Après avoir entendu Mme Christine MAUGÜÉ, commissaire en son rapport, et M. Benjamin TOUZANNE, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Le projet de décret soumis pour avis à la Commission doit permettre au parquet général de Paris et au parquet national antiterroriste (PNAT) de recenser l'ensemble des procédures judiciaires suivies sous une qualification terroriste ainsi que l'ensemble des personnes mises en cause dans ces affaires. Il vise ainsi à mettre à la disposition du ministère de la justice une base de données exhaustive relative à ces procédures et à permettre de procéder à certains recoupements utiles à l'exercice et à la conduite de l'action publique ainsi qu'à extraire des données statistiques fiables.
La Commission relève qu'un tel projet est justifié par le développement du contentieux pris en charge par le pôle juridictionnel spécialisé dans la lutte contre le terrorisme et institué à Paris (procureur de la République national antiterroriste, pôle de l'instruction, tribunal correctionnel de Paris, cour d'assises de Paris) disposant, en application de l'article 706-17 du code de procédure pénale (CPP), d'une compétence concurrente à celle dévolue aux juridictions de droit commun pour la poursuite, l'instruction et le jugement des actes de terrorisme et des infractions connexes mentionnées à l'article 706-16 du même code. Cette compétence concurrente se traduit dans les faits par une compétence nationale exclusive du parquet antiterroriste et des magistrats instructeurs antiterroristes de Paris pour le traitement des crimes et délits terroristes les plus graves, étant précisé que cette centralisation se poursuit au stade de l'exécution de la peine. Ce traitement doit permettre au ministère de disposer d'éléments chiffrés suffisamment précis et détaillés concernant le traitement judiciaire du contentieux terroriste, ce que ne permettraient pas les autres bases de données du ministère.
La Commission observe que le présent projet de décret vise à tenir compte d'un certain nombre d'observations formulées dans le cadre de sa délibération n° 2017-349 du 21 décembre 2017 susvisée, en particulier s'agissant de la dénomination du projet qui apparaissait comme inappropriée au regard des finalités du traitement dans la mesure où, contrairement à ce que semblait indiquer les termes « recensement des individus terroristes », le traitement doit réunir des informations relatives à l'ensemble des personnes mises en cause dans le cadre d'une procédure y compris lorsque la procédure a abouti à un classement sans suite, un non-lieu, un acquittement ou une relaxe. Il vise également à adapter le texte réglementaire à de nouvelles évolutions, notamment celles liées à la nécessité de faire évoluer le traitement pour le rendre accessible à Eurojust.
Dans la mesure où le traitement « RECAT » est notamment mis en œuvre à des fins de faciliter le suivi par le PNAT et le parquet général de Paris des procédures judiciaires comportant une infraction qualifiée de terroriste, d'assurer le recoupement des informations dans le cadre de la direction des enquêtes et de fiabiliser les données et le partage d'informations avec les directions du ministère de la justice et le bureau français d'Eurojust, il relève du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 susvisée (ci-après « la directive ») et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.
La Commission rappelle qu'elle devra être tenue informée, dans les conditions prévues à l'article 33-II de la loi du 6 janvier 1978 modifiée, de toute modification substantielle affectant les caractéristiques du traitement.
Sur les conditions générales de mise en œuvre du dispositif :
En premier lieu, la Commission souligne qu'elle avait considéré dans sa délibération n° 2017-349 précitée que, au regard des finalités du traitement, la responsabilité de celui-ci devrait être expressément confiée au parquet de Paris et non à la direction des affaires criminelles et des grâces (DACG) du ministère de la justice. Elle prend acte des précisions apportées par le ministère selon lesquelles la responsabilité du traitement « RECAT » est confiée à la DAGC et non au PNAT et que « cette organisation ne remet pas en cause les prérogatives attachées au statut des magistrats du parquet » dans la mesure où « si le procureur de la République antiterroriste assure la mise en mouvement et l'exercice de l'action publique dans les procédures terroristes concernées par le traitement RECAT, il met en œuvre la politique pénale définie par les instructions générales du ministère de la justice », qui sont élaborées par la DACG. Le ministère indique également que le groupe de travail à l'origine de la création du traitement a été initié par la DACG qui « a décidé l'architecture générale du traitement et ses caractéristiques » et que « le PNAT n'est que l'utilisateur du traitement ».
