Délibération de la forma­tion restreinte no SAN-2021–016 du 24 septembre 2021 concer­nant le minis­tère de l’Intérieur 

Le fichier auto­ma­tisé des empreintes digi­tales (FAED) est un fichier de police judi­ciaire d’identification recen­sant les empreintes digi­tales et palmaires de personnes mises en cause dans des procé­dures pénales ainsi que les traces d’empreinte rele­vées sur les scènes de crime ou de délit. Il est mis en œuvre par le service central de la police tech­nique et scien­ti­fique au minis­tère de l’Intérieur (art. 2 du décret n°87–249 du 8 avril 1987 rela­tif au fichier auto­ma­tisé des empreintes digi­tales géré par le minis­tère de l’Intérieur) et permet de relier une personne à plusieurs iden­ti­tés ou alias et aux précé­dentes procé­dures dans lesquelles ses empreintes ont été rele­vées. 

Suite à plusieurs contrôles effec­tués auprès des services de la police tech­nique et scien­ti­fique, la forma­tion restreinte, organe de la Commission Nationale de l’Informatique et des Libertés (CNIL) chargé de pronon­cer les sanc­tions (art. 16 de la loi Informatique et Libertés) constate cinq manque­ments dans la manière dont les données du FAED sont trai­tées par le minis­tère de l’Intérieur.  

(1) Conservation de données non prévues dans la légis­la­tion  

L’art. 4 du décret n°87–249 prévoit une liste limi­ta­tive des infor­ma­tions pouvant figu­rer dans le FAED.  

La CNIL constate que des infor­ma­tions supplé­men­taires sont trai­tées dans le FAED, comme le nom de la victime ou le numéro d’immatriculation d’un véhi­cule. Pour la forma­tion restreinte, le fait que ces infor­ma­tions soient enre­gis­trées sous la forme d’images (ne pouvant pas faire l’objet d’une recherche) n’enlève pas le carac­tère illi­cite d’un tel trai­te­ment dans la mesure où il n’est pas prévu dans la loi, en parti­cu­lier dans le décret n°87–249.  

De plus, sept millions de fiches de signa­li­sa­tions sont conser­vées en format papier dans un fichier dit « manuel » conte­nant tant des fiches anciennes datant de plus de dix ans que des fiches plus récentes qui sont desti­nées à être scan­nées et ajou­tées dans le FAED. Quand bien même ce fichier n’est plus alimenté depuis 2017, l’art. 1 du décret n°87–249 couvre unique­ment le trai­te­ment auto­ma­tisé de traces et empreintes digi­tales et palmaires, à l’exclusion de tout fichier manuel au format papier. La conser­va­tion d’un tel fichier n’est pas non plus prévue dans une autre dispo­si­tion légis­la­tive. Ainsi, la CNIL en conclut qu’un tel trai­te­ment est illi­cite.  

En outre, la CNIL estime que la volonté du minis­tère de l’Intérieur de procé­der à la destruc­tion dans les quatre prochaines années des fiches conte­nues dans le fichier manuel qui sont anciennes n’est pas suffi­sante, dans la mesure où aucun calen­drier précis n’est fourni et que la durée de quatre ans n’est pas admis­sible au regard de l’ancienneté des fiches concer­nées, de la durée du manque­ment et de la nature des données concer­nées. De plus, la CNIL estime que même les fiches récentes qui sont desti­nées à être scan­nées et ajou­tées dans le FAED ne peuvent pas être conser­vées, faute de légi­ti­mité pour le fichier manuel, et ce même dans l’hypothèse où les données en ques­tion pour­raient légi­ti­me­ment figu­rer dans le FAED.  

Ainsi, la CNIL constate un manque­ment de l’art. 89 de la loi Informatique et Libertés 

(2) Conservation de données pour une durée non prévue dans la légis­la­tion  

L’art. 4 de la loi Informatique et Libertés prévoit que les données person­nelles qui sont conser­vées sous une forme permet­tant l’identification des personnes concer­nées ne doivent pas être conser­vées pour une durée excé­dant ce qui est néces­saire au regard des fina­li­tés du trai­te­ment.  

