Après avoir entendu Mme Christine MAUGÜE, commissaire en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret soumis pour avis à la commission a pour objet d'appliquer les dispositions relatives au bracelet anti-rapprochement (« BAR ») résultant de la loi n° 2019-1480 du 28 décembre 2019 visant à agir contre les violences au sein de la famille.
La commission relève qu'elle a déjà eu à se prononcer sur un dispositif proche dans sa délibération n° 2012-029 du 2 février 2012 relative au dispositif électronique anti-rapprochement (« DEPAR ») qui avait été créé, à titre expérimental, par la loi n° 2010-769 du 9 juillet 2010 relative aux violences faites spécifiquement aux femmes, aux violences au sein du couple et aux incidences de ces dernières sur les enfants.
Il est prévu par la loi n° 2019-1480 précitée que les conditions et les modalités de mise en œuvre du dispositif électronique mobile anti-rapprochement soient précisées par décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés. La commission observe, par ailleurs, que ladite loi élargit également les conditions d'octroi d'un « téléphone grave danger » (TGD) et que les deux dispositifs ont ainsi vocation à coexister.
Le traitement projeté, mis en œuvre par la direction de l'administration pénitentiaire (DAP), a pour finalité d'assurer le contrôle à distance des personnes placées sous dispositif mobile anti-rapprochement en exécution d'une décision prise en application des articles 138 et 138-3 du code de procédure pénale (CPP), des articles 132-45 et 132-45-1 du code pénal ou des articles 515-11 et 515-11-1 du code civil.
Le BAR peut ainsi être prononcé à titre d'obligation particulière :
- dans le cadre pénal, à titre pré-sentenciel, dans le cadre du contrôle judiciaire et, à titre post-sentenciel, dans le cadre du sursis probatoire et des aménagements de peine ;
- dans le cadre civil, le juge aux affaires familiales pouvant ordonner le BAR à l'encontre du défendeur dans le cadre de l'ordonnance civile de protection, après recueil par le juge du consentement préalable des deux parties et si l'interdiction de rencontrer la personne protégée est prononcée.
Sur les conditions générales de mise en œuvre du dispositif
En premier lieu, la commission relève que le BAR doit permettre de déterminer en temps réel la position du porteur du bracelet par rapport à celle de la personne protégée, à l'aide de dispositifs de géolocalisation remis à chaque partie. Lorsque le porteur du bracelet s'approchera à une distance déterminée de la personne protégée, le système générera un signal à destination du téléopérateur, qui pourra alors déclencher une injonction au porteur du bracelet de s'éloigner de la personne protégée voire, en cas de refus, une demande d'intervention des forces de l'ordre et, si nécessaire, une prise de contact avec la personne protégée afin d'assurer sa mise en sécurité.
Le projet de décret crée les articles R. 18-2-5 du CPP et 1136-17 du code de procédure civile (CPC) qui prévoient que : « La zone d'alerte ne peut être inférieure à un kilomètre, ni supérieure à dix kilomètres. La détermination de cette zone ne peut aller en deçà d'un niveau de précision de l'ordre du kilomètre. La zone de pré-alerte correspond au double de la zone d'alerte ».
La commission relève, par conséquent, que la décision en matière pénale et en matière civile prévoyant le BAR ne pourra pas déterminer une distance en deçà de laquelle il est fait interdiction à la personne porteuse du bracelet de s'approcher de la personne protégée, correspondant à la zone d'alerte, inférieure au kilomètre au regard de la précision des outils de géolocalisation et de rapidité d'intervention des forces de l'ordre. Dans l'hypothèse où la personne à protéger et celle qui porterait le bracelet résideraient à moins d'un kilomètre, elle observe que l'article 132-45-2° du code pénal permet à la juridiction de condamnation ou le juge de l'application des peines d'imposer au condamné d'établir sa résidence en un lieu déterminé qui pourrait ainsi être différent de celui initialement envisagé.
En deuxième lieu, la commission relève que des garanties sont prévues dans le projet de décret afin de contrôler la mise en œuvre effective du dispositif BAR et notamment sa conformité en matière de protection des données à caractère personnel.