En deuxième lieu, la Commission prend acte des précisions apportées par le ministère selon lesquelles un contrôle est réalisé par le référent « Informatique et libertés » de la DACG afin qu'il « s'assure que les informations enregistrées dans RECAT sont pertinentes au regard des finalités assignées au traitement » et qu'il dispose, à cet effet, d'un accès à l'ensemble des données du traitement en consultation. Le cas échéant, il pourra solliciter auprès du PNAT ou du parquet général de Paris l'effacement des données non pertinentes. Il sera également chargé de vérifier que les habilitations délivrées par le PNAT ou le parquet général de Paris à des personnels n'ayant plus le droit de connaître des informations contenues dans le traitement ont bien été supprimées. Elle prend également acte que ce référent « Informatique et Libertés » n'exercera aucun contrôle sur l'exercice, par les magistrats du parquet général ou du PNAT, de leurs missions ou sur le suivi des enquêtes, dont il n'est pas informé. Elle considère que l'existence des missions de contrôle du référent « Informatique et Libertés », qui constitue une garantie participant à la mise en conformité du traitement « RECAT » aux exigences en matière de protection des données à caractère personnel, pourrait être utilement mentionnée dans le projet de décret et prend acte de l'engagement du ministère de modifier le projet de décret afin de la faire figurer dans ce texte.
En troisième lieu, la Commission relève que des données relatives à des personnes mineures pourront être enregistrées dans le traitement « RECAT ». Elle estime que des mesures particulières devraient être mises en œuvre par le ministère afin de s'assurer que le traitement de données relatives à des personnes mineures, qui peuvent être des données sensibles, fait l'objet de garanties appropriées pour les droits et libertés de ces dernières. En effet, elle rappelle que, conformément aux dispositions de l'article 88 de la loi du 6 janvier 1978 modifiée, le traitement de ces données « est possible uniquement en cas de nécessité absolue, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée ».
Sur les finalités du traitement :
Les finalités assignées au traitement et énoncées à l'article 1er du projet de décret sont les suivantes :
- faciliter le suivi des procédures terroristes par le PNAT et le parquet général de Paris ;
- assurer le recoupement des informations dans le cadre de la direction des enquêtes ;
- fiabiliser les données et le partage d'informations avec les directions du ministère de la justice, sans se substituer aux rapports d'action publique, ainsi qu'avec le bureau français d'Eurojust afin de faciliter la coopération judiciaire en matière de lutte contre le terrorisme entre les Etats membres de l'Union européenne ;
- assurer la remontrée d'informations statistiques. Le traitement permettra à la DACG d'évaluer les instructions de politique pénale qu'elle donne ainsi que l'élaboration de politique pénale et l'adaptation des moyens dédiés au terrorisme.
S'agissant de la finalité permettant d'« assurer le recoupement des informations dans le cadre de la direction des enquêtes », la Commission prend acte que ces recoupements doivent permettre au parquet d'orienter au mieux les investigations mais que, s'agissant en particulier des personnes acquittées, « il n'est tiré aucune conséquence judiciaire (ni davantage administrative) des éléments enregistrés dans le traitement ». Elle prend également acte que le traitement « RECAT » « ne permet pas d'établir des liens ou des comportements au sens des fichiers d'analyse sérielle ». Ainsi, pour la DACG, la seule modalité de recoupement porte sur la recherche par nom ou par numéro de parquet et, si « ces recherches permettent d'identifier, en corollaire, des affaires ou des personnes liées », elles ne pourront pas porter sur les champs libres du traitement. Pour les magistrats du PNAT, la Commission relève que les critères de recherche sont identiques mais qu'ils peuvent aussi faire une recherche à partir des champs libres. Au regard de ces précisions, la Commission estime que le projet de décret devrait être complété afin d'indiquer expressément que le traitement « RECAT » ne permet pas d'établir des recoupements sur la base de liens ou de comportements au sens des fichiers d'analyse sérielle (articles 230-12 à 230-18 du code de procédure pénale) et prend acte de l'engagement du ministère de modifier le projet de décret sur ce point.
Sous réserve de ce qui précède, la Commission estime que les finalités projetées sont déterminées, explicites et légitimes conformément à l'article 4-2° de la loi du 6 janvier 1978 modifiée.
Sur les données collectées :
L'article 2 du projet de décret liste les personnes concernées par le traitement :
- les personnes mises en cause, mises en examen, placées sous le statut de témoin assisté et poursuivies, qu'elles soient par la suite condamnées, relaxées ou acquittées ;
- les victimes, dès lors que ces informations sont nécessaires à l'identification de l'affaire, dans le cadre des procédures pénales diligentées par le PNAT en matière antiterroriste.
