Après avoir entendu M. Jean-François CARREZ, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
La commission a été saisie par le ministre de l'intérieur d'une demande d'avis portant sur un projet d'arrêté autorisant le directeur général de la police nationale, le directeur général de la gendarmerie nationale et le préfet de police à mettre en œuvre des traitements dénommés « Fichiers des objectifs judiciaires » (FOJ).
Afin d'améliorer la coordination des services de la police nationale, de la gendarmerie nationale et de la préfecture de police, ces fichiers doivent permettre d'identifier les personnes faisant déjà l'objet d'investigations dans le cadre d'une enquête judiciaire. Mis en œuvre pour le compte de l'Etat, ils ont ainsi pour objet la prévention, la recherche, la constatation et la poursuite des infractions pénales. Ils relèvent dès lors des dispositions de l'article 26-1-2° de la loi du 6 janvier 1978 modifiée et doivent être autorisés par un arrêté ministériel pris après avis motivé et publié de la commission.
L'arrêté projeté a en outre vocation à constituer un acte réglementaire unique au sens de l'article 26-IV de cette même loi. L'article 7 du projet d'arrêté prévoit que des engagements de conformité devront être adressés à la commission par le directeur général de la police nationale, le directeur général de la gendarmerie nationale ou le préfet de police, préalablement à la mise en œuvre de ces systèmes. Un dossier technique mentionnant expressément les services et la liste des infractions concernés devra accompagner l'engagement de conformité.
A titre d'illustration, un FOJ a vocation à être mis en œuvre dans les territoires français des Antilles et de la Guyane (dénommé FOJAG). Ce fichier concernera toutes les personnes à l'encontre desquelles il existe une ou plusieurs raisons de soupçonner qu'elles ont commis ou tenté de commettre, un crime ou un délit puni d'au moins cinq ans d'emprisonnement, un délit à caractère économique et financier ou un des délits du code de l'entrée et du séjour des étrangers et du droit d'asile et faisant dès lors l'objet d'une enquête judiciaire sur les territoires précités.
Ce fichier, dont les périmètres infractionnel et géographique peuvent différer d'autres FOJ, fera l'objet d'un engagement conjoint de conformité à l'acte réglementaire unique créé par le présent projet d'arrêté par la direction générale de la police nationale (DGPN) et la direction générale de la gendarmerie (DGGN). La préfecture de police n'étant pas compétente sur les territoires français des Antilles et de Guyane, elle ne sera pas concernée par ce traitement.
Sur les finalités et le fonctionnement des traitements :
L'article 1er du projet d'arrêté prévoit que les fichiers d'objectifs judiciaires ont pour finalité « de coordonner l'action des services concourant à la répression des infractions pénales (crimes et délits) en répertoriant les personnes faisant l'objet d'investigations dans le cadre d'une enquête judiciaire pour ces mêmes infractions ».
Les « objectifs judiciaires » sont les personnes qui, dans le cadre d'une enquête judiciaire, font l'objet d'investigations dès lors qu'il existe à leur encontre une ou plusieurs raisons de soupçonner qu'elles ont commis ou tenté de commettre une infraction. Les fichiers d'objectifs judiciaires doivent ainsi permettre aux différents services exerçant une mission de police judiciaire, impliqués dans la lutte contre la criminalité et la délinquance, d'améliorer leurs actions en facilitant l'échange d'informations entre ces services et leur coordination. Ils sont notamment destinés à éviter que plusieurs services enquêtent, de manière redondante, sur une même personne. Le ministère a également précisé que de tels traitements ont vocation à « sécuriser le travail des enquêteurs en évitant que les personnes inscrites [dans le FOJ] soient interpellées dans le cadre d'enquêtes distinctes diligentées par d'autres services ».
Ainsi, à l'image du Fichier national des objectifs judiciaires en matière de stupéfiants (FNOS), traitement créé par l'arrêté du 11 juillet 2012, pris après avis de la commission, et visant à coordonner l'action des services de police et de gendarmerie nationales en matière de trafic de stupéfiants, les FOJ visent à répertorier les personnes faisant l'objet d'une enquête judiciaire afin de mieux coordonner l'action des services de police judiciaire. Toutefois, à la différence du FNOS, traitement national circonscrit à un type précis d'infraction, le champ infractionnel et le périmètre géographique des FOJ pourront varier.
