La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis concernant un projet de décret portant application à la loi de programmation relative à l'exécution des peines et modifiant le code de procédure pénale ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la décision-cadre 2009/315/JAI du Conseil du 26 février 2009 concernant l'organisation et le contenu des échanges d'informations extraites du casier judiciaire entre les Etats membres de l'Union européenne ;
Vu la décision du Conseil 2009/316 du 6 avril 2009 relative à la création du système européen d'information sur les casiers judiciaires (ECRIS), en application de l'article 11 de la décision-cadre 2009/315/JAI ;
Vu le code de procédure pénale, notamment ses articles 768 à 781 et R. 62 à R. 90 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26 ;
Vu la loi n° 2012-409 du 27 mars 2012 de programmation relative à l'exécution des peines, notamment son article 14 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Après avoir entendu M. Gaëtan GORCE, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La Commission a été saisie par le ministre de la justice d'une demande d'avis sur un projet de décret portant application de la loi de programmation relative à l'exécution des peines et modifiant le code de procédure pénale.
Les modifications projetées concernent le casier judiciaire national (ci-après « CJN ») dont les conditions de mise en œuvre sont prévues aux articles 768 à 781 du code de procédure pénale et R. 62 à R. 90 du même code. Plus précisément, ces modifications portent sur les informations enregistrées dans les fiches du casier judiciaire, sur les modalités d'effacement de ces dernières, ainsi que sur les délais et les modalités de transmission des avis de condamnation et des bulletins du casier judiciaire entre les autorités des Etats membres de l'Union européenne.
Ces modifications interviennent dans le cadre de l'application de la loi du 27 mars 2012 susvisée, qui a notamment modifié certaines dispositions législatives du code de procédure pénale relatives au CJN aux fins de transposition de la décision-cadre du 26 février 2009 et de la décision du Conseil du 6 avril 2009 susvisées.
Afin d'améliorer la sécurité des citoyens dans l'espace européen de liberté, de sécurité et de justice, des mesures concrètes facilitant l'échange d'informations sur les condamnations pénales entre les Etats membres ont en effet été prévues. A la suite du projet pilote d'interconnexion des casiers judiciaires de certains Etats membres, mené dès 2006, a ainsi été créé un système informatisé d'information sur les casiers judiciaires européens dénommé ECRIS, mis en œuvre depuis 2012, qui permet aux autorités nationales d'échanger, par voie électronique, des informations contenues dans les bases de données nationales relatives aux casiers judiciaires des Etats membres.
Dans ce contexte, le projet de décret soumis à la Commission vise à adapter les dispositions réglementaires du code de procédure pénale relatives au CJN aux obligations créées par les dispositions législatives précitées. A cet égard, la Commission relève que le projet de loi de programmation relative à l'exécution des peines ne lui a pas été soumis pour avis. Conformément à l'article 779 du code de procédure pénale, ce décret en Conseil d'Etat doit être pris après avis de la Commission.
Sur les nouvelles données enregistrées dans les fiches du casier judiciaire :
Pour rappel, le CJN est un fichier informatisé tenu sous l'autorité du ministre de la justice, dont l'objectif est de centraliser et d'enregistrer les condamnations pénales prononcées par les autorités judiciaires à l'encontre des personnes physiques et morales, ainsi que certaines décisions prononcées par les tribunaux de commerce, certaines décisions administratives et disciplinaires. Chaque décision fait ainsi l'objet d'une fiche adressée au CJN, le relevé, intégral ou partiel, des fiches relatives à une même personne physique étant porté sur les bulletins n° 1, n° 2 et n° 3 du casier judiciaire.
L'article 2 du projet de décret vise à compléter les dispositions de l'article R. 65 du code de procédure pénale relatives à l'établissement des fiches du casier judiciaire, qui, dans sa rédaction actuelle, ne mentionne pas le contenu de ces fiches. Le projet de décret prévoit ainsi que celles-ci doivent contenir des données relatives à l'identité de la personne concernée, à la procédure et à la décision à enregistrer faisant l'objet de la fiche.
L'enregistrement de ces données est nécessaire à l'application de l'article 11 de la décision-cadre 2009/315/JAI du Conseil du 26 février 2009, qui liste les informations que doit obligatoirement transmettre tout Etat membre à un autre Etat membre de l'Union européenne lorsqu'il a prononcé une condamnation à l'encontre d'un ressortissant de ce dernier.
Les données précises que l'article 2 du projet de décret prévoit de faire figurer dans chaque fiche du casier judiciaire sont ainsi identiques aux données listées dans cette décision-cadre. Il en est ainsi, en particulier, de la nationalité des personnes concernées, qui permet de notifier une condamnation à l'Etat membre concerné.