D'une part, le nouvel article R. 61-43 du CPP prévoit que le traitement est placé sous le contrôle du magistrat mentionné à l'article R. 61-12 du CPP et dans les conditions prévues à l'article R. 61-13. La commission prend acte qu'il s'agira du même magistrat en charge du contrôle du traitement automatisé de données relatives au contrôle des personnes faisant l'objet d'un placement sous surveillance électronique mobile (PSEM) et du traitement automatisé relatif au contrôle des personnes placées sous surveillance électronique (PSE). Elle relève que ce magistrat pourra procéder à toute vérification sur place et obtenir de l'autorité qui est responsable du traitement projeté tout renseignement relatif au fonctionnement de celui-ci, sans préjudice de ses possibilités d'accès aux informations enregistrées.
La commission relève que ce magistrat adressera un rapport annuel au garde des sceaux portant sur le fonctionnement du traitement. Elle prend acte de l'engagement du ministère de lui adresser également ce rapport et recommande que celui-ci inclue une réflexion sur les évènements advenus pendant l'année afin d'évaluer la pertinence d'une mise à jour de l'analyse d'impact relative à la protection des données (AIPD) ou de ses mesures. Le cas pourrait se produire, par exemple, si des événements graves non couverts dans l'AIPD ont eu lieu ou si les mesures de sécurité n'ont manifestement pas été suffisantes.
D'autre part, le nouvel article R. 61-52 du CPP indique que « les personnes privées habilitées chargées du contrôle à distance du dispositif mobile anti-rapprochement sont placées sous la supervision d'un agent de l'administration pénitentiaire ». A cet égard, la commission relève que cette supervision réalisée par l'administration pénitentiaire permettra notamment de contrôler la conformité des données à caractère personnel collectées avec les finalités du traitement ainsi que le respect des exigences en matière de durées de conservation des données et d'archivage. A cet égard, la commission appelle l'attention du ministère sur l'importance de mettre en œuvre des garanties afin que seules les données à caractère personnel nécessaires au regard des finalités du traitement soient collectées et la nécessité de gérer avec la plus grande vigilance les habilitations des personnels concernés, afin de limiter au strict nécessaire les personnes qui pourront avoir directement accès aux données.
En troisième lieu, la commission observe que l'article 1136-19 du CPC créé par le décret prévoit que, « en cas de difficultés dans l'exécution de la mesure de port du dispositif électronique mobile anti-rapprochement visée à l'article 515-11-1 du code civil, le juge aux affaires familiales est saisi dans les conditions de l'article 515-12 du code civil, afin que soit modifiées (sic) tout ou partie des mesures énoncées dans l'ordonnance de protection ». Elle prend acte que de telles difficultés peuvent être, par exemple, liées à l'apparition d'inconvénients pour la santé de la personne concernée.
Elle relève que, pour le cadre pénal du dispositif, les articles 139 et 140 du CPP ainsi que les articles 712-8, 723-11, 732, 739, 763-3, 723-34 du CPP prévoient notamment la possibilité, pour le juge et la juridiction de l'application des peines chargée du suivi de la mesure, de modifier les mesures auxquelles la personne placée sous contrôle judiciaire ou condamnée est soumise. L'absence de précision, dans la partie du décret modifiant le CPP, analogue à celle figurant dans la partie modifiant le CPC, est donc sans incidence sur l'existence de la faculté dont dispose également le juge dans le cadre pénal du dispositif.
En quatrième lieu, la commission relève, s'agissant du cadre civil du dispositif, qu'il est prévu à l'article 515-11-1 du code civil que le juge pourra ordonner le port du BAR après avoir recueilli le consentement des deux parties. Elle prend acte de ce que ce consentement des deux parties porte sur la mesure en elle-même mais ne constitue pas la base légale du traitement de leurs données.
Elle prend également acte que si la personne protégée ne souhaite plus bénéficier de la mesure de protection ou si le porteur du bracelet revient sur son consentement, ils pourront et ce, à n'importe quel moment, saisir le juge aux affaires familiales sur le fondement de l'article 515-12 du code civil afin d'obtenir la modification de l'ordonnance de protection qui a été prononcée.
En cinquième lieu, la commission relève qu'il n'est pas exclu que des données relatives à des personnes mineures soient enregistrées dans le traitement BAR, notamment au regard des articles 515-11 et 515-11-1 du code civil. Elle estime que des mesures particulières devraient être mises en œuvre par le ministère afin de s'assurer que le traitement de données relatives à des personnes mineures, qui peuvent être des données sensibles, fait l'objet de garanties appropriées pour les droits et libertés de ces dernières, conformément aux dispositions de l'article 88 de la loi du 6 janvier 1978 modifiée.
Sur le régime juridique applicable et les finalités du traitement
Le traitement a pour finalité d'assurer le contrôle des personnes placées sous dispositif mobile anti-rapprochement et permet de garantir l'effectivité de l'interdiction faite à la personne porteuse d'un bracelet anti-rapprochement de rencontrer une personne protégée, victime d'une infraction commise au sein du couple.
Le traitement projeté permet ainsi :
- d'alerter les personnels habilités chargés du contrôle à distance du dispositif électronique mobile anti-rapprochement de ce que la personne porteuse du bracelet s'approche de la personne protégée à moins d'une certaine distance fixée par la décision de justice ainsi qu'en cas d'altération du fonctionnement du dispositif technique ;
- de localiser la personne protégée et la personne porteuse du bracelet, afin de prendre, lorsqu'une alerte est émise, les mesures de protection appropriées.
Le traitement poursuit également une finalité statistique. La commission relève que ces statistiques seront réalisées par le bureau de la donnée de la direction de l'administration pénitentiaire (DAP) afin notamment de produire des statistiques visant à la définition de politiques publiques internes à la DAP ou au ministère de la justice, à servir pour des publications telles que des analyses socioéconomiques ou des travaux de recherche internes à la DAP.
La commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
S'agissant du régime juridique applicable au traitement BAR, la commission prend acte des éléments transmis par le ministère selon lesquels le traitement projeté relève des dispositions de la directive « Police-justice » et que « dans le cadre civil, la finalité du traitement ne diffère pas de celle du cadre pénal » puisqu'il est aussi recherché la prévention des infractions pénales relatives aux violences conjugales.
La commission estime que la détermination du régime juridique applicable au traitement BAR est rendue complexe par le fait qu'il présente la particularité de pouvoir être prononcé à titre d'obligation en matière pénale mais aussi en matière civile dès lors que les deux parties y consentent. S'agissant plus particulièrement de la question du régime juridique applicable au cadre civil du traitement projeté, elle relève qu'il pourrait être considéré que celui-ci est soumis au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (le « RGPD ») dans la mesure où l'ordonnance de protection ne s'inscrit pas directement dans une finalité de prévention des infractions pénales, puisqu'elle vise à protéger la victime et qu'elle peut d'ailleurs être prononcée par le juge aux affaires familiales en l'absence de toute poursuite pénale. La commission relève toutefois que le dispositif projeté est encadré par des dispositions de nature pénale, les articles R. 61-43 à R. 61-50 du CPP, et qu'il présente une finalité commune, qu'il soit prononcé dans un cadre pénal ou civil, à savoir prévenir la commission d'infractions liées à des violences au sein de la famille.
Dans la mesure où le traitement BAR est mis en œuvre aux fins d'assurer le contrôle à distance des personnes placées sous dispositif électronique mobile anti-rapprochement et de prévenir la commission d'infractions, la commission considère qu'il relève du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 susvisée (ci-après « la directive ») et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
Sur les données collectées
L'article 6 du projet de décret liste les données à caractère personnel qui peuvent être collectées selon les catégories de personnes concernées :
- la personne porteuse du bracelet anti-rapprochement ;
- la personne protégée ;
- les personnels habilités des services centraux et déconcentrés de l'administration pénitentiaire ;
- les personnels habilités chargés du contrôle à distance du dispositif électronique mobile anti-rapprochement ;
- l'autorité judiciaire en charge du suivi de la décision ordonnant un dispositif mobile anti-rapprochement ;
- les personnes, autres que le porteur du bracelet et la personne protégée, mentionnées dans la décision ordonnant un dispositif électronique mobile anti-rapprochement et toute décision modificative.
A titre liminaire, la commission relève que les données enregistrées dans le traitement sont susceptibles de faire apparaître des données « sensibles » au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée mais qu'il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données. Elle rappelle que, conformément à l'article 88 de ladite loi, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ». Elle relève la garantie apportée s'agissant de la photographie de la personne porteuse du bracelet, puisque le projet de décret précise que celle-ci ne permet pas une utilisation à des fins de contrôles biométriques.
En premier lieu, la commission relève qu'il ressort des éléments transmis par le ministère dans le cadre de l'analyse d'impact relative à la protection des données (AIPD) que, au titre des autres personnes mentionnées dans la décision ordonnant le dispositif électronique anti-rapprochement, pourront être collectées des « données sur le cercle proche des personnes protégées », à savoir des données d'identité et des données relatives aux coordonnées de contact. Elle prend acte que ces données permettront de contacter la personne protégée si elle ne répond pas aux appels du centre de téléassistance et pourraient aussi être nécessaires en cas d'intervention des forces de l'ordre.
Elle observe que pourront aussi être collectées des données relatives à toute personne mentionnée dans les décisions de justice (des données relatives à l'identité et à la fonction ainsi que, le cas échéant, toute autre information mentionnée dans la décision de justice dans le cadre pénal) afin de permettre l'enregistrement de la mesure dans le traitement BAR par le pôle de téléassistance/télésurveillance.
Au regard de ces précisions, la commission considère que le projet de décret pourrait être complété afin de préciser davantage les personnes concernées au titre de cette catégorie décrite de manière très générale.
En deuxième lieu, s'agissant de la personne porteuse du bracelet et de la personne protégée, la commission relève que des données relatives à l'identité pourront être collectées et notamment des « informations complémentaires » qui seront saisies dans des zones de texte libre.
La commission relève dans le projet de décret que ces données correspondent à « toutes autres caractéristiques physiques nécessaires à la pose du bracelet et le cas échéant à l'interpellation par les forces de police et de gendarmerie ». La commission prend acte des précisions apportées par le ministère selon lesquelles il pourra s'agir par exemple de la couleur des cheveux ou encore de celle des yeux. Elle prend également acte des précisions apportées par le ministère selon lesquelles des données sensibles au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée pourront être collectées dans ces zones de texte libre si elles permettent d'identifier la personne concernée, notamment par exemple si celle-ci est atteinte de cécité, et que le ministère s'engage à insérer une mention d'information rappelant le caractère exceptionnel et strictement nécessaire de la collecte de telles données.
En troisième lieu, le projet d'article R. 61-44 du CPP indique que pourront être enregistrées, tant dans le cadre pénal que civil du dispositif, des données biométriques, à savoir des données relatives au gabarit de la voix pour l'authentification biométrique vocale prévue à l'article R. 18-2-1 s'agissant de la personne porteuse du bracelet anti-rapprochement et, le cas échéant, de la personne protégée. Elle prend acte que la collecte de telles données a pour objectif de vérifier que la personne qui répond au terminal lors d'un appel de la téléassistance ou bien de la télésurveillance est bien la personne concernée.
La commission relève que la mise en place d'un tel traitement biométrique permet aux agents du pôle de télésurveillance d'authentifier la personne concernée. Elle relève que la collecte de cette catégorie de données sera soumise au recueil du consentement de la personne protégée et que celle-ci est informée de ce choix facultatif au moment de la remise du matériel. Elle prend également acte que la personne protégée qui avait donné son consentement à l'enregistrement de son gabarit vocal dans le traitement BAR peut revenir sur son consentement à tout moment sans que des conséquences soient attachées à ce refus et que son gabarit vocal sera alors supprimé des données collectées dans le traitement. Le traitement BAR relevant de la directive « Police-Justice », elle observe que ce consentement ne constitue pas une exception permettant de collecter des données dites « sensibles » au sens de l'article 9-2 du RGPD.
En quatrième lieu, il est par ailleurs indiqué dans l'AIPD que, s'agissant des données judiciaires relatives au porteur du bracelet et à la personne protégée qui seront traitées, il convient de distinguer selon que la mesure a été décidée dans un cadre civil ou dans un cadre pénal : dans le cadre civil, seul un extrait de la décision comprenant le dispositif est enregistré alors que dans le cadre pénal l'ensemble de la décision est enregistré. La commission prend acte que cette distinction se justifie par le fait que, en matière pénale, les personnes privées habilitées sont des personnes qui concourent à la procédure pénale au sens de l'article 11 du CPP et qu'elles sont donc soumises au secret de l'instruction alors que tel n'est pas le cas en matière civile. Ces données seront par ailleurs nécessaires à la création de la mesure dans le traitement par le pôle de téléassistance/télésurveillance.
En cinquième lieu, la commission relève que l'adresse de messagerie électronique de la personne porteuse du bracelet et de la personne protégée pourront être collectées. Elle prend acte que l'adresse de messagerie électronique a vocation à être utilisée en tant que moyen de communication supplémentaire afin de pallier d'éventuelles difficultés de communication.
Les autres catégories de données à caractère personnel collectées n'appellent pas d'observation supplémentaire de la part de la commission.
Sous réserve de ce qui précède, la commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les accédants et les destinataires
Le projet de décret introduit les nouveaux articles R. 61-45 et R. 61-46 du CPP qui détaillent la liste des accédants et des destinataires du traitement BAR.
En premier lieu, le projet d'article R. 61-45 du CPP prévoit que peuvent notamment accéder à tout ou partie des données à caractère personnel les personnels habilités des services centraux et déconcentrés de l'administration pénitentiaire ainsi que les personnels habilités chargés du contrôle à distance du dispositif électronique mobile anti-rapprochement.
La commission prend acte que les personnels habilités chargés du contrôle à distance du dispositif électronique mobile anti-rapprochement pourront accéder à la totalité de la décision de justice en matière pénale afin de créer les fiches d'identité des porteurs du bracelet et des personnes protégées. Si elle prend acte de l'engagement du ministère de ne plus permettre l'accès de ces personnels à la décision de justice prononçant le BAR en matière pénale une fois que la saisie des informations utiles aura été effectuée dans le logiciel SAPHIR, elle estime que, le ministère n'ayant pas justifié de la nécessité pour ces personnels d'accéder à l'ensemble de la décision de justice en matière pénale, seules les informations dont ils ont besoin devraient leur être communiquées, dans la mesure où la décision de justice peut comporter des données à caractère personnel relatives notamment à d'autres personnes tierces telles que, par exemple, les témoins, qui n'apparaissent pas nécessaires au regard des finalités du traitement BAR.
Elle prend également acte que seuls les agents du bureau de la donnée de la DAP habilités pourront avoir accès aux données pseudonymisées qui ont été collectées dans le cadre de la finalité statistique du traitement BAR.
En second lieu, le projet d'article R. 61-46 du CPP indique trois catégories de destinataires de tout ou partie des données du traitement BAR : les magistrats et fonctionnaires habilités des tribunaux judiciaires par les chefs de juridiction, les magistrats et fonctionnaires habilités de la direction des affaires criminelles et des grâces (DACG), les officiers ou agents de police judiciaire habilités intervenant pour assurer la protection de la personne protégée ou appréhender la personne porteuse du BAR.
Si la commission prend acte que les magistrats et fonctionnaires habilités de la DACG sont rendus destinataires des données en application de l'article 35 du CPP qui prévoit que le parquet général établit des rapports dans les affaires particulières d'initiative ou sur demande du ministre de la justice qui seront ensuite adressés aux magistrats de la DACG de permanence, elle s'interroge toutefois sur la nécessité de les rendre directement destinataires, par défaut, de l'ensemble des données et informations contenues dans le traitement BAR. A cet égard, elle considère que si les magistrats et fonctionnaires habilités de la DACG n'ont vocation à être destinataires que de données anonymisées produites à partir des données enregistrées dans le traitement BAR, le projet de décret devrait être modifié afin de ne pas les rendre directement destinataires des données à caractère personnel enregistrées dans le traitement.
En outre, la commission prend acte que la notion de « fonctionnaires habilités des tribunaux judiciaires » comprend l'ensemble des fonctionnaires concourant au fonctionnement d'un service juridictionnel et inclut donc les personnels des greffes des services judiciaires ainsi que les adjoints administratifs ayant à assurer les diligences relatives à une décision de placement sous BAR, dès lors qu'ils auront été habilités.
Sous réserve de ce qui précède, la commission considère que la consultation des données par les personnes mentionnées dans les nouveaux articles R. 61-45 et R. 61-46 du CPP apparaît justifiée et proportionnée.
Sur les durées de conservation des données
Le nouvel article R. 61-47 du CPP liste les durées de conservation des données à caractère personnel et informations contenues dans le traitement BAR.
En premier lieu, de manière générale, la commission observe que les durées de conservation des données qui sont énoncées au nouvel article R. 61-47 du CPP varient d'un délai de conservation d'un mois jusqu'à six ans suivant la date de fin du placement sous dispositif électronique anti-rapprochement en fonction des catégories de données concernées et s'interroge sur les raisons justifiant une telle différence dans la fixation de ces durées. A cet égard, elle prend acte que l'ensemble des données à caractère personnel collectées sera conservé en base active jusqu'à un mois suivant la date de fin du placement sous dispositif électronique mobile anti-rapprochement et que, sauf exception, ces données seront ensuite versées en base d'archives intermédiaire pour une durée de cinq ans et onze mois. Elle considère que le projet de décret, qui ne mentionne pas expressément la conservation de certaines données en base d'archives intermédiaire devrait être complété sur ce point afin de clarifier expressément, pour toutes les durées de conservation mentionnées, si le délai de conservation est prévu en base active ou si les données peuvent être conservées ultérieurement en archivage intermédiaire.
En deuxième lieu, la commission relève que l'enregistrement des conversations téléphoniques sera conservé pendant un délai de trois mois suivant la fin du placement sous dispositif anti-rapprochement. Elle prend acte que dans l'hypothèse où une action en réparation serait exercée à l'encontre du responsable de traitement avant le terme de ce délai, alors celui-ci serait suspendu et les données seraient conservées jusqu'au terme de la procédure ou de la prescription des recours à l'encontre de la décision. Elle invite le ministère à préciser le projet de décret sur ce point à des fins de clarté.
En troisième lieu, la commission relève que les données à caractère personnel et informations non visées aux 1°, 2°, 3° et 4° de cette disposition sont conservées pendant un délai de six ans suivant la date de fin du placement sous dispositif électronique mobile, en raison de l'intérêt qu'elles peuvent présenter en cas de contentieux. Elle s'interroge sur la durée de conservation plus longue de ces données en comparaison avec les autres données mentionnées au nouvel article R. 61-47 du CPP et rappelle que le projet de décret devrait être clarifié sur ce point. Elle prend acte que la durée de conservation de ces données a été déterminée en fonction du délai de prescription de l'action publique des délits, qui est de six ans. En effet, des contentieux portant sur des délits pourraient nécessiter un accès aux données enregistrées dans le traitement BAR comme, par exemple, une violation des mesures ordonnées par une ordonnance de protection.
Les autres dispositions n'appellent pas d'observations particulières de la part de la commission.
Sous réserve de ce qui précède, la commission considère que la durée de conservation des données apparaît proportionnée au regard des finalités assignées au traitement.
En quatrième lieu, en ce qui concerne la durée de conservation des données de journalisation, la commission rappelle que le traitement de ces données a principalement pour finalité la détection et la prévention d'opérations illégitimes sur les données principales. Si la mise en place de ces journaux et leur conservation constituent des garanties pour les personnes concernées par le traitement, les données qu'ils comprennent, qui peuvent parfois comporter ou révéler certaines données personnelles du traitement principal, peuvent présenter une certaine sensibilité. La durée de stockage de ces traces doit donc être fixée de façon à ce que l'atteinte à la vie privée qu'elle représente soit elle-même proportionnée à l'objectif de sécurisation du traitement.
La commission estime que, dans la généralité des cas, une durée de conservation des journaux de six mois est suffisante pour exploiter ces informations, dès lors que des mécanismes d'analyse proactive automatique ou semi-automatique des traces, ainsi que certaines mesures organisationnelles, permettent de repérer la plupart des comportements illicites. Il n'en va autrement que dans certains cas particuliers, tenant notamment à l'existence d'obligations légales de conservation de certaines traces ou lorsqu'un risque particulièrement important pour les personnes dont les données sont traitées justifie qu'il demeure possible, pendant une longue durée, d'accéder à l'historique des utilisations du traitement. Elle estime en revanche que la simple possibilité que les données puissent un jour être exploitées de façon réactive dans le cadre d'une enquête pénale n'autorise pas, de ce seul fait, à conserver de façon préventive l'ensemble de ces traces pendant une durée équivalente au délai de prescription des infractions en cause. Elle rappelle d'ailleurs que les données pertinentes des journaux peuvent être ponctuellement conservées pour une durée plus longue dans le cadre d'enquêtes sur des utilisations illicites du traitement.