En effet, ii appartient aux services de la police nationale, de la gendarmerie nationale et de la préfecture de police de décider des périmètres géographiques ou infractionnels pertinents pour leur activité, tous les crimes et délits, à l'exception du trafic de stupéfiants, pouvant être concernés.
A cet égard, la commission relève que la mise en œuvre de différents traitements adaptés aux besoins locaux et opérationnels peut être opportune. Elle rappelle néanmoins que cette possibilité ne doit pas conduire à la création de traitements dont la proportionnalité ne serait pas établie, comme par exemple un fichier au périmètre géographique très étendu et ne concernant que des délits mineurs. La commission se montrera dès lors attentive aux champs d'application des traitements FOJ envisagés dans les dossiers techniques devant accompagner l'engagement de conformité.
En pratique, le fonctionnement des FOJ s'articule autour de la saisie et la validation de fiches relatives aux personnes faisant l'objet d'une enquête judiciaire, ainsi que d'un outil générant automatiquement des alertes en cas de détection d'éléments communs entre une fiche nouvellement créée et les fiches déjà existantes, au sein du même traitement.
Lorsqu'une concordance entre des fiches est identifiée, un message d'alerte est envoyé aux différents enquêteurs ayant créé et validé lesdites fiches. Ce message indique entre autres les coordonnées des services d'enquête concernés par la concordance, afin que ceux-ci puissent se mettre en contact.
La commission prend acte que les FOJ ne permettent pas aux utilisateurs de procéder à une recherche sur une personne identifiée et visent uniquement à générer une alerte lorsque deux fiches, renseignées par des services différents, comportent un certain nombre d'éléments communs.
Elle prend acte que les différents FOJ ne seront pas mis en relation entre eux ni avec aucun autre fichier.
L'article 1er du projet d'arrêté prévoit que les FOJ ont également pour finalité d'exploiter les données traitées à des fins statistiques afin de recenser le nombre d'objectifs entrés, le nombre d'objectifs supprimés, le nombre de correspondances établies.
Au regard de ces éléments, la commission considère que les finalités des traitements FOJ sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978, modifiée.
Sur la nature des données traitées :
L'article 2 du projet d'arrêté prévoit que les données relatives aux « objectifs judiciaires » sont les nom(s), prénom(s), surnom(s), alias, sexe, date et lieu de naissance, adresses postales et électroniques, numéros de téléphone, numéro d'identification du ou des téléphones portables (numéro MEI), marque et immatriculation des moyens de transport, numéro identifiant de l'objectif (identifiant technique généré automatiquement lors de la création d'une fiche relative à une personne faisant l'objet d'une enquête judiciaire).
Une alerte se produit lorsqu'une similitude entre deux fiches (ou plus) est détectée sur l'un ou l'autre des champs suivants : le numéro de téléphone, l'adresse électronique, l'adresse postale complète, le numéro d'immatriculation du véhicule, et le numéro IMEI du téléphone portable. Une alerte peut également se produire si au moins deux des trois informations suivantes sont identiques : nom, prénom, date et lieu de naissance.
Ces données relatives à l'identité, aux coordonnées et au mode de transport des personnes faisant l'objet d'une enquête judiciaire permettent une identification rapide et efficiente de celles-ci. Dès lors, elles sont pertinentes pour mettre en évidence l'existence d'investigations sur un même suspect par des services différents.
Sont en outre enregistrées dans les FOJ des données et informations relatives aux enquêteurs (identité, services, coordonnées), aux magistrats (identité, tribunal de grande instance d'appartenance), à la procédure (numéro de la procédure et nature des infractions) et au cadre juridique de l'enquête (enquête de flagrance, enquête préliminaire, instruction).
Les données relatives aux enquêteurs sont nécessaires pour générer une alerte et permettre la mise en relation avec les services concernés par une concordance entre des fiches. Les informations relatives à la procédure doivent permettre, notamment aux supérieurs hiérarchiques de l'agent créant une fiche, de s'assurer que la création de celle-ci fiche respecte bien la finalité du traitement et le champ infractionnel qui aura été défini par les services utilisateurs.
Au regard de ces éléments, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies par les FOJ, conformément à l'article 6-3° de la loi « Informatique et Libertés ».
Sur la durée de conservation des données :
Le projet d'arrêté prévoit que les données et informations traitées dans les FOJ sont conservées « deux ans à compter de leur enregistrement ».