Le ministère souhaite que ces informations soient portées sur toutes les fiches du casier judiciaire, et non sur les seules fiches faisant l'objet d'une transmission aux autres Etats membres en application de la décision-cadre précitée. Dans la mesure où les dispositions projetées de l'article R. 65 du code de procédure pénale permettront ainsi une clarification et une harmonisation du contenu de toutes les fiches du CJN, l'enregistrement de ces nouvelles informations n'appelle pas d'observation particulière de la part de la Commission.
Sur les nouvelles modalités d'effacement des fiches du casier judiciaire :
L'article 3 du projet de décret prévoit de modifier l'article R. 70 du code de procédure pénale, qui concerne les modalités d'effacement des fiches du casier judiciaire. Les cas dans lesquels ces fiches doivent être retirées du CJN sont expressément prévus à l'article 769 du même code, qui a été modifié par la loi du 27 mars 2012 précitée.
D'une part, le projet de décret prévoit la suppression de l'obligation d'effacer les fiches des personnes ayant atteint l'âge de cent ans et dont le décès n'aurait pas été porté à la connaissance du service du casier judiciaire. Cette disposition correspondait en effet à une présomption de décès de la personne concernée. Afin de tenir compte de l'allongement de la durée de vie des citoyens, il est dès lors prévu de supprimer cette hypothèse d'effacement.
Si la Commission prend acte de cette modification, elle appelle l'attention du ministère sur la nécessité de mettre en place un mécanisme de transmission systématique des actes de décès au casier judiciaire national, afin que les fiches ne soient pas conservées après le décès des personnes concernées. L'Institut national de la statistique et des études économiques (INSEE), qui est systématiquement informé de tout décès, via les bulletins statistiques de l'état civil transmis par les communes, pourrait par exemple communiquer au CJN toutes les notifications de décès.
D'autre part, le projet de décret prévoit d'ajouter à l'article R. 70 une possibilité supplémentaire d'effacement des données, dans les cas où, s'agissant d'une condamnation prononcée par une juridiction étrangère et enregistrée dans le CJN, est reçu un avis d'effacement de l'Etat de condamnation ou est ordonnée une décision de retrait par une juridiction française. Cette possibilité est expressément prévue par l'article 769 du code de procédure pénale et n'appelle dès lors pas d'observation particulière de la part de la Commission.
Sur les nouvelles modalités de transmission des informations issues du casier judiciaire aux Etats membres de l'Union européenne :
Le système ECRIS se base sur la communication d'informations entre les autorités centrales officiellement désignées par les Etats membres, toute demande de copie de fiches ou de transmission d'avis de condamnation devant nécessairement être effectuée par ces entités.
C'est pourquoi l'article 4 du projet de décret prévoit tout d'abord que le casier judiciaire national automatisé, et non plus le ministère de la justice, soit l'organisme destinataire des fiches enregistrées dans certains casiers actuellement autonomes de territoires d'outre-mer qui doivent faire l'objet d'une transmission à des autorités étrangères. La modification de l'article R. 73 du code de procédure pénale permettra ainsi de faire du casier judiciaire national automatisé l'autorité centrale unique pour toutes les condamnations prononcées par les juridictions françaises, métropolitaines comme ultramarines.
Il est en outre projeté de modifier ce même article afin de prévoir que toute transmission d'un avis de condamnation concernant un ressortissant d'un Etat membre de l'Union européenne, en application d'une convention internationale, est effectuée « le plus tôt possible » et que toute transmission d'un avis de modification ou de suppression d'une condamnation concernant ces ressortissants doit être effectuée « sans délai ».
Ces dispositions permettront ainsi de se mettre en conformité avec l'article 4 de la décision-cadre 2009/315/JAI du 26 février 2009, qui prévoit expressément de tels délais de transmission entre autorités des Etats membres de l'Union européenne. La plate-forme technique du système ECRIS a d'ailleurs été conçue dans le but d'accroître la rapidité de ces échanges.
Les articles 5 à 8 du projet de décret prévoient enfin de nouvelles modalités de délivrance des bulletins n° 1, n° 2 et n° 3 lorsque la demande émane de l'autorité centrale d'un Etat membre de l'Union européenne.
L'article 5 vise ainsi à modifier l'article R. 78-1 du code de procédure pénale, relatif aux conditions de délivrance du bulletin n° 1 du casier judiciaire, afin de prévoir qu'en cas de demande émanant d'un Etat membre, la réponse doit être adressée au plus tard dans un délai de dix jours à compter de la réception, conformément à l'article 8 de la décision-cadre précitée.
