Délibération de la CNIL sur la LOPPSI

De La Quadrature du Net

Avis de la CNIL : http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/207/

Sommaire

Délibération n°2009-200 du 16 avril 2009 portant avis sur sept articles du projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure[modifier]

16 Avril 2009 - Thème(s) : Vidéosurveillance, Sécurité, Police-justice

La Commission nationale de l’informatique et des libertés,[modifier]

Saisie pour avis par le ministre de l’intérieur, de l’outre-mer et des collectivités territoriales, le 27 janvier 2009, de sept articles d’un projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure et, le 12 mars 2009, d’un article du même projet de loi ;

  • Vu la Convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé de données à caractère personnel ;
  • Vu la Convention du 19 juin 1990 d’application de l’accord signé à Schengen le 14 juin 1985 entre les gouvernements des Etats de l’Union économique Benelux, de la République fédérale d’Allemagne et de la République française relatif à la suppression graduelle des contrôles aux frontières communes dont la ratification a été autorisée par la loi n°91-737 du 30 juillet 1991 ;
  • Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et la libre circulation de ces données ;
  • Vu la décision-cadre 2006/960/JAI du Conseil du 18 décembre 2006 relative à la simplification de l’échange d’informations et de renseignements entre les services répressifs des Etats membres de l’Union européenne ;
  • Vu le code civil ;
  • Vu le code pénal ;
  • Vu le code de procédure pénale ;
  • Vu le code général des collectivités territoriales ;
  • Vu le code de la défense ;
  • Vu la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée par la loi n°2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, et notamment ses articles 11 et 26 ;
  • Vu la loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité ;
  • Vu la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, et notamment ses articles 21 et 21-1 ;
  • Vu la loi n°2006-64 du 23 janvier 2006 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles frontaliers, modifiée par la loi n° 2008-1245 du 1er décembre 2008, et notamment ses articles 9 et 33 ;

Après avoir entendu M. Jean-Marie COTTERET, Mme Claire DAVAL et M. Didier GASSE, commissaires, en leurs rapports, et Mmes Pascale COMPAGNIE, commissaire du Gouvernement et Catherine POZZO DI BORGO, commissaire adjoint, en leurs observations ;


Emet l’avis suivant :[modifier]

La Commission a été saisie pour avis par le ministre de l’intérieur, de l’outre-mer et des collectivités territoriales, le 27 janvier 2009, de sept articles d’un projet de loi d’orientation et de programmation pour la performance de la sécurité intérieure et, le 12 mars 2009, d’un autre article du même projet de loi. Un des articles, consacré aux échanges d’informations entre services répressifs au sein de l’Union européenne, a cependant été retiré par le Gouvernement, le 8 avril 2009.

A titre liminaire, la Commission regrette de n’avoir pas été saisie de l’ensemble des dispositions du projet de loi précité, conformément aux dispositions du a) du 4° l’article 11 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.

Sur l’article 1er (articles 706-02-1 à 706-102-10 nouveaux du code de procédure pénale)

L’article premier du projet de loi vise à modifier le Titre XXV du Livre IV du Code de procédure pénale, relatif à la criminalité organisée, en y insérant une nouvelle section VI bis intitulée « De la captation des données informatiques en matière de criminalité organisée ». La Commission prend acte de ce que le titre de l'article 1er du projet de loi sera identique.

Le projet de section VI bis vise ainsi à ajouter dans le code de procédure pénale dix nouveaux articles (706-102-1 à 706-102-10) ayant pour objet d'autoriser le juge d’instruction, sur la base d’une ordonnance écrite spécialement motivée, à mettre en œuvre un dispositif de captation de données informatiques dans le cadre d’une information judiciaire portant sur des faits relevant de la criminalité organisée.

Aux termes du projet d'article 706-102-1, les opérations de captation s'opéreront grâce à « un dispositif technique ayant pour objet, sans le consentement des intéressés, d'accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre, telles qu’elles s’affichent pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères ».

En d'autres termes, le dispositif vise à capter en continu des données informatiques utilisées ou saisies sur un ordinateur, que ces données soient ou non destinées à être émises, et qu'elles empruntent ou non un réseau de communications électroniques.

Le projet de loi ne concerne donc ni la captation d'un fichier informatique sur un disque dur, ni la captation de courriers électroniques qui n'auraient pas été ouverts, ni celle de l'intégralité d'un fichier alors que celui-ci n'a été que partiellement visualisé par l'intéressé.

Le texte prévoit la possibilité de mettre en place un dispositif logiciel ou matériel de captation de données informatiques aussi bien dans un lieu public que dans un lieu privé.

A titre liminaire, la Commission s’interroge sur l’impact éventuel que pourrait avoir la réforme actuellement annoncée des textes relatifs au juge d’instruction sur les dispositions créées par l’article 1er du projet de loi dont elle est saisie.

Comme le projet institue une importante exception aux principes de la loi du 6 janvier 1978 concernant la collecte des données, et que cette exception est fondée sur les nécessités de l’information relative aux infractions relevant de la criminalité organisée, il revient à la Commission d’apprécier si les dispositions proposées sont proportionnées au but poursuivi. A cet égard, le projet de loi a prévu une série de limitations et de garanties, dont il convient d’examiner la pertinence et l'effectivité.

Enfin, la Commission relève que la Cour constitutionnelle fédérale allemande a estimé, dans une décision du 27 février 2008, que l’introduction clandestine dans des systèmes informatiques de logiciels espions ne peut être autorisée que s’il existe réellement des éléments présentant une menace concrète sur l’intégrité corporelle, la vie, la liberté des personnes, ou une atteinte aux intérêts fondamentaux de la nation.