Plus précisément, la durée de conservation des données enregistrées dans chaque fiche est d'un an à compter de la validation de cette dernière. Si la fiche est modifiée, un nouveau délai d'un an court à compter d'une telle modification, sans toutefois que le délai total de conservation d'une fiche ne puisse excéder deux ans à compter de sa validation initiale.
Ainsi, le délai de conservation de deux ans prévu par le projet d'arrêté est un délai maximal et une fiche peut être conservée moins longtemps si aucune modification n'intervient. La commission estime que le projet d'arrêté pourrait être précisé sur ce point.
Dans ces deux cas (un an en l'absence de modification ou deux ans à compter de la validation de la fiche), il est prévu un système de purge automatique.
En outre, l'article 3 du projet d'arrêté prévoit que, dès lors que l'enquête judiciaire relative à l'un des objectifs faisant l'objet d'une fiche dans le FOJ prend fin, les données et informations le concernant ainsi que celles relatives à la procédure sont supprimées du traitement. La commission prend acte de l'engagement du ministère à ce que ces données et informations soient manuellement supprimées dans les meilleurs délais.
Compte tenu de ces éléments, la commission estime que ces durées de conservation n'excèdent pas celles nécessaires à la finalité poursuivie, conformément à l'article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les accédants aux données et informations :
L'article 4 du projet d'arrêté prévoit qu'ont seuls accès aux traitements les officiers de police judiciaire, individuellement désignés et spécialement habilités, affectés :
- à la direction centrale de la police judiciaire (services centraux, directions interrégionales et régionales de la police judiciaire, services régionaux et antennes de police judiciaire) ;
- à la direction centrale de la sécurité publique (brigades de sûreté urbaine, sûretés urbaines des commissariats, sûretés départementales) ;
- en brigade mobile de recherche de la police aux frontières (brigades mobiles de recherche, unités judiciaires, office central) ;
- à la direction et aux services actifs de la préfecture de police (services d'accueil et d'investigation de proximité de la direction de la sécurité de proximité de l'agglomération parisienne (DSPAP), sûreté régionale des transports de la DSPAP, services de sûretés territoriales, districts de police judiciaire et départementaux de la direction régionale de la police judiciaire de Paris et brigades centrales, sous-direction de lutte contre l'immigration irrégulière et le travail illégal des étrangers relevant de la direction du renseignement de la préfecture de police) ;
- dans les unités de la gendarmerie nationale (offices centraux, sections de recherches, brigades départementales de renseignement et d'investigation judiciaire, brigades de recherches et brigades territoriales).
Ainsi, tous les services de police ou de gendarmerie exerçant une mission de police judiciaire peuvent mettre en œuvre un FOJ. Toutefois, l'ensemble de ces traitements d'« objectifs judiciaires » n'ont pas vocation à être utilisés par chacun de ces services, chaque FOJ étant circonscrit à un périmètre géographique ou infractionnel distinct. Ainsi, seuls les services de la police nationale, de la gendarmerie nationale et de la préfecture de police pour lesquels il existe un besoin effectif de coordonner les actions dans ce cadre géographique et infractionnel donné, accèdent à un FOJ. A cet égard, l'article 7 du projet d'arrêté précise que l'engagement de conformité à l'acte réglementaire unique relatif aux FOJ doit mentionner expressément les différents services concernés par chaque FOJ.
A titre d'illustration, le ministère a indiqué qu'en ce qui concerne les territoires français des Antilles et de la Guyane, la géographie spécifique de ces Territoires d'outre-mer rend nécessaire que tous les services de la police judiciaire, de la sécurité publique, de la police aux frontières et de la gendarmerie nationale, territorialement compétents, puissent utiliser le FOJAG.
Chaque utilisateur dispose d'habilitations individuelles liées à son profil fonctionnel, correspondant à son rôle ainsi qu'à ses missions. Des profils spécifiques sont ainsi créés afin que chaque utilisateur n'ait accès aux données enregistrées dans les FOJ que dans la limite du besoin d'en connaître :
- l'« opérateur de saisie », qui peut créer des fiches et recevoir des alertes ;
- le « valideur » des fiches, qui peut notamment avoir une vision de l'ensemble des fiches soumises à sa validation et recevoir des alertes sur ces fiches ;
- le « gestionnaire » qui gère les habilitations, en attribuant les profils d'« opérateur de saisie » ou de « valideur ». Son niveau hiérarchique élevé au sein du service de police ou de gendarmerie auquel il appartient (police judiciaire, sécurité publique, police aux frontières, gendarmerie nationale, préfecture de police) implique qu'il dispose d'une visibilité renforcée sur l'activité des agents utilisateurs du FOJ.