La Commission considère que si le ministère entend collecter des données relatives aux personnes ayant fait l'objet d'un classement sans suite ou d'une décision de non-lieu, qui ne sont pas « des personnes mises en cause, mises en examen, placées sous le statut de témoins et poursuivies », alors le projet de décret devrait être modifié afin de le prévoir expressément.
Cette disposition détaille également les catégories de données à caractère personnel et informations enregistrées dans le traitement s'agissant de ces catégories de personnes ainsi que des magistrats en charge des affaires. La Commission prend acte que, sous la réserve de l'enregistrement des traces de connexion et de consultation, les données relatives aux greffiers en charge de la procédure ne seront pas traitées et qu'aucune donnée relative aux personnes témoins ne sera enregistrée dans le traitement.
A titre liminaire, la Commission prend acte que le système de gestion des dossiers (CMS)/ le réseau judiciaire européen (RJE) d'Eurojust sera mis en relation avec le traitement « RECAT » sous la forme d'une extraction des données utiles de « RECAT » qui seront ensuite introduites manuellement dans le CMS (nom, prénom, date de naissance, ville de naissance, pays de naissance, identifiant unique de la personne, alias, infraction et numéro de parquet). Elle relève que le ministère envisage un processus d'import semi-automatique quant au traitement RJE/CMS ainsi qu'une interconnexion avec le traitement de données à caractère personnel relatif à la gestion nationale des personnes détenues en établissement pénitentiaire (GENESIS). A cet égard, la Commission rappelle qu'elle devra être informée et, le cas échéant, saisie de toute modification substantielle affectant le traitement « RECAT » et justifiant une modification du décret.
En premier lieu, la Commission relève que le traitement peut enregistrer des données « sensibles » au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée dans la stricte mesure où cet enregistrement est nécessaire à la finalité qui lui est assignée. Ces données pourront être enregistrées dans les champs libres par le PNAT ou dans certains items du traitement. A cet égard, elle rappelle en effet que, conformément à l'article 88 de la loi du 6 janvier 1978, le traitement de telles données n'est possible qu'en cas de « nécessité absolue, sous réserve des garanties appropriées pour les droits et libertés de la personne concernée ». Elle estime qu'il conviendrait de pré-renseigner ces champs libres avec une information relative à la manière dont il convient de les renseigner et prend acte qu'une telle information sera insérée. Elle rappelle qu'un contrôle strict devra être assuré à ce titre.
En deuxième lieu, s'agissant des personnes mises en cause, mises en examen, placées sous le statut de témoin assisté et poursuivies, l'article 2 du projet de décret prévoit que des données d'identification (nom, prénom, alias, sexe, date et lieu de naissance, nationalité) seront enregistrées dans le traitement. Dans la mesure où le traitement a précisément pour finalité de permettre la centralisation des informations relatives aux procédures précitées et aux personnes qui en font l'objet, l'enregistrement de ces données d'identification apparaît pertinent à la Commission. Il ressort toutefois des précisions apportées par le ministère dans l'analyse d'impact relative à la protection des données (AIPD) que, au titre de cette catégorie de données, pourront également être collectées la « date de décès », la « région », le « département d'origine » et la mention « majeur/mineur ». Elle considère que si le ministère entend collecter ces données supplémentaires, alors le projet de décret devrait être complété afin de les mentionner expressément. Elle prend acte de l'engagement du ministère de modifier le projet de décret afin de faire figurer la collecte de ces données.
La Commission relève que des « informations relatives aux enquêtes, infractions, condamnations ou mesures de sûreté » pourront aussi être renseignées dans le traitement. Elle prend acte que ces données seront alimentées manuellement par le magistrat ou le greffier à partir du dossier de procédure et qu'il n'y aura pas de documents importés dans « RECAT ». La Commission relève que, au titre des données relatives au jugement, pourra être enregistrée l'inscription au fichier judiciaire national automatisé des auteurs d'infractions terroristes (FIJAIT). Elle prend acte que cette inscription sera mentionnée au moyen d'une case à cocher.