Sur la collecte des données :[modifier]

La collecte de données par captation en continu des données utilisées ou saisies sur un ordinateur ne devrait concerner que les données utiles à la manifestation de la vérité ou les personnes susceptibles d'être impliquées dans des faits relevant de la criminalité organisée. A cet égard, les dispositions de l'article premier du projet de loi soulève trois types d’interrogations.

Sur la collecte de données non utiles à la manifestation de la vérité :[modifier]

Le projet de loi prévoit qu’à l'issue des opérations de captation, les enregistrements informatiques utiles à la manifestation de la vérité seraient placés sous scellés fermés (art. 706-102-8 du code de procédure pénale). Par ailleurs, le procès-verbal versé au dossier décrirait ou transcrirait les seules données utiles à la manifestation de la vérité (art. 706-102-9). Enfin, il serait procédé à la destruction des enregistrements des données informatiques à l'expiration du délai de prescription de l'action publique (art. 706-102-9).

Le ministère de l'intérieur a cependant indiqué, dans un courrier du 27 mars 2009, que l'ensemble des enregistrements opérés seraient placés sous scellés et non pas seuls ceux « utiles à la manifestation de la vérité ». Dès lors, la rédaction proposée au dernier alinéa de l’article 706-102-8 dont a été saisi la Commission était erronée. Cet alinéa sera donc ainsi libellé : « Les enregistrements des données informatiques sont placés sous scellés fermés », dans une rédaction similaire à celle figurant à l’article 706-100 du même code en matière de sonorisations.

Cette modification de la rédaction résulte de l’impossibilité de réaliser un tri préalable au niveau de la collecte entre ce qui est utile et non utile à la manifestation de la vérité. A cet égard, dans sa décision du 2 mars 2004 relative à la loi portant adaptation de la justice aux évolutions de la criminalité. Le Conseil constitutionnel a indiqué, s’agissant des nouvelles dispositions du code de procédure pénale autorisant les sonorisations et fixations d’images de certains lieux et véhicules que l’article 706-101 « limite aux seuls enregistrements utiles à la manifestation de la vérité le contenu du procès-verbal » et « que dès lors, le législateur a nécessairement entendu que les séquences de la vie privée étrangères aux infractions en cause ne puissent en aucun cas être conservées dans le dossier de la procédure ». La Commission appelle donc au strict respect de ces principes dans l’hypothèse comparable de la captation des données informatiques.

Sur la collecte de données en des lieux ou sur des systèmes utilisés par des personnes bénéficiant d’une protection particulière :[modifier]

Le dernier alinéa de l’article 706-102-6 serait ainsi rédigé : « La mise en place de la captation de données informatiques mentionnée au premier alinéa ne peut concerner les systèmes automatisés de traitement de données se trouvant habituellement dans les lieux visés aux articles 56-1, 56-2 et 56-3 ou habituellement utilisés par les personnes visées à l'article 100-7 ».

Les lieux visés concernent les cabinets d’avocat, de médecin, de notaire, d’avoué ou d’huissier, ainsi que les locaux d’une entreprise de presse. Les personnes visées sont les parlementaires, les avocats et les magistrats.

Cette rédaction est légèrement différente de celle retenue à l'article 706-96 alinéa 3 (relatif à la « sonorisation » de lieux ou de véhicules) selon lequel « La mise en place du dispositif technique ne peut concerner les lieux visés aux articles 56-1, 56-2 et 56-3 ni être mise en oeuvre dans le véhicule, le bureau ou le domicile des personnes visées à l'article 100-7 ».

Le ministère a confirmé que cette rédaction vise à ne pas entacher de nullité les opérations de captation de données réalisées sur un ordinateur, qui se trouverait de façon non habituelle dans un des lieux précités ou qui serait utilisé de façon non habituelle par un parlementaire, un avocat ou un magistrat.

La Commission considère toutefois que l’ajout de l’adverbe « habituellement » crée un aléa et un risque d'insécurité juridique disproportionnés au regard des finalités poursuivies.

Cet aléa et ces difficultés d'interprétation conduisent donc la Commission à considérer que la rédaction actuelle du projet de loi n’est pas, en l’état, conforme aux principes de collecte adéquate, pertinente et non excessive posés par l’article 6 de la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004.

En effet, cette rédaction permettrait de collecter des données transitant sur des systèmes utilisés par des personnes protégées par le législateur en raison de secrets particuliers liés à l'exercice de leur profession, ou de les collecter dans les lieux de travail ou domiciles de ces dernières.

Il convient en outre de relever que les textes relatifs aux dispositifs de « sonorisation » ne comportent aucune restriction de ce genre, puisqu’il s’agit de lieux par définition immobiles, à la différence des systèmes d’information qui peuvent eux être mobiles.

Compte tenu de ce qui précède, la Commission exprime une réserve sur la rédaction de cet article et demande qu’elle soit reformulée de façon à ce que les objectifs poursuivis par le dispositif soient mieux définis.

Sur la surveillance de points publics d’accès à Internet :[modifier]

Le projet de loi prévoit la possibilité de mettre en oeuvre un dispositif de captation dans tout type de point d'accès public à Internet (cybercafés ou bornes d'accès publiques).

La Commission souligne la portée de cette disposition, qui pourrait permettre l'enregistrement pendant une durée d'au plus huit mois, de tous les caractères saisis au clavier et de toutes les images affichées sur l’écran de tous les ordinateurs d'un point d'accès public à Internet, et ce à l'insu des utilisateurs.

La Commission relève que si l’installation de dispositifs de captation de données informatiques demeure une mesure d’investigation exceptionnelle, sa mise en œuvre dans des points publics d’accès au réseau Internet présente un caractère particulièrement sensible.

Compte tenu de ces éléments, la Commission estime nécessaire que cette décision d’installation ainsi que les modalités d’utilisation de ces dispositifs particulièrement intrusifs, fassent l’objet d’une vigilance particulière, afin de garantir la proportionnalité de la mesure de surveillance aux objectifs poursuivis.

La Commission rappelle que le Conseil constitutionnel a considéré, dans sa décision n°2003-467 du 13 mars 2003 relative à la loi pour la sécurité intérieure, qu’il appartenait au législateur « d'assurer la conciliation entre, d'une part, la prévention des atteintes à l'ordre public et la recherche des auteurs d'infractions, toutes deux nécessaires à la sauvegarde de droits et de principes de valeur constitutionnelle, et, d'autre part, l'exercice des libertés constitutionnellement garanties, au nombre desquelles figurent la liberté d'aller et venir et le respect de la vie privée, protégés par les articles 2 et 4 de la Déclaration des droits de l'homme et du citoyen de 1789, ainsi que la liberté individuelle, que l'article 66 de la Constitution place sous la surveillance de l'autorité judiciaire. »

Sur l’obligation de sécurité[modifier]

La Commission relève tout d’abord qu’elle ne dispose pas d’information précise sur les outils de captation dont l’utilisation est envisagée.

Sur l’autorisation des dispositifs de captation :[modifier]

La Commission estime que les matériels et logiciels mis en œuvre pour procéder à cette captation doivent garantir l'impossibilité de les utiliser à des fins détournées de l'usage pour lequel ils sont spécifiquement paramétrés.

La Commission rappelle que l'article 226-3 du Code pénal prévoit que la fabrication, la commercialisation ou la publicité de matériels permettant de réaliser des interceptions de correspondances ou de détecter à distance des conversations sont soumises à une autorisation ministérielle, et que les dispositifs de captation autorisés figurent sur une liste fixée par décret en Conseil d’Etat. Le non-respect de ces règles est puni d’un an d'emprisonnement et de 45000 euros d'amende.

La Commission relève que l’article 1er du projet de loi vise à modifier l’article 226-3 du code pénal pour y ajouter les dispositifs de captation de données informatiques.

La Commission prend acte de ce que les outils de captation seront « bridés », c'est-à-dire configurés de façon à ne permettre que la mise en oeuvre des fonctions prévues par la loi. Elle relève que ces dispositifs seront configurés et certifiés de façon à ne pas porter atteinte à l’intégrité des données ou de la sécurité de la machine visée.

S'agissant des modalités selon lesquelles l'intégrité des données captées serait garantie lors de leur transmission vers les agents habilités chargés de ces opérations, le ministère de l’intérieur indique que cette question devra faire l’objet d’une « étude spécifique afin de garantir l’intégrité des informations obtenues, leur conservation et leur exploitation ».

La Commission observe toutefois que le ministère de l’intérieur n’apporte sur ce point aucun élément concret et ne propose pas de modification du texte.

Afin de prendre en compte ces observations, la Commission propose que l’article 706-102-1 soit ainsi complété : « Si les nécessités de l’information relative à l’une des infractions entrant dans le champ d’application de l’article 706-73 l’exigent, un dispositif technique ayant fait l’objet d’une autorisation ministérielle et ayant pour objet, sans le consentement des intéressés, d’accéder à des données informatiques, de les observer, les collecter, les enregistrer, les conserver et les transmettre en en garantissant l’intégrité, telles qu’elles s’affichent pour l’utilisateur d’un système de traitement automatisé de données ou telles qu’il les y introduit par saisie de caractères, peut être mis en place, dans un lieu public ou privé et dans les conditions prévues par la présente section. »

Sur la mise en œuvre d’outils de traçabilité :[modifier]

La Commission estime que la mise en œuvre de mesures de traçabilité technique fournirait, en restreignant et en journalisant l’accès aux outils de captation, de meilleures garanties contre le risque d’utilisation détournée ou abusive de ces derniers (tel que par exemple, l’utilisation à des fins personnelles, l’installation sur plusieurs ordinateurs, etc.)

Elle considère qu’une telle traçabilité pourrait notamment être organisée autour d’un système de « coffre-fort logique » dans lequel seraient stockés les outils de captation, et auquel il ne pourrait être accédé que sous le contrôle du juge d’instruction. Ceci permettrait notamment en consultant un seul fichier, de connaître chaque accès aux outils d’espionnage, et de connaître précisément, quand, par qui et sur quels ordinateurs le dispositif a pu être installé. Par ailleurs ceci permettrait d’obtenir des éléments chiffrés quant au volume et à l’évolution des installations des logiciels, ainsi qu’un état précis des opérations d’installation et de désinstallation.

La Commission demande en conséquence que le projet de loi prévoie le renvoi à des dispositions réglementaires définissant les mesures techniques précises permettant d’assurer la traçabilité des accès et des utilisations des outils de captation de données informatiques.

Sur l’article 2[modifier]

Les dispositions de l’article 2 de l’avant projet de loi visent à faciliter les opérations d’identification des dépouilles mortelles, en rendant possible, notamment, la réalisation de prélèvements biologiques sur les cadavres non identifiés, y compris lorsque les causes de la mort ne sont pas suspectes.

Pour ce faire, il est envisagé de modifier les articles 16-11, 81, 82 et 83 du code civil, d’ajouter un article L.2223-42-1 au code général des collectivités territoriales et de modifier les article 226-28 du code pénal et 706-54 du code de procédure pénale, relatif au fichier national des empreintes génétiques (FNAEG).

Le fichier pourrait ainsi contenir les empreintes génétiques issues des traces biologiques recueillies à l'occasion des procédures de recherche des causes de la mort ou de recherche des causes d’une disparition prévues par les articles 74, 74-1 et 80-4 et des recherches aux fins d’identification, prévues par l’article 16-11 du code civil, d’une personne décédée dont l’identité ne peut être établie, des victimes de catastrophes naturelles, ou des personnes dont le décès est présumé et qui font l’objet des recherches mentionnées à l’article 26 de la loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité.

Le fichier pourrait également contenir, sous réserve du consentement éclairé et écrit des intéressés, les empreintes génétiques des ascendants, descendants et collatéraux des personnes décédées ou recherchées faisant l’objet des procédures prévues par les articles 74, 74-1 et 80-4 et des victimes de catastrophes naturelles ou des personnes dont le décès est présumé et qui font l’objet des recherches mentionnées à l’article 26 de la loi du 21 janvier 1995 susvisée, dans le cadre des recherches aux fins d’identification prévues par l’article 16-11 du code civil.

La Commission tient à souligner que, si elle comprend les raisons qui peuvent présider à la mise en place d’un nouveau dispositif susceptible de favoriser les opérations d’identification, notamment, des victimes de catastrophes naturelles, elle observe que l’enregistrement tel qu’il est envisagé de données génétiques recueillies, non plus seulement dans le cadre de procédures judiciaires, mais également au cours de procédures administratives d’identification, tend à conférer une finalité nouvelle au FNAEG. En effet, régi par les dispositions législatives et réglementaires du code de procédure pénale, le FNAEG est actuellement conçu principalement comme un fichier d’identification judiciaire.

Sur l’article 3[modifier]

L’article 3 de l’avant projet de loi entend simplifier les procédures destinées à l’alimentation du FNAEG afin que les agents du corps des personnels techniques et scientifiques puissent procéder, sous le contrôle des officiers de police judiciaire, aux opérations de vérification, de prélèvement et d’enregistrement.

La modification envisagée n’appelle pas d’observation de la part de la Commission.

Sur l’article 4 (articles 29-2 et 29-3 nouveaux du code de procédure pénale)[modifier]

L’article 4 a trait au régime juridique de certains fichiers de police judiciaire. Il modifie les articles 21 et 21-1 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, modifiée par la loi du 12 décembre 2005 sur la récidive des infractions pénales, et opère leur codification au sein du code de procédure pénale.

A cet effet il introduit les articles 29-2 et 29-3 nouveaux du code de procédure pénale, qui reprennent, au sein d’une nouvelle section V du même code, intitulée « Des fichiers de police judiciaire », les articles 21 et 21-1 de la loi du 18 mars 2003 tout en leur apportant des modifications substantielles.

Sur la codification[modifier]

A titre liminaire, il convient de souligner que la codification de ces dispositions constitue indéniablement une opération utile, de nature à favoriser l’accessibilité de la loi et à renforcer la clarté et l’intelligibilité de cette dernière. A cet égard, il serait pertinent que des mesures semblables soient envisagées s’agissant des actes réglementaires portant création des traitements mis en œuvre sur le fondement des dispositions précitées et, plus généralement, de tous les actes réglementaires portant création des traitements mis en œuvre sur le fondement du 2° du II de l’article 26 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.

Sur le régime juridique[modifier]

La Commission estime qu’il pourrait être opportun que soit rappelé aux termes des articles 29-2 (nouveau) et 29-3 (nouveau) du code de procédure pénale que la création des traitements qui en relèvent demeure soumise aux dispositions du 2° du I de l’article 26 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, comme l’a rappelé le Conseil constitutionnel dans sa décision n°2003-467 DC du 13 mars 2003 relative à la loi du 18 mars 2003 (considérant 26) pour la sécurité intérieure.

Sur l’article 29-2 (nouveau) du code de procédure pénale[modifier]

Cet article reprend les dispositions de l’article 21 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure. Ce dernier, qui détermine, notamment, le régime juridique du système de traitement des infractions constatées (STIC), serait cependant modifié sur trois points principaux. Tout d’abord, l’article 4 de l’avant projet de loi entend rendre possible l’enregistrement dans les traitements concernés par les présentes dispositions des informations recueillies au cours des procédures de recherche des causes de la mort et des causes de disparitions inquiétantes ou suspectes sur les personnes qui sont l’objet desdites procédures. Il définit en outre un nouveau mécanisme de contrôle, lequel serait confié à un magistrat spécialement désigné à cet effet. Enfin, il précise le régime de consultation de ces mêmes traitements dans le cadre de l’exécution d’enquêtes administratives.

Sur l’extension de la liste des données susceptibles d’être enregistrées[modifier]

Comme le souligne le ministère de l’intérieur, les traitements considérés « ne comportent, en l’état actuel des textes, que les données relatives à des mis en cause ou victimes dans le cadre d’enquêtes judiciaires diligentées en flagrance, en préliminaire ou sur commission rogatoire, et relatives à des faits faisant l’objet d’une incrimination pénale ».

La nouvelle rédaction envisagée « a pour objectif de permettre également l’enregistrement des données recueillies dans le cadre des procédures spéciales de recherche des causes de la mort ou d'une disparition prévues par les articles 74 et 74-1 du code de procédure pénale ». En effet, le ministère de l’intérieur considère que « ces procédures, ouvertes alors qu’un décès ou une disparition présente un caractère inconnu, inquiétant ou suspect, sans révéler d’infraction caractérisée constituent un cadre d’enquête spécifique qu’il importe d’inclure expressément dans le périmètre des traitements susvisés ».

Les données enregistrées ne pourraient porter que sur les personnes faisant l’objet de l’une des procédures évoquées ci-dessus, à l’exclusion de toute autre, et seraient effacées dès lors que l’enquête aurait permis de retrouver la personne disparue ou d’écarter toute suspicion de crime ou de délit.

En première analyse, la faculté donnée aux services de la police et de la gendarmerie nationales d’enregistrer les données portant sur les personnes qui font l’objet de procédures de recherche des causes de la mort et des causes de disparitions inquiétantes dans les traitements concernés par l’article 21 de la loi précitée ne paraît pas illégitime, dès lors que ces procédures sont régies par les articles 74 et 74-1 du code de procédure pénale et, partant, qu’elles présentent un caractère judiciaire.

Il convient toutefois d’observer que les procédures engagées de ce chef se distinguent des autres procédures visées par l’article considéré en ce qu’elles ne font pas suite à la constatation d’une infraction ou au dépôt d’une plainte mais envisagent simplement la possibilité qu’une infraction ait pu être commise.

Dans ces conditions, la Commission prend acte de ce que le projet de texte envisage que les données enregistrées dans ce cadre soient effacées dès lors que l’enquête aura permis de retrouver la personne disparue ou d’écarter toute suspicion de crime ou de délit. En outre, eu égard aux observations qu’elle a récemment formulées à l’issue du contrôle général du STIC, la Commission relève que, selon les précisions apportées par le Gouvernement, aucun enregistrement ne devrait être effectué sur ces nouveaux motifs avant le déploiement de l’application « ARIANE ».

Enfin, il conviendrait que des dispositions techniques soient prises afin que les données se rapportant à ces personnes soient clairement identifiées et fassent l’objet d’un traitement distinct de celui des personnes mises en cause et des victimes au sein des traitements considérés.

Sur la création d’un nouveau mécanisme de contrôle[modifier]

L’article 4 de l’avant projet de loi envisage également de placer la mise en œuvre des applications automatisées relevant de l’article 29-2 (nouveau) du code de procédure pénale « sous le contrôle d’un magistrat désigné à cet effet par arrêté du ministre de la justice ». Ce dernier pourrait agir d’office ou sur requête des particuliers, selon les mêmes modalités de mise à jour que celles dont disposent les procureurs de la République. Pour ce faire, ce magistrat disposerait d’un accès direct aux applications.

Si l’on ne peut que partager le souci du Gouvernement d’améliorer les conditions d’exercice du contrôle des fichiers de police judiciaire, on peut cependant s’interroger sur la complexité du dispositif envisagé. A cet égard, il convient de noter que les missions de contrôle du magistrat référent devraient être exercées de manière concurrente à celles des procureurs de la République et selon les mêmes modalités que ces derniers. En outre, si le Gouvernement insiste sur le fait que le magistrat référent exercera ses missions sans préjudice des celles dévolues à la CNIL, notamment en matière de droit d’accès indirect, la Commission observe qu’il pourrait néanmoins être saisi sur requête, ce qui peut entraîner une certaine confusion s’agissant des attributions des différents acteurs impliqués.

Dans ces conditions, si la Commission considère que ce magistrat référent pourrait jouer un rôle tout à fait essentiel dans l’amélioration de l’efficacité des procédures de mise à jour et d’effacement, elle a souhaité que le Gouvernement puisse préciser les conditions d’articulation des missions confiées audit magistrat avec celle dévolues aux procureurs de la République. A cet égard, elle prend acte de ce que le Gouvernement a précisé que, dorénavant, seul le magistrat référent devrait être habilité à recevoir les requêtes individuelles visant à opérer des mesures d’effacement ou de mise à jour. Elle observe cependant que l’article 29-2 (nouveau) du code de procédure pénale devrait être modifié en ce sens. Enfin, elle tient à rappeler le rôle qui est le sien en matière de droit d’accès indirect.

Sur le régime juridique des enquêtes administratives[modifier]

Il est fait mention aux termes de l’article 29-2 (nouveau) du code de procédure pénale de ce que, en application des dispositions de l’article 17-1 de la loi n°95-73 du 21 janvier 1995, les traitements régis par ce nouvel article 29-2 du code de procédure pénale pourront être consultés pour les besoins d’enquêtes administratives. A cet égard, il est prévu que la liste des traitements concernés soit définie aux termes d’un décret en Conseil d’Etat pris après avis de la Commission.

La Commission en prend acte.

Sur la mise à jour et l’effacement des données.[modifier]

Outre ces observations formulées sur les modifications introduites aux termes de l’article 29-2 (nouveau) du code procédure pénale par rapport à l’article 21 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, la Commission souhaite appeler une nouvelle fois l’attention du Gouvernement sur la question de la mise à jour et de l’effacement des données.

Ainsi, comme elle l’a récemment indiqué aux termes des conclusions de son rapport de contrôle général du STIC, elle propose de modifier la loi afin d’étendre les cas de mises à jour et d’effacement des données à de nouvelles décisions judiciaires, notamment en cas de classements sans suites autres que celles correspondant aux motifs d’absence d’infraction et d’infraction insuffisamment caractérisée. A cet égard, elle invite le Gouvernement à suivre la recommandation formulée sur ce point par le récent rapport d’information parlementaire sur les fichiers de police.

Sur l’article 29-3 (nouveau) du code de procédure pénale[modifier]

Cet article reprend, pour les codifier, les dispositions de l’article 21-1 de la loi n°2003-239 du 18 mars 2003 pour la sécurité intérieure, introduit par la loi du 12 décembre 2005 sur la récidive des infractions pénales. Cet article 21-1, qui détermine le régime juridique des traitements d’analyse sérielle, serait cependant modifié de manière substantielle par la rédaction proposée. Tout d’abord, les nouvelles dispositions ont vocation à rendre possible la mise en œuvre de traitements d’analyse sérielle portant sur un champ élargi d’infractions pénales. Elles consacrent en outre une extension des données enregistrées cependant qu’elles confèrent au service national des douanes judiciaires le droit de mettre en œuvre ce type de traitements. Enfin, elles placent le contrôle de ces traitements sous l’autorité d’un magistrat référent. Sur la portée de l’extension des infractions et des personnes concernées ainsi que sur celle des services autorisés à mettre en œuvre des traitements d’analyse sérielle.

Le Gouvernement souhaite étendre l’utilisation des fichiers de police judiciaire à la lutte contre la petite et la moyenne délinquance de masse pour permettre aux officiers de police judiciaire de bénéficier de nouvelles capacités de rapprochement et de traitement de la sérialité. A cet égard, la démarche d’investigation qui préside à la mise en œuvre de ce type de traitements porte moins sur la recherche directe de l’identité de l’auteur stricto sensu que dans la recherche de liens objectifs permettant de relier des faits entre eux pour pouvoir isoler une série de faits imputable à un même auteur ou un groupe d’auteurs.

A cette fin, il est envisagé d’étendre le nombre des infractions concernées par les traitements d’analyse sérielle par le biais de l’abaissement du seuil de peines à la durée de cinq ans d’emprisonnement. En outre, il est proposé d’étendre le champ de la collecte des données personnelles à toutes les personnes dont l’identité est citée dans une procédure judiciaire. Cette collecte pourrait ainsi concerner l’entourage des personnes mises en cause, les simples témoins et, plus généralement, toute personne dont le nom pourrait être cité dans un procès-verbal. Enfin, il est envisagé d’autoriser le service national de douane judiciaire, au même titre que les services et unités de la police et de gendarmerie nationales, à mettre en œuvre ce type de traitements.

La Commission tient à rappeler que, aux termes de sa délibération n°2009-042 du 29 janvier 2009 portant avis sur le projet de décret en Conseil d’Etat portant création du traitement dénommé « SALVAC », elle avait estimé que la mise en œuvre d’un tel traitement d’analyse sérielle était légitime compte tenu du caractère exceptionnellement grave des infractions concernées et dès lors que ledit traitement se limitait à ce champ d’infractions restreint.

Or, compte tenu des modifications introduites par le projet de loi, et même si le seuil de peines envisagé correspond à la qualification primaire des infractions, les fichiers d’analyse sérielle prendront une ampleur nouvelle, qui en change la nature, car ils ne seront plus limités aux infractions les plus graves, porteront sur un nombre très important d’infractions et de personnes. C’est pourquoi, sur le plan des principes, la Commission demeure extrêmement réservée sur la mise en œuvre d’une telle extension. Elle tient toutefois à rappeler que, dans l’hypothèse où les dispositions précitées venaient à être adoptées en l’état par le Parlement, elle sera saisie pour avis de tout acte réglementaire portant création de ce type de traitements (contrôle a priori) et ne manquera pas de remplir ses missions en matière de contrôle sur place et sur pièces et de droit d’accès indirect (contrôle a posteriori) conformément aux dispositions de la loi du 6 janvier 1978 modifiée.

Sur l’extension de la liste des destinataires[modifier]

Jusqu’à présent, seuls les services et unités de la police et de la gendarmerie nationales chargés d'une mission de police judiciaire étaient destinataires, sous le contrôle des autorités judiciaires, des données contenues dans les traitements automatisés de données à caractère personnel d’analyse sérielle. Le Gouvernement entend inscrire le service national de douane judiciaire dans la liste des services susceptibles d’être destinataires des données précitées.

Cette modification n’appelle pas d’observation particulière.

Sur la création d’un nouveau mécanisme de contrôle[modifier]

L’article 4 de l’avant projet de loi envisage de placer la mise en œuvre des applications automatisées relevant de l’article 29-3 (nouveau) du code de procédure pénale sous le contrôle du même magistrat référent que celui désigné s’agissant des traitements relevant de l’article 29-2 (nouveau) du même code. Ce dernier pourrait agir d’office ou sur requête des particuliers. Pour ce faire, ce magistrat disposerait d’un accès direct aux applications.

Dans la mesure où les traitements susceptibles de relever des dispositions de l’article 29-3 (nouveau) du code de procédure pénale ont vocation à être mis en œuvre par des unités dédiées de la police ou de la gendarmerie nationale et, le cas échéant, du service national de douane judiciaire, le magistrat référent pourrait jouer un rôle fondamental dans la mise à jour et à l’effacement des données. Dès lors, il conviendra de préciser l’articulation de ses prérogatives avec celles dévolues par la loi à la Commission en matière de droit d’accès indirect.

Sur l’article 5 (articles 706-53-5 à 706-53-8 et 706-53-10 du code de procédure pénale)[modifier]

L’article 5 du projet de loi a pour objet de modifier les articles du code de procédure pénale relatifs au fichier judiciaire national automatisé des auteurs d’infractions sexuelles (FIJAIS).

Le FIJAIS a été créé par la loi du 9 mars 2004 et ses modalités d’application ont été fixées par un décret du 30 mai 2005 pris après un avis de la CNIL. Il a pour objectif de favoriser la prévention de la récidive des auteurs d’infractions sexuelles déjà condamnés, l’identification et la localisation des auteurs de ces mêmes infractions. Sa gestion a été confiée au service du casier judiciaire à Nantes, sous l’autorité du ministre de la Justice et sous le contrôle du magistrat dirigeant le service du casier. La loi du 12 décembre 2005 sur la récidive des infractions pénales a étendu le périmètre de ce fichier à l’ensemble des procédures concernant les crimes de meurtre ou assassinat commis avec tortures ou actes de barbarie, les crimes de tortures ou d’actes de barbarie et les meurtres ou assassinats commis en état de récidive légale.

Concernant les modifications apportées à l’article 706-53-5 du code de procédure pénale[modifier]

Sur les modifications relatives aux obligations de justifier de son adresse

L’article 706-53-5 du code de procédure pénale oblige toute personne enregistrée dans le fichier à informer le gestionnaire du FIJAIS ou le commissariat de police ou de gendarmerie de son adresse et de tout changement d’adresse. Actuellement, les personnes inscrites dans le FIJAIS, auxquelles l’inscription a été dûment notifiée, doivent justifier de leur adresse une fois par an et déclarer leurs changements d’adresse dans les quinze jours (régime dit annuel). Quant aux auteurs d’infractions les plus graves, ils doivent justifier de leur adresse en personne, tous les six mois ou tous les mois (régime dit renforcé).

Le projet de loi prévoit de supprimer la possibilité pour la personne de justifier de son domicile auprès du responsable du FIJAIS. Il est également prévu, qu’en plus des obligations de justification de domicile une fois par an ou tous les mois, la personne concernée doit justifier une première fois de son adresse dès son enregistrement dans le fichier dans un délai de quinze jours.

Le ministère a indiqué, d’une part, que la suppression de la possibilité de justifier de son domicile auprès du gestionnaire du fichier, permettra une simplification des obligations des personnes inscrites et que cette procédure permettra aux services de police et de gendarmerie de mieux connaître les personnes inscrites au FIJAIS, dans la mesure où elle les incitera à se déplacer physiquement au commissariat de police ou à la brigade, d’autre part.

La Commission souligne à cet égard que toutes garanties doivent être prises pour assurer la confidentialité de ces notifications dans les commissariats et les brigades.

Par ailleurs le projet de loi prévoit de supprimer le délai d’appel pour la mise en œuvre de l’obligation de justification de domicile semestrielle ou mensuelle prévue à l’article 706-53-5 du code de procédure pénale. Le ministère a indiqué qu’en l’état des textes, les personnes ayant commis les faits les plus graves, échappent pendant une durée assez longue au régime renforcé qui les concerne, particulièrement lorsqu’elles exercent une voie de recours. Selon le ministère le système actuel poserait des problèmes de compréhension aux personnes inscrites dans le fichier, le régime renforcé ne s’appliquant qu’une fois le caractère définitif acquis, les personnes concernées l’ignorant la plupart du temps.

Cette modification n’appelle pas d’observations particulières au seul regard de la loi « Informatique et Libertés ».

Concernant l’article 706-53-6 du code de procédure pénale[modifier]

Il est désormais prévu que le procureur de la République peut faire application des dispositions du 1er alinéa de l’article 78 du code de procédure pénale qui prévoit que ce dernier peut contraindre à comparaître par la force publique les personnes qui n’ont pas répondu à une convocation à comparaître ou dont on peut craindre qu’elles ne répondent pas à une telle convocation.

Cette modification n’appelle pas d’observations particulières au seul regard de la loi « Informatique et Libertés ».

Concernant l’article 706-53-7-2 du code de procédure pénale[modifier]

Sur l’extension de l’accès des OPJ au FIJAIS

L’article 5 du projet de loi modifie l’article 706-53-7-2 afin d’étendre l’accès existant des OPJ au FIJAIS.

Cet accès ne serait plus limité aux seules « procédures concernant un crime d’atteinte volontaire à la vie, d’enlèvement ou de séquestration, ou une infraction mentionnée à l’article 706-47 et pour l’exercice des diligences prévues aux articles 706-53-5 et 706-53-8 », comme c’est le cas actuellement, mais ouvert à toute procédure.

Il est également prévu de supprimer l’alinéa aux termes duquel il était indiqué que les OPJ « peuvent également sur instruction de procureur de la république ou du juge d’instruction ou avec l’autorisation de ce magistrat, consulter le fichier à partir de l’identité d’une personne gardée à vue dans le cadre d’une enquête de flagrance ou d’une enquête préliminaire ou en exécution d’une commission rogatoire, même si cette procédure ne concerne pas une des infractions mentionnées au 2° du présent article ».

La suppression de cet alinéa signifie donc que les OPJ pourraient désormais avoir un accès étendu au fichier et sans contrôle préalable d’un magistrat.

Le ministère de l’intérieur a précisé que la liste des données auxquelles peuvent avoir accès les OPJ prévue à l’article 706-53-7-2° était trop restrictive, dès lors que certaines infractions n’y sont pas mentionnées. Il a également souligné que les pratiques d’autorisation des magistrats sont très disparates sur le territoire au regard du nombre important de juridictions concernées. Enfin, il a indiqué qu’un certain nombre d’enquêtes justifie la consultation du FIJAIS à un moment où personne n’est en garde à vue, notamment pour localiser la personne qui sera ensuite le cas échéant placée en garde à vue.

Il a été précisé que les magistrats conserveront un contrôle à posteriori des consultations qui feront par ailleurs, l’objet d’une traçabilité rigoureuse, dans le cadre de leur appréciation globale de la légalité des procédures et notamment sur la qualité de la personne ayant consulté le FIJAIS.

La Commission prend acte de la proposition du ministère de compléter la rédaction de l’article 706-53-7 afin de préciser que cette consultation ne pourra avoir lieu que dans le cadre d’une mission de police judiciaire par opposition aux missions de police administratives.

Elle estime toutefois que l’autorisation préalable par un magistrat pour consulter le fichier constitue une garantie importante, qu’elle ne souhaite pas voir remise en cause, notamment au regard du caractère extrêmement sensible et spécialisé de ce fichier.