Selon les services de police et unités de gendarmerie concernés par un FOJ, les fonctions précises de ces trois catégories d'utilisateurs peuvent varier. Toutefois, les « opérateurs de saisie » sont en principe les enquêteurs en charge des investigations sur un objectif, les « valideurs », un des supérieurs hiérarchiques directs de ces enquêteurs et les « gestionnaires » sont des directeurs ou chefs des services concernés.
Ainsi l'accès direct aux FOJ est subordonné à la désignation et à l'habilitation individuelles de l'agent concerné par voie hiérarchique. La commission rappelle néanmoins que, dans la mesure où les traitements FOJ sont mis en œuvre localement, il demeure indispensable de s'assurer que seuls les agents dûment habilités des services de police nationale ou de gendarmerie nationale, au sein desquels un traitement FOJ est mis en œuvre, accèdent effectivement aux données qu'il contient.
Dans ces conditions, la commission estime que l'accès de ces personnels aux données enregistrées dans les FOJ est justifié au regard des finalités des traitements projetés.
Sur l'information et les droits des personnes :
Le projet d'arrêté prévoit en son article 6-I que les personnes concernées ne sont pas informées de la collecte et de l'enregistrement de données à caractère personnel les concernant, conformément à l'article 32-VI de la loi du 6 janvier 1978 modifiée.
En application de l'article 38 de la loi du 6 janvier 1978 modifiée, le même article précise que les personnes concernées ne disposent pas de la possibilité de s'opposer au traitement de leurs données à caractère personnel.
Enfin, les droits d'accès et de rectification s'exercent dans les conditions prévues à l'article 41 de la loi du 6 janvier 1978 modifiée, en application des dispositions de l'article 42 de la même loi, c'est-à-dire par voie indirecte en adressant une demande auprès de la commission.
Compte tenu de la finalité poursuivie par les FOJ, la commission considère que ces dispositions n'appellent pas d'observation particulière.
Sur la sécurité des données et la traçabilité des actions :
Le ministère a indiqué que l'architecture technique du système d'alerte des FOJ a été conçue sur le même modèle que celui mis en œuvre pour le FNOS. Ce dispositif, centralisé, est identique pour tous les traitements FOJ. Chaque direction centrale des services et unités de la police nationale, de la gendarmerie nationale et de la préfecture de police concernés par ces traitements est responsable d'un « module » au sein duquel sont enregistrées les fiches des services dont elle a la charge.
En ce qui concerne par exemple le FOJAG, le dispositif se composera de quatre modules :
- celui de la direction centrale de la police judiciaire (DCPJ) ;
- celui de la direction centrale de la sécurité publique (DCSP) celui de la direction centrale de la police aux frontières (DCPAF) ;
- celui de la direction centrale de la direction générale de la gendarmerie nationale (DGGN).
Concernant l'accès aux traitements, celui-ci s'effectue grâce à CHEOPS NG (portail permettant l'accès à des fichiers de police) et PROXIMA (portail permettant l'accès à des fichiers de gendarmerie). Il requiert ainsi une authentification au moyen d'un login et d'un mot de passe.
S'agissant en particulier de l'accès au portail CHEOPS-NG, la commission rappelle qu'il revient au ministère de s'assurer que l'accès aux données via ce portail fait l'objet de mesures de sécurité suffisamment robustes. En particulier, les fonctionnaires de la police nationale doivent se connecter en priorité à ce portail avec leur carte agent et la saisie d'un code PIN de quatre caractères et, à défaut, avec un mot de passe suffisamment robuste, conforme aux recommandations de la commission en la matière.
En outre, l'article 5 du projet d'arrêté dispose que les opérations de création, validation, modification et suppression font l'objet d'un enregistrement. Celui-ci contient, outre la nature de l'opération réalisée, l'identification de l'utilisateur, la date et l'heure. Les informations relatives à la journalisation des opérations de création, validation sont conservées trois ans.
Dans ces conditions, la commission estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin.