N°1548
——
ASSEMBLÉE NATIONALE
CONSTITUTION DU 4 OCTOBRE 1958
TREIZIÈME LÉGISLATURE
Enregistré à la Présidence de l’Assemblée nationale le 24 mars 2009.
RAPPORT D’INFORMATION
DÉPOSÉ
en application de l’article 145 du Règlement
PAR LA COMMISSION DES LOIS CONSTITUTIONNELLES, DE LA LÉGISLATION
ET DE L’ADMINISTRATION GÉNÉRALE DE LA RÉPUBLIQUE
sur les fichiers de police
PAR Mme Delphine BATHO et M. Jacques Alain BÉNISTI,
Députés.
——
PRÉAMBULE 9
INTRODUCTION 11
I. CLARIFIER LE CADRE JURIDIQUE 25
A. LES GRANDS PRINCIPES PRÉSIDANT À LA CRÉATION DES FICHIERS DE POLICE 25
1. Le cadre juridique international et européen 26
a) Les textes de protection de l’Union européenne 26
b) Les autres instruments internationaux 31
2. Le cadre juridique national 34
a) Protection des données et des personnes : la genèse de la loi du 6 janvier 1978 34
b) Régime de déclaration versus régime d’autorisation : la nécessaire publicité des actes créant des fichiers 35
c) La Commission nationale de l’informatique et des libertés (CNIL) : une autorité de contrôle veillant au respect des libertés publiques 40
B. LA CRÉATION DES FICHIERS : EN FINIR AVEC L’AMBIGUÏTÉ DU CADRE JURIDIQUE ACTUEL 42
1. Deux régimes juridiques coexistent actuellement pour créer les fichiers de police 43
2. Entre diversité et absence de base juridique : l’augmentation du nombre de fichiers de police 44
3. Pour un débat public éclairé : les fichiers de police doivent être créés par la loi 46
C. SORTIR DES RELATIONS CONFLICTUELLES ENTRE LA CNIL ET LE MINISTÈRE DE L’INTÉRIEUR 49
1. Un dialogue de sourds entre la CNIL et le ministère de l’Intérieur 49
2. L’introduction d’une procédure de mise en application par étapes des fichiers de police sous le contrôle de la CNIL 53
II. MIEUX PROTÉGER LES DONNÉES SENSIBLES 57
A. LES DONNÉES SENSIBLES DANS LES FICHIERS DE RENSEIGNEMENT 57
1. Le fichier des renseignements généraux : un cadre juridique progressivement clarifié 58
a) Les renseignements généraux : rôle et actions 58
b) Le fichier des renseignements généraux : un outil au service des missions assignées aux RG 60
c) Le fichier des renseignements généraux posait une interdiction de principe de collecter des données sensibles 62
2. Le fichier EDVIGE a opéré une extension notable des données sensibles susceptibles d’être collectées 63
a) La création du fichier EDVIGE est liée à la nouvelle architecture du renseignement intérieur 63
b) Le décret créant le fichier EDVIGE opère une extension du champ des données sensibles recueillies 65
3. EDVIRSP : des données collectées et conservées quelle que soit la finalité visée. 68
a) La réaffirmation de l’interdiction de principe de collecter des données sensibles au sens de l’article 8 de la loi du 6 janvier 1978 69
b) Des données collectées et traitées quelle que soit la finalité visée 70
4. Le « fichier des personnalités » 72
B. LA DÉLICATE QUESTION DU FICHAGE DES MINEURS 74
1. Les mineurs dans les fichiers de renseignement 74
a) Le projet EDVIGE : répertorier les mineurs « susceptibles de porter atteinte à l’ordre public » 75
b) La nécessité d’encadrer et de définir les conditions précises de fichage des mineurs 76
c) Sur la base de critères objectifs clairement définis pour le fichage des mineurs, étendre l’application « Gestion des violences urbaines » (GEVI) sur l’ensemble du territoire 79
d) Le droit à l’oubli : pierre angulaire de la protection des mineurs 81
2. Les mineurs dans les fichiers d’antécédents judiciaires 83
C. LE SIGNALEMENT DES PERSONNES : À LA RECHERCHE DES « SIGNES PHYSIQUES PARTICULIERS, OBJECTIFS ET PERMANENTS » 84
1. Le STIC-Canonge et son équivalent JUDEX : une identification des personnes recherchées basée sur une typologie ethno-raciale 85
2. Les nouvelles classifications proposées par le groupe de travail d’Alain Bauer en 2006 : des amendements à la marge de la typologie Canonge 86
3. Identification des personnes recherchées : typologie ethno-raciale versus portrait-robot 87
III. GARANTIR L’EXACTITUDE DES FICHIERS 89
A. DES FICHIERS D’IDENTIFICATION QUI ONT DU MAL À INTÉGRER ET À EXPLOITER LE FLUX DES DONNÉES 89
1. Une modernisation nécessaire du fichier automatisé des empreintes digitales 89
2. Des garanties très sérieuses d’exactitude des données en matière d’empreintes génétiques 92
a) Un processus d’alimentation du FNAEG très encadré, afin de garantir l’exactitude des informations 92
b) Vers la fin de la crise de croissance du FNAEG ? 94
c) Préciser davantage les circonstances dans lesquelles un prélèvement peut être effectué 97
B. UNE CHAÎNE D’ALIMENTATION DU STIC COMPLÈTEMENT OBSOLÈTE 100
1. Une alimentation initiale à la source de nombreuses erreurs 101
a) « Ce sont les personnels administratifs qui vérifient les procédures des actifs. » 101
b) L’enjeu du juste moment de l’inscription au STIC 102
c) « Les chiffres seront très différents avec ARIANE » 104
2. Des structures de contrôle de la qualité ne pouvant faire face aux flux de procédures 106
a) L’ampleur de la tâche d’enrichissement et de contrôle de la qualité 106
b) « Nous sommes défaillants depuis des années et des années. La défaillance n’a été que croissante. » 108
3. Prendre dès à présent les décisions nécessaires pour qu’ARIANE soit effectivement un progrès 109
a) Le déploiement laborieux de la nouvelle application commune à la police et à la gendarmerie 109
b) Définir des procédures adaptées de contrôle de la qualité des informations saisies 110
c) Garantir l’exactitude du stock d’informations anciennes qui seront transférées vers ARIANE 112
IV. RENDRE LES CONTRÔLES PLUS EFFICACES 115
A. LES INSUFFISANCES DU CONTRÔLE DES FICHIERS D’ANTÉCÉDENTS JUDICIAIRES PAR LES PARQUETS 115
1. Un cadre juridique clairement établi 115
2. Des mises à jour très insuffisantes en pratique 118
a) Une trop faible utilisation de la faculté de requalification lors de la réception des procédures 118
b) La prise en compte inégale et tardive des suites judiciaires 120
c) Garantir un traitement rapide des demandes de mise à jour adressées directement aux parquets 124
3. Le contrôle des fichiers d’antécédents judiciaires par les parquets est-il seulement « un concept » ? 127
D. L’ULTIME RECOURS DU DROIT D’ACCÈS INDIRECT 131
1. Les difficultés rencontrées pour faire face à la croissance des demandes 132
a) Un volume croissant de demandes adressées à la CNIL et des délais très longs 132
b) Une procédure complexe : l’exemple du droit d’accès indirect pour les fichiers d’antécédents judiciaires 133
c) Des moyens insuffisants pour des défis toujours plus nombreux : la difficile équation de la CNIL 135
2. L’accès aux données figurant dans les fichiers de renseignement 137
a) Les modalités particulières de communication prévues pour le fichier des renseignements généraux 137
b) Les fichiers de renseignement classés secret-défense 139
V. RESPECTER LES FINALITÉS 143
A. ACCROÎTRE LA LUTTE CONTRE LES CONSULTATIONS ABUSIVES 143
1. Divers degrés d’abus, dans un contexte susceptible d’en accroître la fréquence 144
2. La « tricoche » : un phénomène sévèrement sanctionné 146
3. Améliorer le contrôle d’accès et mettre en place des dispositifs d’alerte précoce 147
B. L’UTILISATION DES FICHIERS D’ANTÉCÉDENTS JUDICIAIRES DANS LE CADRE D’ENQUÊTES ADMINISTRATIVES : D’UNE UTILISATION ANNEXE À UNE PRATIQUE MASSIVE 149
1. Des possibilités très larges de consultation à des fins administratives 149
2. Une exigence particulière de discernement 151
C. LES ENJEUX D’UNE ADAPTATION AUX BESOINS ET DE LA MISE EN PLACE D’UNE VÉRITABLE DÉMARCHE PROSPECTIVE 155
1. Un fichier des brigades spécialisées « à bout de souffle » 155
2. Les expérimentations en cours dans le domaine du rapprochement : « les fichiers c’est utile… quand on sait ce que l’on cherche ! » 156
a) LUPIN et CORAIL : les nouveaux outils de la police pour lutter contre la délinquance sérielle 156
b) Les ambitions de la gendarmerie nationale 160
c) Un cadre législatif inadapté à l’utilisation accrue des fichiers de rapprochement 161
3. Pour une véritable démarche prospective 162
D. AMÉLIORER L’ENCADREMENT DES TRANSFERTS INTERNATIONAUX DE DONNÉES 167
1. Une première étape minimale d’harmonisation dans le cadre du troisième pilier de l’Union 167
2. La lente mise en œuvre du Traité de Prüm 170
3. La longue marche vers l’adoption d’une décision-cadre sur l’utilisation des données passagers 171
VI. CONTRÔLER LA TRANSITION ENTRE FICHIERS DE POLICE ET ACCOMPAGNER LEUR DESTRUCTION ÉVENTUELLE 175
A. LA DIFFICILE TRANSITION ENTRE FICHIERS DE POLICE 175
1. La fusion de deux fichiers de police : une reprise problématique de l’existant 175
2. Le démembrement d’un fichier de police : le délicat partage de l’héritage 177
a) La question du partage du FRG entre SDIG et DCRI 177
b) L’impossibilité complète d’alimentation : l’imbroglio juridique entourant le retrait d’EDVIGE 178
c) La désorganisation des services à la suite de la réforme des services de renseignements en 2008 179
B. ORGANISER LA DESTRUCTION DES FICHIERS DÉSUETS 181
1. Archiver ou détruire, il faut choisir ! 182
a) La mission « Archives des renseignements généraux » : donner une seconde vie à des informations ne répondant plus aux besoins opérationnels 182
b) Trier les archives centrales de la préfecture de police : « un monde englouti sous les papiers » 183
2. La fin programmée du FAR : la nouvelle « Arlésienne » ? 185
a) Un fichier au fonctionnement obsolète et inadapté 185
b) Un fichier auquel la gendarmerie est attachée et dont elle n’arrive pas à se détacher : « c’est la mémoire de la brigade qui va s’en aller » 187
c) La fin du FAR : une annonce sans véritable anticipation 189
3. La mort des fichiers de police 191
EXAMEN EN COMMISSION 193
SYNTHÈSE DES PROPOSITIONS 207
GLOSSAIRE 219
LISTE DES PERSONNES AUDITIONNÉES 223
LISTE DES DÉPLACEMENTS EFFECTUÉS 229
ANNEXES 235
PRÉAMBULE
La mission d’information sur les fichiers de police trouve directement sa source dans les travaux conduits par la commission des Lois dans le cadre des débats sur le fichier de renseignement « EDVIGE » (exploitation documentaire et valorisation de l’information générale). Une série complète d’auditions avait alors été menée et avait été suivie par l’adoption de recommandations figurant dans un rapport d’information du président de la commission, M. Jean-Luc Warsmann (().
Ces débats avaient souligné combien le domaine des fichiers de police restait trop peu connu et propice à de réelles inquiétudes des citoyens sur le respect des libertés publiques et la protection de leurs données personnelles. Or, les fichiers sont des outils tout à fait indispensables au travail quotidien des forces de sécurité intérieure, tant en matière d’identification des personnes, de recherche d’antécédents ou de rapprochements à même de faciliter l’élucidation des crimes et délits que dans le cadre des missions de renseignement liées à la sûreté de l’État.
Plusieurs rapports récents ont fait état de dysfonctionnements dans certains fichiers de police ainsi que d’une augmentation sensible de leur nombre comme de la quantité de données collectées. Pour autant, alors même qu’un contrôle démocratique paraît essentiel dans ce domaine, jamais le Parlement jusqu’ici n’avait étudié l’ensemble de cette problématique complexe, afin de disposer d’une vision d’ensemble sur la nature et l’évolution des fichiers de police.
Au demeurant, les travaux officiels sont également restés longtemps très peu nombreux, l’Institut national des hautes études de sécurité n’ayant par exemple jamais réalisé d’études sur cette question, et toujours fort ponctuels. Il a fallu attendre le rapport du groupe de travail sur les fichiers de police, en novembre 2006, pour disposer d’un premier état des lieux. Parallèlement, l’évolution rapide des technologies informatiques, avec les potentialités et les risques qu’elles comportent, amène à s’interroger sur les choix stratégiques que doit faire une démocratie mature dans ce domaine.
Le rapport de la mission d’information constitue donc la première étude réalisée par le Parlement en la matière. Aussi vos rapporteurs ont-ils souhaité entendre l’ensemble des acteurs concernés et rencontrer les utilisateurs et les gestionnaires des fichiers sur leurs lieux de travail.
L’enjeu n’est en effet pas mince : il s’agit de s’assurer du strict respect des droits et libertés des citoyens, mais aussi de la performance des instruments confiés aux gendarmes et policiers pour lutter contre la délinquance et la criminalité. Cette double ambition a continuellement animé vos rapporteurs tout au long de leur mission.
Ils tiennent à remercier l’ensemble des personnes auditionnées pour leurs contributions, ainsi qu’à saluer la disponibilité remarquable dont ont su faire preuve les services de la police, de la gendarmerie et de la justice qui ont été visités. Les personnels rencontrés lors des déplacements ont rendu compte sans fard de leurs conditions de travail réelles et de leurs attentes, et cette sincérité a été particulièrement précieuse.
INTRODUCTION
« Un habitant du Royaume […] ne pourrait se remuer sans son certificat, il ne pourrait être reçu nulle part sans ce certificat. Les mouvements de l’homme seraient portés sur son certificat. On saurait ce que devient un particulier quelconque depuis le premier moment de sa naissance jusqu’au dernier. De même qu’en une heure de temps le Magistrat de police parvient à déterrer à Paris par le moyen de son bureau et de ses doubles, le particulier le plus ignoré de la capitale, on parviendrait à l’aide du bureau général […] à découvrir de même le particulier le plus ignoré du Royaume. »
Cette phrase n’a pas été écrite par la plume de l’un des plus grands dictateurs du XXe siècle ou d’un auteur de science-fiction contemporain. Elle est l’œuvre d’un officier de la Maréchaussée d’Île-de-France du XVIIIe siècle, Guillauté. Ce dernier a rédigé, en 1749, un rapport intitulé Mémoire sur la réformation de la police en France, qui avait pour but de réduire les troubles à l’ordre public. Pour ce faire, il avait imaginé d’établir un « feuillet » par maison où seraient recensées toutes les informations concernant les habitants qui y demeurent (nom, âge, origine, qualités notamment). Parallèlement, chaque habitant du royaume aurait dû avoir en sa possession un certificat pour se loger et pour se déplacer. Avec ce double contrôle et grâce à un savant système d’archivage, la Police aurait pu « évanouir la distance » qui sépare les individus des policiers(2).
C’est aux XVIIIe et XIXe siècles que naît précisément la « société de la surveillance ». La démonstration en est donnée par Michel Foucault qui écrit dans Surveiller et punir que s’opère alors « la mise sous contrôle des moindres parcelles de la vie et du corps, dans le cadre de l’école, de la caserne, de l’hôpital ou de l’atelier ». Pierre Rosanvallon a d’ailleurs daté de la fin des années 1760 l’apparition du terme de « surveillance »(3).
La volonté de prévenir les troubles à l’ordre public s’incarne alors dans la constitution des premiers fichiers de police. Dès 1752, avait été mis en place un « livre rouge » à Paris, consignant l’identité et le signalement des coupables, ainsi que la nature de leur condamnation, et l’on sait que Fouché était réputé avoir fiché l’ensemble des Français.
Mais ce sont les débuts de la police scientifique qui, au XIXe siècle, fournissent les moyens de constituer des fichiers efficaces. Ainsi, en 1882 est créé un service anthropométrique puis un service photographique à la préfecture de police. La méthode de signalisation anthropométrique des personnes arrêtées et la technique de comparaison des empreintes digitales qui y sont élaborées seront copiées partout dans le monde.
C’est également à la fin du XIXe siècle que sont créés et que se développent les fichiers du contre-espionnage : « les carnets A recensent alors, dans chaque département les noms des étrangers résidant en France en âge de servir dans les armées et les carnets B ceux des Français soupçonnés d’espionnage ou d’antimilitarisme. » (4)
Depuis lors, les fichiers et les libertés publiques ont toujours entretenu des rapports conflictuels, vérifiant la formule d’Alain, selon laquelle la démocratie serait « un effort perpétuel des gouvernés contre les abus de pouvoir »(5). L’histoire politique de la France est émaillée de scandales mettant en jeu l’existence de fichiers occultes. C’est ainsi que l’affaire des fiches a déclenché l’une des plus grandes crises de la Troisième République. Nommé ministre de la guerre en 1900, le général André entreprend de républicaniser l’état-major des armées. Pour ce faire, il fait établir près de 25 000 fiches sur les opinions politiques et religieuses d’officiers. On peut y lire par exemple « VLM » pour « va à la messe », « grand avaleur de bon Dieu », « rallié à la République, n’en porte pas moins un nom à particule », « a qualifié les maçons et les républicains de canailles, de voleurs et de traîtres », « vit maritalement avec une femme arabe » ou encore « vieille peau fermée à nos idées ». Dès la révélation de l’existence de ces fiches, en 1904, le général André est contraint de démissionner (6).
*
* *
Si l’existence de fichiers suscitait déjà des craintes au début du XXe siècle, leur utilisation à des fins de crime contre l’humanité au cours de la deuxième guerre mondiale par le régime de Vichy pèse à l’évidence encore très lourd. De plus, même si les fichiers sont désormais utilisés dans un cadre républicain, les peurs sont amplifiées par l’apparition somme toute récente des méthodes de traitement informatique. Celles-ci n’ont pas que des inconvénients puisqu’en même temps qu’elles augmentent les possibilités de collecter, traiter et mettre à disposition des policiers et gendarmes une grande quantité de données, elles permettent d’assurer une traçabilité réelle des consultations qui n’existait pas avec les fichiers papiers. Mais, plus fondamentalement, l’informatisation des fichiers de police donne à nombre de nos concitoyens l’impression que prend progressivement vie le système imaginé par Guillauté. Se développe alors la peur de voir apparaître un État omniscient, capable de croiser toutes les nombreuses informations qu’il récolte à divers titres. Il est exact que l’informatique est à l’origine d’une mutation qui dépasse de très loin l’accroissement de la quantité des informations enregistrées. Une société de la surveillance généralisée est en effet techniquement possible en utilisant les multiples « traces » laissées par les individus lors de la plupart des actes de la vie quotidienne, sans même évoquer l’hypothèse d’une généralisation des interconnexions entre fichiers. Certes, il peut sembler paradoxal que les mêmes individus qui utilisent de plus en plus abondamment les possibilités offertes par l’informatique, parfois jusqu’à l’exhibitionnisme, redoublent d’inquiétudes pour le respect de leur vie privée. Cependant, une telle approche négligerait un fait important : les fichiers de police sont un instrument de pouvoir, et il n’est pas anodin que l’État collecte et exploite des informations multiples sur les citoyens. Il y a donc bien une différence de nature considérable entre les informations que chacun rend librement publiques sur Internet et les fichiers de données personnelles constitués et exploités par les forces de sécurité. Pour autant, interdire aux services de police de vivre avec leur temps et d’utiliser les outils d’aujourd’hui pour traquer délinquants et criminels reviendrait à se tirer une balle dans le pied, alors qu’il appartient à l’État d’assurer la protection des personnes et des biens. La fiche reste en effet au « cœur du métier » des policiers et gendarmes. Rétablir la confiance des citoyens quant à la protection de leurs libertés suppose, non pas que les forces de sécurité soient privées des nouvelles potentialités offertes par l’informatique, mais que des principes extrêmement clairs les encadrent et qu’un contrôle démocratique constant puisse s’exercer.
Ces dernières années, la multiplication du nombre de fichiers en service, souvent désignée sous le terme péjoratif de « prolifération », a pu alimenter les craintes de l’opinion publique. Le premier véritable travail de recensement a été réalisé en novembre 2006 à l’occasion du premier rapport du groupe de travail sur les fichiers de police, présidé par M. Alain Bauer. Il a été complété à l’occasion du deuxième rapport de ce même groupe, publié en décembre 2008. Vos rapporteurs ont aussi souhaité procéder à un recensement des 58 fichiers de police, actuellement utilisés ou en cours de création, qu’il a été possible de dénombrer. Le tableau figurant en annexe 1 détaille un certain nombre de caractéristiques de ces derniers, en retenant pour critère principal de classement la nature juridique du texte qui en est à l’origine. Les fichiers à usage de police ont également été retenus dans cet inventaire. Il s’agit de fichiers dont le but premier n’est pas la réalisation d’un travail d’investigation policière, mais pour lesquels des services de police disposent d’un droit d’accès permanent. En pratique, certains d’entre eux sont massivement utilisés, comme le fichier national des immatriculations. L’article 9 de la loi n° 2006-64 du 23 janvier 2006 relative à la lutte contre le terrorisme et portant dispositions diverses relatives à la sécurité et aux contrôles aéroportuaires a d’ailleurs étendu les possibilités de consultations de ce type de fichiers par les agents des services de police et de la gendarmerie chargés de la prévention et de la répression des actes de terrorisme (7).
Si l’on s’attache aux finalités des fichiers de police, plusieurs « familles » principales peuvent être identifiées.
De nombreux fichiers de police ont un caractère administratif et sont destinés à enregistrer des données administratives sur des personnes, des objets ou des moyens de transport. Peuvent être cités par exemple le fichier national des immatriculations (FNI) ou le fichier des propriétaires ou possesseurs d’armes (AGRIPPA). Les fichiers d’identification administrative sont proches de cette catégorie et recensent des populations (fichier relatif à la carte d’identité, fichier relatif aux passeports, fichier de suivi des titres de circulation délivrés aux personnes sans domicile ni résidence fixe, etc.).
La deuxième famille de fichiers de police correspond davantage au « cœur du métier » policier ; il s’agit des fichiers judiciaires au sens large. Parmi ceux-ci peuvent être distinguées plusieurs sous catégories :
— les fichiers à vocation judiciaire ont pour objet la collecte et la centralisation de renseignements destinés à lutter contre des infractions bien déterminées. Y figurent notamment le fichier des véhicules volés (FVV), le fichier national du faux monnayage (FNFM) ou le fichier des brigades spécialisées (FBS), lequel constitue un outil de travail des offices centraux de police judiciaire ;
— les fichiers d’antécédents judiciaires visent à collecter certaines informations extraites des procédures de police judiciaire, avec pour finalité de faciliter la constatation des infractions pénales, le rassemblement des preuves des infractions et la recherche de leurs auteurs. Cette catégorie est constituée par le système de traitement des infractions constatées (STIC), mis en œuvre par la police nationale, et par le système judiciaire de documentation et d’exploitation (JUDEX) de la gendarmerie nationale ;
— les fichiers d’identification judiciaire, dont l’objet est l’identification d’un auteur d’infraction ou d’une personne disparue. Ces fichiers ont considérablement bénéficié des avancées scientifiques et informatiques. Leur montée en puissance correspond au développement de la police technique et scientifique afin d’améliorer l’élucidation des crimes et délits. Les exemples les plus connus sont constitués par le fichier automatisé des empreintes digitales (FAED) et par le fichier national des empreintes génétiques (FNAEG).
Les fichiers de renseignement forment une catégorie très particulière, puisque ces derniers comprennent par nature des informations sensibles, par exemple lorsqu’ils contribuent à la prévention d’actes de terrorisme, mais aussi parce que certaines des données collectées sont avant tout d’ordre « qualitatif ». De ce fait, les règles relatives à la conservation des données y sont différentes des autres fichiers, le principe retenu étant celui de leur conservation « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées », selon les termes de l’article 6 de la loi n° 78-16 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Ces fichiers existent depuis fort longtemps et relèvent pleinement de la notion de « fichiers de souveraineté ». Certains sont assez peu connus du grand public, comme le fichier alphabétique de renseignement (FAR), tenu sous la forme de fiches papiers par les brigades de gendarmerie. D’autres ont récemment acquis une certaine notoriété, comme EDVIGE (exploitation documentaire et valorisation de l’information générale), qui était destinée à succéder à une partie du fichier des renseignements généraux (FRG). On peut d’ailleurs relever qu’à bien des égards les débats suscités par le décret relatif au fichier EDVIGE ont porté très exactement sur les mêmes points que ceux apparus plus de quinze ans auparavant lors de la publication initiale d’un premier décret portant création du FRG, en 1990, d’ailleurs rapidement retiré pour être réécrit.
Enfin, les progrès de l’informatique autorisent également une meilleure exploitation des informations disponibles par le biais de rapprochements. Les systèmes de traitement du renseignement semblent de ce fait appelés à de nouveaux développements. Jusqu’à présent, ils ont été cantonnés à l’identification de crimes ou de délits sériels graves. La gendarmerie a été pionnière en la matière au travers de son logiciel d’analyse criminelle (ANACRIM), qui fonctionne à partir de fichiers temporaires d’investigation criminelle élaborés exclusivement dans le cadre de procédures judiciaires. La police nationale a, pour sa part, conçu le système d’analyse et de liens de la violence associés au crime (SALVAC), mis en œuvre par l’office central de répression des violences aux personnes. Toutefois, l’application de doses plus ou moins prononcées d’intelligence artificielle est également prometteuse pour procéder à des recoupements dans les domaines de la petite et la moyenne délinquance. Des traitements adaptés peuvent contribuer à l’amélioration de la qualité de l’information mise à la disposition des enquêteurs et, partant, du taux d’élucidation. Plusieurs initiatives issues du terrain sont récemment apparues, notamment au sein de la préfecture de police de Paris avec CORAIL (logiciel mis en œuvre par la cellule de rapprochement et d’analyse des infractions liées) et LUPIN (logiciel d’uniformisation des procédures d’identification). Au vu des résultats très encourageants que ces expérimentations permettent d’espérer en termes d’élucidation, un débat sur une adaptation du cadre législatif des fichiers dits sériels est souhaitable.
Ce très rapide panorama souligne la grande diversité des fichiers de police. Si une conclusion inquiète en est généralement tirée, une analyse différente est possible. Les fichiers de police peuvent d’une certaine manière être d’autant plus nombreux qu’ils répondent à des besoins précis et ciblés et que leurs finalités distinctes sont très encadrées. De fait, leur multitude et leur segmentation mêmes témoignent de l’inexistence d’une forme de « méta fichier » tentaculaire. Le refus d’un fichage de police massif et généralisé ou d’une interconnexion des fichiers suppose nécessairement l’existence d’un certain nombre de fichiers aux finalités spécifiquement définies.
Néanmoins, le sentiment de crainte plus ou moins diffuse d’une partie de l’opinion publique s’appuie aussi sur l’idée d’une massification du fichage et d’une croissance irrépressible du nombre d’individus fichés. De ce point de vue, il est exact que les évolutions récentes se sont traduites par une augmentation sensible du volume de certains fichiers. C’est le cas tout particulièrement du STIC. 3,96 millions de personnes physiques mises en cause y figuraient en 2001. Ce nombre est passé à 5,58 millions au début de 2009, soit une progression du « stock » de près de 41 %. Il convient d’y ajouter 28,33 millions de personnes physiques victimes qui sont également inscrites dans le STIC. La croissance récente des fichiers d’identification judiciaire est également significative. En 1997, 889 755 individus étaient enregistrés dans le FAED ; ils étaient presque trois millions à la fin de 2008. Quant au FNAEG, créé ex nihilo par la loi du 17 juin 1998 relative à la répression des infractions sexuelles, il est passé de 2 635 individus inscrits en 2002 à 806 356 à la fin de 2008. L’augmentation du volume de cette base de données, au fonctionnement à vrai dire longtemps chaotique en raison d’un défaut d’anticipation lors de l’extension de son objet, est particulièrement rapide à partir de 2006, année à la fin de laquelle le FNAEG ne comprenait encore que 331 348 profils génétiques d’individus. Sa croissance s’établit donc à 143 % au cours des trois dernières années. Selon un responsable policier auditionné, ce fichier pourrait comprendre trois millions de personnes dans cinq ou six ans. Les graphiques suivants illustrent la croissance du volume des trois fichiers précités(8).
ÉVOLUTION DU VOLUME DES PRINCIPAUX FICHIERS DE POLICE
FICHIER AUTOMATISÉ DES EMPREINTES DIGITALES
FICHIER NATIONAL DES EMPREINTES GÉNÉTIQUES
SYSTÈME DE TRAITEMENT DES INFRACTIONS CONSTATÉES
L’augmentation du nombre de personnes fichées est un phénomène d’autant moins anodin que l’usage de certains fichiers n’est pas seulement limité à des fins policières. Les fichiers ont été utilisés dans le passé, de façon peu encadrée, afin de réaliser des « enquêtes de moralité », notamment pour l’accès à certaines professions sensibles, à des emplois publics, à la nationalité française ou pour l’obtention d’habilitations permettant de connaître d’informations classifiées. La loi du 15 novembre 2001 relative à la sécurité quotidienne a explicitement prévu la possibilité d’une consultation des traitements automatisés de données personnelles gérés par les services de police judiciaire ou de gendarmerie dans le cadre de certaines enquêtes administratives. La liste de ces dernières a été considérablement allongée par la loi du 18 mars 2003 relative à la sécurité intérieure. La CNIL estime qu’au total ce sont près d’un million d’emplois qui sont soumis à ce type d’enquête (9). Sont notamment concernées les professions relevant du domaine de la sécurité privée. Or, il s’agit d’un secteur en pleine expansion. La sécurité privée emploie en France 150 000 personnes, à comparer aux 125 000 policiers actifs et aux effectifs de la gendarmerie nationale, soit un peu moins de 100 000 militaires. Des évaluations prospectives estiment, par ailleurs, que dans dix ans les effectifs de la sécurité privée auront doublé et s’établiront à 300 000 emplois ; ils dépasseront alors ceux de la police et de la gendarmerie, qui seront demeurés stables. De fait, les fichiers d’antécédents judiciaires, et tout particulièrement le STIC, ont fait irruption dans la vie de nombre de nos concitoyens sous la forme lapidaire d’un courrier administratif de refus d’agrément, expliquant que les mentions dans un traitement automatisé géré par les autorités de police emportent incapacité d’exercer l’emploi désiré. Or, dans bien des cas les faits reprochés ne sont pas forcément si importants qu’ils s’opposent à l’agrément, voire sont erronés ou n’auraient même pas dû figurer dans le fichier si les règles de conservation des données avaient été bien appliquées. Quoi qu’il en soit, la lourdeur des diverses voies de recours et leur lenteur font que, pour l’intéressé, la possibilité d’obtenir un emploi est définitivement perdue. L’exigence de bonne tenue des fichiers ne concerne donc plus seulement l’enquêteur, en droit d’attendre une information exacte ; elle est devenue la condition nécessaire d’un égal accès à l’emploi.
L’une des questions désormais posées est donc celle des limites à ce phénomène de massification du volume des fichiers, notamment s’agissant de ceux destinés à l’identification. Malgré le champ très large des possibilités de signalement des empreintes digitales ou génétiques, il est probable qu’un « plateau » finira par être atteint dans un délai assez rapproché. Toutefois, les exemples fournis par des États étrangers qui constituent de grandes et anciennes démocraties ne sont pas sans inquiéter sur la tentation d’une extension inconsidérée des bases informatiques d’identification des individus.
*
* *
De ce point de vue, le cas du fichier des empreintes génétiques mis en place au Royaume-Uni est particulièrement intéressant, non seulement parce qu’il illustre une politique très différente de celle choisie en France, mais aussi parce qu’il est souvent présenté comme une préfiguration des évolutions à venir (10).
Créée par une loi de 1994, la National DNA Database a atteint les 4 millions de profils d’individus enregistrés à la fin de 2006, et elle croît d’environ 30 000 profils par mois. La NDNAD constitue ainsi la plus importante base de donnée d’empreintes génétiques au monde, tant en valeur absolue que rapportée à la population : ce taux atteint désormais 7,4 % de la population britannique, contre 1,25 % en France(11). On relèvera que cette disproportion se manifeste également, quoique de façon moins connue, s’agissant des empreintes digitales : le National Automated Fingerprint Information System (NAFIS) comprenait 7,1 millions d’individus en 2007, soit près de 12 % de la population du royaume (4,7 % en France). Le choix britannique a été de recueillir de manière aussi large que possible les empreintes génétiques. Le Criminal Justice Act de 2003 a ainsi donné des pouvoirs supplémentaires à la police en vue de la collecte de prélèvements biologiques sans le consentement des personnes, lesquels sont désormais possibles sur tous les individus arrêtés pour une infraction susceptible de faire l’objet d’un enregistrement dans un fichier de police (recordable offence), quelles que soient les suites judiciaires données à l’affaire. Le champ couvert par ces infractions est ainsi particulièrement large. On peut, en outre, rappeler que les garanties d’exactitude des données sont bien moins exigeantes dans le cas de la NDNAD que dans celui du FNAEG. Les données figurant dans le fichier français font systématiquement l’objet d’une double saisie (contre un quart de double saisie des analyses, réalisées de manière aléatoire, au Royaume-Uni) et les prélèvements biologiques eux-mêmes sont conservés. Quant à la durée de conservation des données, elle peut s’étendre au Royaume-Uni jusqu’au centième anniversaire de la personne ayant fait l’objet d’un prélèvement biologique. On notera enfin que la taille du NDNAD n’est pas sans incidence sur son coût, le contribuable britannique ayant dépensé à ce titre près de 300 millions de livres au cours des cinq dernières années.
La collecte de données sensibles fait certes l’objet de perceptions très différentes en France et au Royaume-Uni. En témoigne notamment le degré pour le moins étonnant de détails exigés s’agissant des caractéristiques ethno-raciales, de la religion ou de l’orientation sexuelle, à l’occasion d’une simple candidature à un emploi dans la police. Une copie du formulaire à remplir à cet effet figure en annexe 5. Malgré tout, face à l’extension considérable des pouvoirs confiés à la police, les mentalités évoluent au Royaume-Uni et des craintes commencent à contrebalancer sérieusement les bénéfices supposés d’un fichage très étendu. À l’occasion de la présentation d’un projet de mise en place d’une nouvelle base de donnée informatisée du National Health Service, le ministre de la santé publique a indiqué que le but poursuivi à long terme était d’y inscrire les profils génétiques de l’ensemble de la population. Le coût estimé du projet, dont le déploiement est prévu à partir de 2012, représenterait 12 milliards de livres. La concomitance de cette annonce avec la discussion d’un projet de loi (Coroners and Justice Bill) comprenant des modifications de la loi sur la protection des données et permettant un élargissement très sensible des possibilités d’échanges d’informations a fait craindre à certaines organisations de défense des libertés la mise en place d’une sorte de fichier d’identification généralisé accessible aux forces de police (12).
Un récent rapport de la Chambre des Lords, intitulé Surveillance : les citoyens et l’État (13), a estimé que l’accroissement des pratiques de surveillance, tant publiques que privées, « représente l’un des changements les plus significatifs dans la vie de la nation depuis la fin de Deuxième Guerre mondiale ». Il y est ainsi relevé que la généralisation de la surveillance, devenue massive et routinière, exerce une influence puissante sur la nature des relations entre l’État et les citoyens.
Parmi les 44 propositions du rapport figure la modification du cadre législatif du NDNAD, de manière à limiter les inscriptions dans ce fichier aux cas pour lesquels cela est vraiment justifié. Il s’agit notamment de tenir compte à cette occasion de l’arrêt de la Cour européenne des droits de l’homme du 4 décembre 2008 (affaire S. et Marper c. Royaume-Uni), condamnant le royaume pour violation de l’article 8 de la Convention européenne des droits de l’Homme (14). La Cour a en effet observé que « la protection offerte par l’article 8 de la Convention serait affaiblie de manière inacceptable si l’usage des techniques scientifiques modernes dans le système de la justice pénale était autorisé à n’importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d’un large recours à ces techniques, d’une part, et des intérêts essentiels s’attachant à la protection de la vie privée, d’autre part ». Les circonstances des affaires en question méritent d’être rappelées. Le premier requérant avait été arrêté en 2001, à l’âge de onze ans, pour une tentative de vol avec violence. Il fut par la suite acquitté. Le second, arrêté et inculpé de harcèlement à l’égard de sa compagne, bénéficia par la suite d’un classement sans suite pour retrait de plainte (il s’était entre-temps réconcilié avec l’intéressée). Dans les deux cas, leurs demandes de retrait de leurs empreintes digitales et biologiques des fichiers furent refusées. La Cour a considéré « que le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d’avoir commis des infractions mais non condamnées, tel qu’il a été appliqué aux requérants en l’espèce, ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu, et que l’État défendeur a outrepassé toute marge d’appréciation acceptable en la matière. Dès lors, la conservation litigieuse s’analyse en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne peut passer pour nécessaire dans une société démocratique. » Après que le Gouvernement britannique eut déclaré être « déçu » par la décision de la Cour, le 16 décembre 2008 le ministre de l’Intérieur a indiqué que le Gouvernement entamait les travaux sur un Livre blanc sur les preuves médico-légales, qui traiterait notamment de la question des délais de conservation des données collectées dans le NDNAD.
*
* *
L’ampleur prise par les activités policières de surveillance et de fichage au Royaume-Uni est parfois perçue comme un « modèle », positif ou négatif selon les opinions, mais dont la transposition en France serait en tout état de cause inéluctable. Jusqu’à présent, cette crainte paraît injustifiée ; encore faut-il qu’un choix soit pleinement explicité pour l’avenir. Force est de constater, sur un plan pratique, que c’est précisément l’antériorité de l’expérience britannique en matière d’empreintes génétiques qui a permis à la France d’éviter un certain nombre de dérives, en mettant en place un dispositif à la fois plus proportionné aux finalités poursuivies et plus sûr s’agissant de l’exactitude des informations collectées. Il faut toutefois rester attentif à des évolutions qui peuvent parfois présenter de grandes similarités. La question de la finalité du traitement automatisé centralisé destiné à archiver les empreintes digitales relevées pour l’établissement la future carte d’identité « biométrique » méritera à cet égard un débat des plus approfondis à l’occasion de l’examen du futur projet de loi relatif à la protection de l’identité. Un tel traitement pourrait en effet contenir des données relatives à la presque totalité de la population, ce qui pose naturellement la question de son utilisation éventuelle pour d’autres usages que la simple authentification des documents d’identité.