Sur l’ajout d’un nouveau destinataire : l’administration pénitentiaire[modifier]

Le projet de loi modifie l’article 706-53-7-4° du code de procédure pénale afin d‘ajouter un nouveau destinataire, l’administration pénitentiaire, « pour vérifier la situation du détenu au regard du fichier et pour enregistrer les dates de mise sous écrou et de libération ainsi que l’adresse du domicile déclarée par la personne concernée ».

Lors de l’écrou d’une personne, le greffe de l’établissement pénitentiaire pourrait ainsi vérifier si cette personne est inscrite au FIJAIS, afin notamment de pouvoir tenir compte de sa situation par rapport aux autres détenus. De plus, si la personne concernée se trouve dans le fichier, l’agent du greffe pourrait alors enregistrer dans l’application le fait que la personne est détenue et mettre à jour son adresse.

Enfin, lors de la libération de la personne, le greffe de l’établissement pourrait enregistrer directement dans l’application la date de notification des obligations. Le greffe mettrait également à jour l’adresse déclarée par la personne à sa sortie de détention, permettant une mise à jour du fichier en temps réel.

La Commission a souligné dans sa délibération du 8 novembre 2007 portant avis sur un projet de décret en Conseil d’Etat modifiant la partie réglementaire du code de procédure pénale et relatif au FIJAIS et au casier judiciaire national automatisé, que la possibilité, reconnue par la loi, d’un accès direct au FIJAISV par certaines administrations, à la différence du casier judiciaire national, accentuait sa sensibilité et rendait indispensable l’adoption de mesures de confidentialité particulièrement rigoureuses.

A cet égard, la Commission prend acte que le projet de loi permet à l’administration pénitentiaire de consulter le fichier uniquement à partir de l’identité de la personne concernée.

Elle estime que le projet de loi devrait être complété afin de préciser que seuls les agents du greffe spécialement et individuellement habilités ont accès au fichier.

Concernant l’article 706-53-8 du code de procédure pénale[modifier]

Sur l’accélération de l’inscription dans le fichier des personnes recherchées (FPR) des personnes en défaut de justification de domicile[modifier]

Il est désormais prévu que si la personne concernée ne se trouve plus à l’adresse indiquée dans le fichier, les OPJ informent sans délai le Procureur de la République et demandent à ce dernier de procéder à l’inscription de cette personne dans le FPR, avant d’avoir les résultats des réquisitions effectuées par les enquêteurs. Jusqu’à présent les OPJ n’informaient le Procureur qu’après avoir eu les résultats des recherches et des réquisitions.

La Commission appelle l’attention du ministère sur les risques d’erreur d’inscription dans le FPR, par excès de rapidité, que cette nouvelle procédure pourrait entraîner.

Sur les articles 6 et 8[modifier]

L’article 6 de l’avant projet de loi entend modifier les dispositions de l’article L.1332-1 du code de la défense en ce qu’il précise que, dans le cadre de procédures d’enquête administrative liées aux autorisations d’accès aux points d’importance vitale, il sera possible de procéder à la consultation des traitements automatisés de données à caractère personnel relevant des dispositions de l’article 26 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004.

L’article 8, quant à lui, a vocation à encadrer les activités d’intelligence économique les plus sensibles (recherche d’informations stratégiques) aux fins de moraliser et professionnaliser les entreprises qui s’y livrent. A cet égard, il prévoit des dispositions semblables s’agissant des enquêtes administratives liées à la délivrance d’un agrément en vue d’exercer une activité de recherche d’informations stratégiques.

La Commission a toujours émis une réserve de principe sur la consultation des fichiers de police judiciaire à des fins d’enquête administrative. A cet égard, les constatations effectuées lors du contrôle général du STIC et rendues publiques le 20 janvier 2009, doivent inciter à la prudence en la matière. En effet, les défauts constatés en matière de mise à jour et d’effacement des données sont de nature à rendre possible la conservation injustifiée de certaines informations, dont la mention peut, le cas échéant, porter gravement préjudice aux personnes qu’elles concernent.

En outre, la Commission constate que les dispositions des articles 6 et 8 de l’avant projet de loi viennent s’ajouter aux nombreuses dispositions législatives ou réglementaires déjà existantes qui ont trait à l’organisation de la consultation des fichiers de police, qu’il s’agisse des fichiers de police judiciaire ou de renseignement, dans le cadre de l’exécution d’enquêtes administratives et, de ce fait, souhaite appeler l’attention du Gouvernement sur l’absence de lisibilité qui en découle.

Dans ces conditions, elle souhaite que, dans la perspective de l’examen du projet de loi par le Parlement, il soit procédé à un véritable état des lieux en la matière.

Quoi qu’il en soit, la Commission estime que la liste des traitements dont la consultation est envisagée dans le cadre de l’exécution des enquêtes administratives considérées devrait être définie aux termes d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission, comme cela est d’ailleurs envisagé aux termes de l’article 4 du même projet de loi.

Enfin, s’il est prévu que la personne concernée soit informée de l’existence de l’enquête administrative dont elle fait l’objet, aucune mesure d’information relative aux opérations de consultation de fichiers ne semble en revanche envisagée.

La Commission considère que les personnes concernées par les dispositions des articles 6 et 8 devraient être informées de la nature des traitements susceptibles de faire l’objet de consultation. A cet égard, elle tient à rappeler que le principe même de cette consultation, s’agissant des fichiers d’antécédents judiciaires est prévu aux termes de l’article 17-1 de la loi n°95-73 du 21 janvier 1995 d’orientation et de programmation relative à la sécurité.

Enfin, il convient de rappeler le principe défini à l’article 10 de la loi du 6 janvier 1978 modifiée, selon lequel « aucune décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».

Le Président, Alex TÜRK

Amendements Commission LOPPSI