Cette disposition indique également que pourra être collectée la « décision administrative prise à l'encontre de l'intéressé au motif d'une menace pour la sécurité ou l'ordre public ». A cet égard, la Commission relève que la circulaire commune du ministère de la justice et du ministère de l'intérieur du 5 novembre 2016 relative à l'articulation des mesures administratives et des mesures judiciaires en matière de lutte contre le terrorisme et la prévention de la radicalisation a permis de fixer le cadre des échanges entre les préfets et les procureurs de la République s'agissant de la prise de mesures administratives pouvant se révéler incompatibles ou contradictoires avec des mesures judiciaires. Elle prend également acte que ces données seront intégrées dans le traitement sous la forme d'un menu déroulant avec des cases à cocher et qu'elles ne recouvrent en aucun cas d'éventuelles enquêtes administratives.
S'agissant de cette catégorie de personnes, pourront en outre être enregistrés dans le traitement les « antécédents judiciaires liés aux seules infractions visées aux articles 421-1 à 421-6 du code pénal ». La Commission prend acte que cette information sera renseignée au moyen d'une case à cocher signifiant que la personne concernée a été précédemment mise en cause dans une affaire de nature terroriste, quelle qu'ait été la suite judiciaire intervenue, et qu'il ne pourra être ajouté aucune autre information sur la nature de l'antécédent en question ou sur la suite judiciaire apportée. Compte tenu de ces précisions et dans la mesure où cette information apparaîtra sur la fiche « profil » des personnes concernées, la Commission considère qu'une distinction devrait être opérée entre les personnes mises en cause et celles reconnues coupables afin d'éviter que cette catégorie de données puisse être mal interprétée au regard de l'emploi du terme d'« antécédents judiciaires ».
En troisième lieu, des données d'identification (nom, prénom) relatives aux victimes pourront être enregistrées dans le traitement. La Commission relève que si le traitement n'a pas vocation à traiter des données relatives aux victimes, ces données pourront être ponctuellement mentionnées dans les champs libres ou dans le nom donné à l'affaire afin d'identifier au mieux la procédure dont il s'agit et se limiteront aux seules données d'état civil. Elle prend acte que le traitement ne permettra pas d'établir des listes de personnes victimes via des menus déroulants. Au regard des risques de confusion qui peuvent découler d'une telle utilisation de ces données, elle considère que, dans la mesure du possible, les données d'état civil relatives aux victimes ne devraient pas être utilisées pour le nommage des affaires ou, à défaut, d'une façon qui fasse apparaître clairement le statut de victime de la personne nommée.
Les autres catégories de données à caractère personnel collectées n'appellent pas d'observation supplémentaire de la part de la Commission.
Sous réserve de ce qui précède, la Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard des finalités poursuivies.
Sur les durées de conservation des données :
En premier lieu, l'article 3 du projet de décret prévoit que la durée de conservation des informations et des données enregistrées dans le traitement est de dix ans à compter de la dernière mise à jour enregistrée. En cas de condamnation, cette durée est portée à trente ans en matière criminelle et à vingt ans en matière délictuelle, à compter de la dernière mise à jour enregistrée.
La Commission prend acte que « la dernière mise à jour enregistrée », qui est le point de départ pris en compte pour le calcul du délai de conservation des données, désigne « toute modification des informations relatives à une affaire ou à une personne » au stade procédural tel que, par exemple, l'enregistrement de la décision de classement sans suite ou encore, en cas de condamnation, la délivrance d'un mandat si la personne est absente. Elle prend également acte qu'un rapprochement entre deux affaires n'est pas une « mise à jour » susceptible de faire courir à nouveau ce délai.
Ces durées de conservation sont justifiées par le ministère par le souhait d'aligner les durées de conservation des données sur la durée de prescription de l'action publique, en cas de classement sans suite ou de non-lieu, et sur la durée de prescription de la peine, en cas de décision d'acquittement, de relaxe ou de condamnation. Il a en outre précisé que ces durées de conservation ont été alignées sur celles retenues pour le traitement dénommé « CASSIOPEE ». S'agissant plus précisément des durées de conservation des données relatives à des personnes acquittées et à l'absence de possibilité d'effacement à la demande de la personne concernée, il a indiqué que le traitement « RECAT » n'est pas un traitement d'antécédents judiciaires et qu'il n'est tiré aucune conséquence judiciaire des éléments enregistrés. S'agissant des individus non condamnés ou dont la peine a été complètement exécutée, il a été précisé que la conservation des données présente un intérêt fondamental pour le PNAT dans le cadre de ses enquêtes, notamment si les personnes sont de nouveau impliquées dans des procédures. Enfin, il n'est pas prévu de modulation de ces durées de conservation pour les personnes mineures.