En l'espèce, la commission estime que le ministère, qui s'appuie sur la durée de prescription des infractions pénales en cause, n'a pas justifié la durée de six ans de conservation des journaux qu'il propose. Sauf à ce que de tels éléments soient apportés, la commission considère cette durée de six ans comme étant disproportionnée et l'invite à réduire cette durée à celle qui est nécessaire aux objectifs poursuivis par ces journaux. A cet égard, elle souligne qu'une analyse des traces systèmes et des traces applicatives est prévue et rappelle que la mise en œuvre d'un mécanisme proactif de contrôle automatique des traces contribue à la détection des comportements anormaux par la génération automatique d'alertes. Par ailleurs, la collecte et l'exploitation des traces applicatives et des traces système étant des mesures qui visent à traiter des risques différents, la commission recommande au ministère de déterminer et de justifier la durée de conservation de ces deux types de traces de façon indépendante. Enfin, elle souligne que ces données ne doivent en aucun cas permettre d'obtenir des informations sur des données dont la durée de conservation est échue.
Sur les droits des personnes concernées
Les nouveaux articles R. 61-49 et R. 61-50 du CPP précisent les modalités d'exercice des droits des personnes concernées. Le nouvel article R. 61-49 du CPP indique ainsi que « les droits d'information, d'accès, de rectification, d'effacement et à la limitation des données s'exercent directement auprès de la direction de l'administration pénitentiaire ».
En premier lieu, s'agissant de l'information des personnes concernées, la commission considère que la rédaction du projet de décret relative au droit à l'information est ambigüe et mériterait d'être précisée dans la mesure où, conformément à l'article 104-I de la loi du 6 janvier 1978 modifiée, il incombe au responsable de traitement de mettre à la disposition de la personne concernée les informations listées et non à la personne de demander communication de ces informations.
En outre, la commission relève que les modalités de cette information seront variables en fonction des catégories de personnes concernées :
- le porteur du BAR sera informé au moment de la pose du dispositif par un surveillant PSE, par la remise d'une notice d'information ;
- la personne protégée sera informée au moment de la remise du dispositif par la juridiction, par la remise d'une notice d'information ;
- les personnes à contacter en cas d'urgence seront informés par l'envoi d'un courrier électronique par les acteurs remettant le dispositif et créant la fiche de la personne protégée ;
- les personnes mentionnées dans les décisions de justice prononcées dans le cadre pénal seront informées par la mise à disposition d'une documentation à ce sujet dans les tribunaux ;
- une communication spécifique sera réalisée par le ministère pour ses personnels utilisateurs du système d'information ainsi que pour les magistrats et les greffiers.
La commission prend acte que dans l'éventualité où la personne à contacter d'urgence ne disposerait pas d'adresse de messagerie électronique ou alors si cette adresse se révèle être erronée, la personne pourra être informée par courrier postal, le projet de décret prévoyant que l'adresse de résidence de ces personnes puisse être collectée au titre des coordonnées de contact. Elle prend aussi acte que le ministère procédera à une information générale relative au BAR sur son site web.
Sans remettre en cause les modalités d'exercice des droits des personnes telles que prévues par le ministère, la commission rappelle qu'il revient au ministère de prévoir des mesures particulières en ce qui concerne les personnes mineures et ce, afin de leur délivrer une information selon des modalités adaptées.
En deuxième lieu, le nouvel article R. 61-49 précité prévoit que le droit d'accès peut faire l'objet de restrictions afin d'éviter de nuire à la prévention ou à la détection des infractions pénales, aux enquêtes ou aux poursuites en la matière ou à l'exécution de sanctions pénales et de protéger les droits d'autrui, en application du 2° de l'article 107 de la loi du 6 janvier 1978 modifiée, le projet de décret comportant une imprécision formelle sur ce point en renvoyant à l'article 107-II-2° de la même loi. Elle relève que le ministère entend également faire application de l'article 107-I-5° de ladite loi et considère que le projet de décret devrait être modifié afin de le préciser expressément. Elle prend acte de l'engagement du ministère de compléter le projet de décret sur ce point.