L'article 6 du projet de décret prévoit la même modification concernant l'article R. 81 du même code relatif aux modalités de délivrance du bulletin n° 2 du casier judiciaire. Par ailleurs, ledit article ne permet pas, dans sa version actuelle, de transmettre par voie dématérialisée un bulletin n° 2 positif et l'article 6 du projet de décret prévoit dès lors une exception à cette interdiction, au seul profit des autorités centrales des Etats membres de l'Union européenne. Ces modifications permettront ainsi d'appliquer la décision-cadre 2009/315/JAI du 26 février 2009 susvisée et n'appellent pas d'observation particulière de la part de la Commission.
Enfin, les articles 7 et 8 du projet de décret modifient les articles R. 82 et R. 84 du code de procédure pénale qui concernent les modalités de demande et de délivrance du bulletin n° 3 du casier judiciaire. Les dispositions de l'article 777 dudit code prévoient, depuis la modification introduite par la loi du 27 mars 2012 susvisée, que le bulletin n° 3 ne doit en aucun cas être délivré à un tiers, « sauf s'il s'agit de l'autorité centrale d'un Etat membre de l'Union européenne, saisie par la personne concernée », conformément à l'article 6-2 de la décision-cadre du 26 février 2009 précitée. Il est dès lors prévu de modifier l'article R. 82 du même code afin de préciser que ce bulletin peut être également demandé par téléinformatique par l'autorité centrale d'un Etat membre de l'Union européenne, saisie par la personne concernée, quel que soit son lieu de naissance.
L'article 8 du projet de décret précise quant à lui les délais dans lesquels la réponse doit alors être apportée, soit dans un délai maximal de vingt jours à compter de la réception de la demande.
Sur les mesures de sécurité :
Le système européen ECRIS repose sur une architecture technique qui consiste en une plate-forme centrale d'échange de données par voie électronique, via le réseau sécurisé S-TESTA accessible à l'ensemble des 27 Etats membres de l'Union européenne. La plate-forme centrale, dénommée RI, ainsi que le réseau S-TESTA relèvent de la seule responsabilité de la Commission européenne.
Le ministère de la justice a quant à lui développé un module spécifique (adaptateur) en charge de la conversion des messages entre la plate-forme RI et l'application nationale CJN. A cet égard, la Commission observe que la conversion d'un message issu d'une autorité étrangère et l'inscription dans le CJN des données correspondantes sont automatiques dès l'instant où l'ensemble des informations sont fournies (nom, prénom, date de naissance, ville de naissance, pays de naissance) et qu'aucune traduction n'est nécessaire. A défaut, le message est routé vers un opérateur pour saisie manuelle.
Les interconnexions entre la plate-forme européenne et l'application nationale sont sécurisées au moyen d'un équipement réseau assurant une authentification des équipements des autorités étrangères. L'accès à l'application se fait via le réseau RPVJ, basé sur le réseau IP d'un opérateur national et le réseau SETI+ pour les communications interministérielles.
L'accès à l'application se fait par le protocole sécurisé HTTPS. Une fois le message parvenu au serveur applicatif, la transmission du message entre équipements réseaux n'est pas chiffrée afin de permettre d'analyser les messages et de le router à l'application à laquelle il est destiné.
L'ensemble des équipements, protocoles, logiciels mis en œuvre sont standards et dans des versions ou configurations garantissant une sécurité de fonctionnement. Des profils métiers ont été définis afin de limiter les permissions d'accès strictement nécessaires à la réalisation des tâches des utilisateurs.
Pour chacune des applications, l'authentification des utilisateurs est basée sur un identifiant et un mot de passe. Toutefois, la politique de gestion des mots de passe pour l'accès à la plate-forme RI n'oblige pas l'utilisateur à un renouvellement périodique. La Commission rappelle dès lors la nécessité de mettre en place un système de renouvellement des mots de passe d'accès aux différentes applications. A cet égard, elle relève que l'accès à l'application CJN, avec la version à venir du module LDAP-SSO, prévoit ce renouvellement périodique.
En ce qui concerne la traçabilité des actions, la Commission note que le traitement prévoit uniquement celle des accès à la plate-forme RI.
Enfin, elle relève que le traitement doit faire l'objet de plusieurs analyses de risques, portant sur le CJN et l'adaptateur afin de qualifier leur conformité au Référentiel général de sécurité. Une seconde analyse de risques diligentée par la Commission européenne porte sur la plate-forme RI et le réseau S-TESTA. La Commission souhaite dès lors être informée des résultats de ces analyses.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable du traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.