La Commission en prend acte mais estime, compte tenu des finalités du traitement « RECAT » et du fait qu'il n'est pas un traitement d'antécédents judiciaires, que les précisions apportées par le ministère ne permettent pas de justifier les durées de conservation particulièrement longues prévues par le projet de décret.
A cet égard, comme elle avait déjà pu le relever, à la date du point de départ de la durée de conservation prévue par le projet de décret, les données auront déjà été conservées pendant tout le temps nécessaire à l'aboutissement de la procédure, qui peut elle-même être relativement longue, même si cette période de conservation n'est qu'implicitement prévue par le projet de décret. Elle relève également que les durées de conservation prévues par le projet de décret sont très supérieures à celles définies pour d'autres traitements utilisés dans le cadre de procédures judiciaires, en particulier en cas de décision favorable, et souligne, en outre, que n'est pas prévue la possibilité de procéder à un effacement anticipé des données.
En tout état de cause, la Commission considère que les durées de conservation des données doivent être adaptées à la situation des personnes ayant fait l'objet d'une décision favorable ainsi qu'à celle des mineurs et que la durée pendant laquelle l'accès des agents de l'administration centrale aux données est autorisé doit être restreinte.
Compte tenu de ce qui précède, la Commission considère que les durées de conservation prévues par le projet de décret ne peuvent qu'être regardées comme excessives.
En second lieu, la Commission prend acte qu'il n'existe pas, en l'état, de mécanisme d'effacement automatique des données enregistrées dans le traitement et que celles-ci doivent être effacées manuellement. Si elle relève qu'une vérification périodique sera réalisée par le référent « Informatique et Libertés », elle considère que la mesure manuelle de suppression de données réalisée au terme de la durée de conservation est insuffisante pour assurer la suppression des données de façon systématique, au terme du délai de conservation, et recommande donc que des mesures additionnelles soient mises en place.
Sur les accédants et les destinataires :
L'article 4 du projet de décret liste les personnes qui peuvent accéder directement aux informations et données à caractère personnel enregistrées dans le traitement, à raison de leurs fonctions ou pour les besoins du service et pour les raisons strictement nécessaires à l'exercice de leurs attributions.
A titre liminaire, au regard de la grande sensibilité des données pouvant être enregistrées dans le traitement, la Commission appelle l'attention du ministère sur la nécessité de gérer avec la plus grande vigilance les habilitations des personnels concernés, afin de limiter au strict nécessaire les personnes qui pourront avoir directement accès aux données.
Ces éléments généraux rappelés, l'article 4 du projet de décret appelle les observations suivantes.
En premier lieu, la Commission relève que les magistrats, fonctionnaires et agents individuellement désignés et dûment habilités de la DACG auront un droit de consultation mais qu'ils ne pourront pas consulter les champs libres et les données relatives aux personnes mises en cause qui ne font pas l'objet d'un mandat de recherche ou d'arrêt. Elle prend acte que pourront ainsi accéder au traitement :
- le directeur des affaires criminelles et des grâces ;
- le directeur adjoint, chef de service ;
- le bureau de la lutte contre la criminalité organisée, le terrorisme et le blanchiment (BULCO) et le bureau de l'exécution des peines et des grâces (BEPG) à des fins notamment de suivi de l'action publique ;
- le sous-directeur de la justice pénale spécialisée qui est l'autorité hiérarchique du BULCO ;
- le sous-directeur de la justice pénale générale qui est l'autorité hiérarchique du BEPG ;
- le pôle d'évaluation des politiques pénales (PEPP) à des fins d'évaluation des politiques pénales.
Le référent « Informatique et Libertés » de la DACG disposera par ailleurs d'un accès à l'ensemble des données, en consultation uniquement, afin de pouvoir remplir ses missions de contrôle.
Si la Commission prend acte des précisions apportées par le ministère selon lesquelles l'accès au traitement pour la DACG se justifie par des finalités de suivi de l'action publique et d'évaluation des politiques pénales, elle s'interroge toutefois sur la nécessité de rendre accédants des données et informations contenues dans le traitement l'ensemble des personnels précités. En particulier, elle estime que, au regard de ses missions, le PEPP pourrait avoir seulement communication des données et informations nécessaires à l'exercice de ses missions et non se voir reconnaître un droit d'accès au traitement. Elle prend acte de l'engagement du ministère de ne plus rendre accédants les personnels du PEPP aux données directement identifiantes, à l'exception de la date de naissance qui est nécessaire aux études statistiques. Elle observe, en outre, que l'accès du BEPG aux données identifiantes des personnes concernées, notamment à celles relatives aux victimes lorsqu'elles permettent d'identifier l'affaire, se justifie par ses missions, celui-ci étant notamment chargé d'assurer un suivi de la situation individuelle de chaque personne condamnée pour des faits de terrorisme.