S'agissant du droit à la rectification, la commission prend acte que certaines données ne pourront pas faire l'objet d'une rectification (à savoir, les données techniques, les coordonnées GPS de la position de l'unité mobile, la décision de justice prononçant la mesure et les enregistrements des conversations téléphoniques entre le porteur du bracelet et le pôle de télésurveillance et entre la personne protégée et le pôle de téléassistance) mais qu'il ne sera pas fait application des dérogations prévues par l'article 107-II de la loi du 6 janvier 1978 modifiée. Elle considère que si les droits à l'effacement et de rectification seront effectivement limités pour certaines catégories de données à caractère personnel, le projet de décret devrait être modifié afin de le prévoir expressément.
La commission prend acte que le ministère entend faire application de l'article 108 de la loi du 6 janvier 1978 modifiée pour le seul droit d'accès et considère que le projet de décret devrait être modifié afin de le préciser plus clairement.
En troisième lieu, le nouvel article R. 61-50 du CPP prévoit que le droit d'opposition ne s'applique pas, à l'exception des personnes à contacter en cas d'urgence mentionnées au 3° du II de l'article R. 61-44, ce qui n'appelle pas d'observation.
Sur les mesures de sécurité
Le traitement a fait l'objet d'une étude des risques sur la vie privée des personnes concernées dans le cadre d'une AIPD et des mesures ont été déterminées pour les traiter.
Un des risques les plus graves du dispositif est qu'il puisse être détourné par la personne porteuse de bracelet pour déduire le positionnement de la victime et attenter, ou faire attenter, à sa sûreté. La commission prend note que ce risque a été dûment identifié par le ministère et de nombreuses mesures mises en œuvre ou prévues pour contenir ce risque, notamment en ce qui concerne la détection d'alertes ou pré-alertes répétées.
La commission attire l'attention du ministère sur le fait que les victimes puissent, dans certains cas, détourner le système et créer des risques pour les personnes porteuses du bracelet. En particulier, le dispositif étant basé uniquement sur la distance entre la personne portant le bracelet et la personne protégée, sans possibilité d'indiquer une zone délimitée comme autorisée, il existe un risque que des personnes protégées se vengent de la personne porteuse de bracelet en les empêchant, par exemple, de rentrer chez elle ou d'aller travailler, en se rendant physiquement à proximité de ces zones. Bien que ce risque semble en grande partie traité indirectement par les mesures prévues, la commission recommande de le rendre explicite lors de la prochaine mise à jour de l'AIPD.
La commission prend note qu'un plan d'action est prévu et que des actions correctrices sont programmées jusqu'à fin 2021. La commission relève que l'évaluation de certaines mesures et leur planification dépendent du choix des prestataires. Elle recommande donc au ministère de mettre à jour son plan d'action avec des termes datés dès que les sous-traitants seront définitivement déterminés. Dans tous les cas, elle rappelle que le dispositif ne pourra être mis en œuvre que lorsque suffisamment de mesures du plan d'action seront mises en œuvre afin de réduire les risques résiduels à un niveau considéré comme acceptable, dans l'attente d'une mise en œuvre de toutes les mesures prévues. Une telle homologation temporaire ne dispense pas de la mise en œuvre du plan d'action et ne saurait dépasser un an.
Par ailleurs, il est nécessaire que le ministère vérifie régulièrement le bon avancement et le bon déroulement du plan d'action ainsi que la bonne mise en œuvre de ses mesures. Les conclusions de ces audits réguliers participent de son obligation de réévaluation régulière des risques.
La commission prend acte de la volonté du ministère d'étudier la possibilité de chiffrer, à terme, l'ensemble des données en transport et au repos. Dans l'intervalle, elle note que certaines données produites par les systèmes ne sont pas chiffrées. La commission souligne l'importance d'assurer le plus haut niveau de confidentialité concernant les alarmes et positions des personnes concernées.
La commission prend acte que les connexions au dispositif s'effectueront au moyen de mécanismes d'authentification forte, et que la seule exception est limitée à un cas particulier (perte du moyen d'authentification forte) et bornée dans le temps (cinq jours maximum).
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement semblent conformes à l'exigence de sécurité prévue par l'article 99 de la loi du 6 janvier 1978 modifiée.
La commission rappelle toutefois que cette obligation nécessite la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.