de police judiciaire de la police et de la gendarmerie nationales pour les recherches relatives aux infractions dont ils ont à connaître.
La commission estime que les magistrats du parquet et les magistrats instructeurs, pour les recherches relatives aux infractions et aux procédures visées à l'article 1er, devraient être ajoutés au titre des personnels habilités à qui ces informations peuvent être communiquées.
Sur l'information des personnes et le droit d'opposition :
Conformément aux dispositions respectives du VI de l'article 32 et de l'article 38 de la loi du 6 janvier 1978 modifiée, le projet d'arrêté prévoit en son article 6-I que les personnes concernées ne sont pas informées du traitement de données dont elles font l'objet et ne disposent pas de la possibilité de s'y opposer.
Toutefois, la commission relève que l'information des victimes ne semble pas remettre en cause les fins poursuivies par le traitement. Dès lors, elle prend acte de l'engagement du ministère de prévoir une information spécifique à destination des victimes, en plus de celle délivrée par l'intermédiaire de la charte d'accueil du public, affichée dans les locaux des brigades de gendarmerie et des commissariats de police.
Par ailleurs, la commission demande que les victimes disposent d'un droit d'opposition une fois l'auteur des faits condamné et que le projet d'arrêté soit complété en ce sens.
Sur les droits d'accès et de rectification des personnes :
L'article 6-II du projet d'arrêté prévoit que ces droits s'exercent dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 modifiée, conformément aux dispositions de l'article 42 de la même loi, c'est-à-dire par voie indirecte en adressant une demande auprès de la commission.
Or, la commission considère que prévoir un droit d'accès direct pour les victimes ne serait pas de nature à remettre en cause les finalités du traitement. Aussi, elle prend acte de l'engagement du ministère de l'intérieur de modifier le projet d'arrêté en ce sens, afin de faire application, pour cette catégorie de personnes, du dernier alinéa de l'article 41 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Si les traitements envisagés autorisés en vertu du présent projet d'acte réglementaire unique peuvent varier dans leur architecture technique ou dans les mesures de sécurité, l'article 5 du projet d'arrêté prévoit que tous ces traitements devront cependant assurer une certaine traçabilité. Ainsi, il est prévu une fonctionnalité de journalisation des actions, étant précisé que les traces sont conservées cinq ans. Concernant le traitement LUPIN mis en œuvre par la préfecture de police de Paris, des mesures spécifiques de conservation et d'accès de ces traces sont définies, que la Commission estime suffisantes pour assurer leur sécurité.
La commission recommande que, dans l'hypothèse où des traces liées à des données effacées seraient conservées, ces traces ne soient pas accessibles en base active. Elles devraient de plus faire l'objet de modalités spécifiques de conservation, notamment par la mise en œuvre d'une politique d'accès spécifique.
La commission relève qu'afin d'augmenter le niveau de sécurité, la préfecture de police de Paris a souhaité cloisonner ce traitement au niveau physique et logique. Les mesures retenues sont de nature à assurer le niveau de séparation attendu.
La commission constate qu'une analyse de risque spécifique a été conduite. Cette étude, qui est une bonne pratique dans le cadre de la mise en œuvre d'un nouveau traitement, gagnerait en qualité en étant plus exhaustive. La revue régulière de l'analyse de risques doit permettre d'apporter les mises à jour et les précisions nécessaires.
S'agissant plus précisément de l'authentification, la commission recommande que les mots de passe utilisés pour authentifier les agents lors d'un accès au traitement LUPIN soient renforcés (huit caractères choisis aléatoirement parmi des majuscules, minuscules, chiffres et lettres) et renouvelés régulièrement, en prévoyant également un seuil de verrouillage en cas de nombreuses tentatives. Elle encourage le ministère à mettre en œuvre l'authentification par carte agent, qui présente notamment l'avantage de réduire le risque d'usurpation d'identité.
Les traitements ne feront l'objet d'aucune interconnexion ou mise en relation avec d'autres traitements, notamment avec le FNAEG ou le FAED.
D'une manière générale, la commission constate que le ministère prévoit plusieurs mesures pour assurer la confidentialité, l'intégrité et la disponibilité des données et estime qu'elles sont de nature à réduire significativement les risques identifiés dans le cadre de ce traitement.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée.
La commission prend acte de l'engagement du ministère de l'intérieur de veiller à ce que l'ensemble des traitements dont la mise en œuvre sera autorisée par le présent projet d'arrêté bénéficient des mêmes mesures de sécurité que celles du traitement LUPIN de la préfecture de police de Paris.
Elle rappelle toutefois que l'obligation de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques propre à chaque traitement.