Depuis le 1er mars 2017, suite à une modi­fi­ca­tion légis­la­tive, l’art. 5 du décret n°87–249 fixe la durée de conser­va­tion des traces et des empreintes. Celle-ci est en prin­cipe de quinze ans (dix ans pour les empreintes des mineurs) et peut être de vingt-cinq ans (quinze ans pour les empreintes de mineurs) sur déci­sion de l’autorité judi­ciaire ou au regard de la quali­fi­ca­tion de l’infraction. Avant le 1er mars 2017, les données étaient conser­vées pour une durée de vingt-cinq ans dès l’établissement de la fiche.  

La CNIL constate que les moda­li­tés de conser­va­tion des données du FAED ne tiennent pas compte de la modi­fi­ca­tion entrée en appli­ca­tion en 2017. De plus, le point de départ de cette durée est calculé à partir de la dernière signa­li­sa­tion de la personne concer­née, et non à comp­ter de l’établissement de chaque fiche. Une purge auto­ma­tique inter­vient après vingt-cinq ans si une personne n’avait pas à nouveau été signa­li­sée. 

La CNIL constate ainsi que deux millions de fiches sont conser­vées au-delà des durées de conser­va­tions prévues par la loi.  

Les mesures prises et les correc­tions effec­tuées par le minis­tère de l’Intérieur ont permis de ne plus avoir aucune fiche du trai­te­ment auto­ma­tisé qui soit conser­vée au-delà de durée prévue dans la loi. Toutefois, la CNIL estime que ces mesures ont été prises tardi­ve­ment au vu des nouvelles règles de conser­va­tion des données entrées en appli­ca­tion depuis 1er mars 2017.  

Ainsi, la CNIL constate un manque­ment de l’art. 4 de la loi Informatique et Libertés. 

(3) Conservation de données rela­tives à des personnes ayant béné­fi­cié d’un acquit­te­ment, d’une relaxe, d’un non-lieu ou d’un clas­se­ment  

L’art. 7–1 du décret n°87–249 prévoit que les données sont effa­cées du FAED lorsqu’une déci­sion de relaxe ou d’acquittement devient défi­ni­tive et qu’elles sont en prin­cipe effa­cées en cas de déci­sion de non-lieu ou de clas­se­ment sans suite, sauf en cas de déci­sion contraire du procu­reur de la République. Le service gestion­naire du FAED doit rece­voir ces déci­sions par le biais de « fiches navettes » afin de suppri­mer les données qui n’ont plus à y figu­rer. Cependant, la CNIL constate qu’en raison de pratiques très variables entre les diffé­rentes insti­tu­tions judi­ciaires, le service gestion­naire n’était pas informé desdites déci­sions et ne pouvait donc pas tenir le FAED d’une manière qui soit conforme à l’art. 7–1 du décret n°87–249. 

Le minis­tère de l’Intérieur argue qu’une circu­laire et une dépêche rappe­lant les règles de suppres­sion des données avaient été mises en circu­la­tion en 2016. Cependant, la CNIL consi­dère que cela n’est pas suffi­sant pour le respon­sable du trai­te­ment, qui ne pouvait par ce seul moyen, s’assurer de l’exactitude des données. Le minis­tère doit mettre en place un système permet­tant d’avoir la certi­tude du bon ache­mi­ne­ment des « fiches navettes » au service gestion­naire du FAED. Autrement dit, ni le simple envoi de circu­laires rappe­lant les obli­ga­tions décou­lant du décret n°87–249, ni leur simple exis­tence, ne permettent de remplir les exigences rela­tives à l’exactitude des données posées pas l’art. 97 de la loi Informatique et Libertés. Une infor­ma­tion proac­tive régu­lière par le minis­tère de l’Intérieur aux insti­tu­tions judi­ciaires, rappe­lant leurs obli­ga­tions d’avis au service gestion­naire, aurait dû être mise en place. 

De plus, le contenu de la circu­laire est égale­ment problé­ma­tique, car celui-ci prévoit un renver­se­ment du prin­cipe donné à l’art. 7–1 du décret n°87–249 selon lequel le procu­reur de la République peut se pronon­cer en faveur du main­tien des données dans le FAED, alors que celles-ci devraient être suppri­mées. Il nous faut rappe­ler qu’une circu­laire n’a pas force de loi. Elle n’existe que pour des raisons pratiques, mais ne peut en aucun cas supplan­ter le contenu des textes légaux. Là aussi, un manque­ment à l’art. 97 de la loi Informatique et Libertés a été constaté par la CNIL. 

(4) Sécurité des données insuf­fi­sante  

La CNIL a constaté un manque­ment dans les mesures de sécu­rité prises par le minis­tère de l’Intérieur (art. 99 de la loi Informatique et Libertés). Les empreintes digi­tales et palmaires enre­gis­trées dans le FAED sont des données biomé­triques au sens de l’art. 6 de la loi Informatique et Libertés. Elles doivent donc béné­fi­cier de mesures de protec­tion appro­priées aux trai­te­ments de données sensibles. Deux problèmes ont été consta­tés. 

Tout d’abord, le FAED était acces­sible depuis les postes de police, de gendar­me­rie et de douane, au moyen d’un simple iden­ti­fiant combiné à un mot de passe. Or, cela ne consti­tue pas une mesure de protec­tion appro­priée en raison de la présence de personnes ne faisant pas partie des forces de l’ordre dans ces locaux. Un accès au FAED par le biais de « cartes-agent », uniques et iden­ti­fiantes, que tout fonc­tion­naire de police a déjà en sa posses­sion, couplées à un code PIN est préco­nisé en tant que proces­sus d’authentification fort. 

Ensuite, l’existence du FAED implique que les données biomé­triques à inscrire ne doivent pas être enre­gis­trées en amont sur un serveur local, ni sous format papier. En effet, les stan­dards de sécu­rité ne sont alors pas suffi­sants. Ainsi, seules une conser­va­tion et une mani­pu­la­tion de ces données sensibles au sein du FAED sont possibles. 

(5) Absence d’information des personnes concer­nées  

La CNIL a fina­le­ment constaté un manque­ment rela­tif à l’information des personnes concer­nées (art. 104 de la loi Informatique et Libertés). Aucune infor­ma­tion à propos du trai­te­ment de données engen­dré par le FAED n’était commu­ni­quée aux personnes concer­nées, que ce soit direc­te­ment lors de la procé­dure, ni même par le biais d’un affi­chage dans les locaux de garde à vue, sans qu’une restric­tion du droit à l’information n’existe. 

Même s’il était possible pour les personnes concer­nées d’avoir accès aux docu­ments rensei­gnant le trai­te­ment de données sur le site web du minis­tère de l’Intérieur, cela seul ne peut être consi­déré comme remplis­sant l’obligation d’information. Être conscient du fait que nos données person­nelles font l’objet d’un trai­te­ment reste l’un des problèmes majeurs lorsqu’aucune infor­ma­tion n’est four­nie. Le respon­sable du trai­te­ment ne peut attendre des personnes concer­nées qu’elles effec­tuent elles-mêmes les recherches aux fins de s’informer. 

Conclusions de la CNIL  

La CNIL a formulé plusieurs injonc­tions à l’encontre du minis­tère de l’Intérieur et lui a fixé un délai pour se mettre en confor­mité au 31 octobre 2021, ainsi qu’un délai au 31 décembre 2022 s’agissant de la suppres­sion du « fichier manuel ».  

Et en Suisse ? 

En Suisse, le pendant au FAED est le système auto­ma­tique d’identification des empreintes digi­tales (AFIS), géré par l’Office fédé­ral de la police (fedpol) et par le Secrétariat d’État aux migra­tions (art. 1er et 3 al. 1 de l’ordonnance sur le trai­te­ment des données signa­lé­tiques biomé­triques). Les droits des personnes concer­nées sont régis par la LPD (art. 5 de l’ordonnance). La sécu­rité des données doit se faire à l’aune des dispo­si­tions de l’OLPD (art. 14 de l’ordonnance). L’AFIS contient unique­ment des données signa­lé­tiques biomé­triques (art. 7 et 8 de l’ordonnance), qui peuvent être reliées à d’autres données rela­tives à des personnes figu­rant dans d’autres registres par le service chargé de la gestion d’AFIS (art. 15 de l’ordonnance).