En deuxième lieu, la Commission relève que le directeur de l'administration pénitentiaire ainsi que les magistrats, fonctionnaires et agents individuellement désignés auront un droit de consultation. Elle prend acte que cet accès sera réservé à l'échelon central du service national du renseignement pénitentiaire (SNRP) et que ces personnels pourront seulement compléter les informations contenues dans le traitement pour y inscrire le lieu de la détention et la date de libération.
En troisième lieu, auront aussi accès au traitement en consultation le directeur de la protection judiciaire de la jeunesse ainsi que les magistrats, fonctionnaires et agents individuellement désignés et dûment habilités par lui. La Commission prend acte qu'en dehors de l'accès du directeur et du directeur adjoint, celui-ci sera limité aux membres de la mission nationale de veille et d'information (chef de mission et son adjoint) afin de confronter les données statistiques dont ils disposent avec celles réalisées par la DACG et à des membres de la direction de la protection judiciaire de la jeunesse (DPJJ) pour leur permettre de signaler à la DACG les éventuelles procédures concernant une personne mineure au moment des faits mais qui n'aurait pas été présentée à l'unité éducative auprès du tribunal et n'aurait donc pas été recensée par la PJJ. Elle prend également acte qu'aucune interconnexion du traitement RECAT n'est envisagée avec les traitements mis en œuvre par la DPJJ.
Au regard des compétences de la mission nationale de veille et d'information, la Commission s'interroge toutefois sur les raisons ayant conduit le ministère à reconnaître à ses membres, par défaut, un droit de consultation de toutes les données relatives aux personnes ayant vocation, au regard de leur minorité lors des faits, à être suivies par les services de la PJJ. Compte tenu de ces éléments, elle invite le ministère à définir plus strictement les données auxquelles les membres de cette mission peuvent accéder, voire à ne les rendre que destinataires de certaines informations nécessaires au regard de leurs missions. Elle prend acte de l'engagement du ministère de modifier le projet de décret afin de ne plus rendre accédants au traitement les membres de la mission nationale de veille et d'information.
En quatrième lieu, la Commission observe que peuvent accéder directement au traitement le représentant national auprès d'Eurojust, ainsi que les magistrats, fonctionnaires et agents individuellement désignés et dûment habilités par lui. Elle relève que cet accès est reconnu en application de l'article 9 du règlement (UE) 2018/1727 du Parlement européen et du Conseil du 14 novembre 2018 relatif à l'Agence de l'Union européenne pour la coopération judiciaire en matière pénale et l'article 695-8-1 du CPP qui prévoit que « le membre national de l'unité Eurojust a accès, dans les mêmes conditions que les magistrats du ministère public, aux données contenues dans tout traitement automatisé de données à caractère personnel ».
Compte tenu de ce qui précède, la Commission considère, de manière générale, qu'une réflexion devrait être menée sur la nécessité de rendre certains personnels de la DAGC et de la DPJJ accédants au traitement et ce, afin d'encadrer plus strictement les catégories de données auxquelles peuvent accéder ou peuvent avoir communication ces différents personnels.
Sur les droits des personnes concernées :
L'article 5 du projet de décret précise les modalités d'exercice des droits des personnes concernées.
En premier lieu, s'agissant de l'information des personnes concernées, la Commission relève qu'il est prévu, conformément aux dispositions de l'article 107-II-1° de la loi du 6 janvier 1978 modifiée, que ce droit soit limité aux informations prévues par le I de l'article 104 de ladite loi. A cet égard, la Commission s'est interrogée sur les raisons justifiant le choix de faire usage de la restriction prévue par l'article 107-II-1° précité pour les informations additionnelles listées à l'article 104-II de ladite loi. Elle prend acte que le ministère renonce à se prévaloir de cette restriction et que le projet de décret sera modifié sur ce point. Elle prend également acte que les informations seront publiées sur le site web « justice.fr ».
En outre, la Commission rappelle que le ministère devrait prévoir des mesures particulières en ce qui concerne les personnes mineures et ce, afin de leur délivrer une information selon des modalités adaptées et prend acte de l'engagement du ministère sur ce point.
En deuxième lieu, la Commission relève que, conformément aux dispositions de l'article 111 de la loi du 6 janvier 1978 modifiée, les droits d'accès, de rectification et d'effacement sont régis par les dispositions du CPP pour :
- les données d'identification et les informations relatives aux enquêtes, infractions, condamnations ou mesures de sûreté s'agissant des personnes mises en cause, mises en examen, placées sous le statut de témoin assisté et poursuivies ;
- les données d'identification relatives aux victimes.
Pour les autres catégories de données, les droits d'accès, de rectification et d'effacement s'exercent de manière directe auprès de la DACG. Les droits d'accès et de rectification s'exercent directement auprès de l'autorité hiérarchique lui ayant délivré son habilitation pour les données relatives aux magistrats en charge des affaires. La Commission prend acte que les juges d'instruction exerceront leurs droits d'accès et de rectification auprès du procureur de la République antiterroriste.
Par ailleurs, la Commission prend acte que, s'agissant des données relatives à des mesures administratives, les droits d'accès, de rectification et d'effacement peuvent faire l'objet de restrictions, en application des 2° et 3° du II et du III de l'article 107 de la loi du 6 janvier 1978 modifiée afin d'éviter de gêner des enquêtes, des recherches et des procédures judiciaires et de nuire à la détection d'infractions pénales, aux enquêtes et aux poursuites en la matière ou l'exécution de sanctions pénales. La personne concernée par ces restrictions devra alors exercer ses droits auprès de la Commission dans les conditions prévues à l'article 108 de ladite loi. Elle prend acte que ces modalités d'exercice des droits seront précisées sur le site web du ministère de la justice.
En troisième lieu, le projet de décret prévoit que le droit d'opposition ne s'applique pas au présent traitement, ce qui n'appelle pas d'observation.
Sur les mesures de sécurité :
La Commission relève que l'accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d'en connaître. Ces utilisateurs seront authentifiés via un couple identifiant et mot de passe. Elle note également l'utilisation de profils applicatifs par entités restreignant les accès, ainsi que les possibilités d'actions, aux seules données autorisées.
La Commission relève que les mesures prévues par le ministère apparaissent conformes à la délibération n° 2017-012 du 19 janvier 2017 portant adoption d'une recommandation relative aux mots de passe, en termes de longueur, de complexité et de détection des tentatives frauduleuses de connexion au traitement. Compte tenu de la nature du traitement, la Commission recommande toutefois la mise en place d'un mécanisme d'authentification forte des personnes habilitées à accéder au traitement. Elle prend acte de l'engagement du ministère de mettre en place un tel mécanisme une fois que le renouvellement de la carte agent sera opéré.
L'article 7 du projet de décret prévoit que « les consultations, créations, modifications ou suppressions de données font l'objet d'un enregistrement comprenant l'identification et la fonction de leur auteur ainsi que la date, l'heure et l'objet de de l'opération. Ces informations sont conservées pendant un délai de un an ». Tout en saluant la réduction sensible de la durée de conservation des traces par rapport aux durées figurant habituellement dans les projets de textes du ministère de la justice, la Commission considère que les justifications apportées par le ministère sur le fait de conserver, pour des finalités de sécurité, ces traces pendant une durée excédant six mois sont insuffisantes en l'état. La Commission relève en particulier qu'en raison de l'absence de complexité du traitement, d'une part, et de la faible volumétrie des personnes ayant accès au traitement, d'autre part, une durée excédant six mois ne peut être justifiée, une analyse d'anomalie pouvant se faire sur cette période.
La Commission prend acte de ce que les données traitées ne seront pas chiffrées, mais qu'elles seront stockées dans des locaux spécifiques faisant l'objet de mesures de protection physique de haut niveau. Elle prend également acte de ce que les données du traitement ne seront pas archivées dans un premier temps et rappelle que les mécanismes d'archivage mis en place devront être en capacité d'assurer le haut niveau de sécurité nécessaire compte tenu de la nature du traitement.
Les autres mesures de sécurité n'appellent pas de remarques de la Commission. Elle rappelle toutefois que les exigences de sécurité prévues à l'article 99 de la loi du 6 janvier 1978 modifiée nécessitent la mise à jour de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.