Plus largement, la conception de la protection des libertés publiques et individuelles diffère entre les deux nations. L’histoire des fichiers de police et de leur contrôle est marquée en France par une très grande méfiance vis-à-vis de l’État. On sait combien la loi de 1978, relative à l’informatique, aux fichiers et aux libertés, doit au trouble engendré par la révélation en 1974 de l’existence d’un projet dit SAFARI (système automatisé pour les fichiers administratifs et le répertoire des individus) (15). De cette idée d’une identification individuelle des 52 millions de Français d’alors, il est paradoxalement résulté l’instauration d’un système de contrôle des données personnelles à l’époque très en avance sur le reste de l’Europe, et qui a largement fait école. L’actualité plus récente liée au fichier EDVIGE montre que cette vigilance n’a pas diminué, loin s’en faut.
Mais, l’honnêteté commande également de relever qu’il existe aussi une véritable différence de conception du rôle du fichier entre les policiers français et leurs homologues anglo-saxons. On ne peut véritablement parler d’une « doctrine française » en la matière, dans la mesure où elle n’a malheureusement pas été exprimée jusqu’ici avec la clarté et la publicité nécessaires, mais c’est tout de même bien de cela dont il s’agit au fond. Jusqu’à présent, un certain empirisme a occupé une place déterminante dans la mise en service de fichiers de police en France ; la création d’un fichier ayant toujours procédé d’un besoin concret, il serait illusoire de penser que toute forme d’empirisme pourrait disparaître dans ce domaine à l’avenir, tant au regard de l’évolution de la délinquance que des technologies. En revanche, notre pays aurait tout à gagner à la formalisation d’une doctrine française en matière de fichiers de police, s’appuyant tant sur des principes clairs s’agissant de protection des libertés que sur une certaine conception du savoir faire policier, où l’utilité et la nécessité du fichier informatique sont assumées avec la claire conviction que la machine ne remplacera jamais l’enquêteur. L’affirmation d’un tel choix stratégique permettrait certainement de rassurer les citoyens, et ainsi de sortir d’une situation où les craintes sont d’autant plus fortes qu’il y a un déficit de transparence, le plus souvent faute de débat démocratique. L’absence d’une telle clarification s’avère finalement nuisible pour la performance des outils dont disposent les policiers et les gendarmes, ainsi que pour la confiance que doivent avoir les citoyens dans leurs forces de sécurité.
Pour reprendre l’expression d’un responsable d’un service de renseignement entendu par les rapporteurs, dans bien des domaines « les États-Unis font du chalut, et nous du harpon ». Cette observation s’applique de manière assez générale au rôle assigné aux fichiers de police dans le monde anglo-saxon, où des outils très performants de connaissance approfondie du milieu criminel et de ses évolutions sont mis en œuvre, notamment à des fins statistiques et d’analyse stratégique. Mais les moyens considérables, financiers comme humains, qui sont consacrés dans ce pays à ce genre d’instruments ne constituent pas pour autant la garantie d’un meilleur taux d’élucidation. La Serious Organized Crime Agency (SOCA) britannique dispose ainsi, semble-t-il, d’une vision d’une très grande qualité s’agissant de l’organisation et des caractéristiques des trafics de drogues ; cela n’empêche pas la situation du Royaume-Uni dans ce domaine d’être sensiblement plus dégradée que celle de la France, tout particulièrement en ce qui concerne l’héroïne et les drogues de synthèses.
De la même façon qu’en matière de renseignement la France a misé sur la qualité du renseignement humain, en matière de fichiers de police l’approche française se traduit dans l’ensemble par la volonté de disposer d’outils aussi opérationnels que possible et offrant une véritable plus-value pour l’enquêteur. L’émergence de nouveaux fichiers de rapprochement, conçus le plus souvent par les utilisateurs eux-mêmes, confirme largement cette tendance profonde. De fait, la prise en compte des besoins conduit à limiter le champ des informations retenues et utilisées à celles véritablement utiles, et permet de s’orienter vers des instruments ciblés, respectant une proportionnalité avec les fins poursuivies. C’est ce caractère essentiel qu’il convient de souligner et d’utiliser comme critère de sélection des fichiers à créer : l’enquêteur doit toujours avoir la maîtrise de l’outil, ce dernier étant à son service, et l’ordinateur n’a pas vocation à remplacer le policier. De ce point de vue, la masse des informations collectées importe autant, si ce n’est moins, que leur nature, la taille d’une base de données ne pouvant être en soi un critère d’efficacité.
Ces fins ne doivent pas être perdues de vue dans les débats sur les fichiers de police : il s’agit en effet de la capacité des forces de sécurité républicaines à faire face efficacement à la délinquance et à la criminalité, ainsi qu’à leurs évolutions. Aussi vos rapporteurs partagent-ils la conviction manifestée par l’ensemble des policiers et gendarmes rencontrés : « nous avons besoin de fichiers efficaces. » De fait, le débat sur les fichiers de police est lié à celui sur les moyens dont sont dotées les forces de sécurité intérieure.
*
* *
De ce point de vue, les principes posés par la loi de 1978 n’ont pas vieilli. Les données collectées dans les traitements automatisés doivent l’être « pour des finalités déterminées, explicites et légitimes » ; elles doivent être « adéquates, pertinentes et non excessives » au regard de ces finalités, tout en étant « exactes complètes et, si nécessaire, mises à jour » ; enfin, elles doivent être conservées « pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».
C’est à l’aune de ces principes que vos rapporteurs ont souhaité examiner comment « vivent » très concrètement les fichiers de police, de leur naissance à leur éventuelle disparition. En effectuant ce travail, ils ont acquis la conviction profonde que la fiabilité et la performance des outils dont disposent les policiers et les gendarmes sont indissociables de la meilleure protection des données personnelles et des libertés des citoyens. Ces deux aspects d’un même problème vont de pair, contrairement à certaines idées reçues. Vos rapporteurs ont également attaché une importance toute particulière aux déplacements au sein des services mettant en œuvre ou contrôlant ces fichiers, afin de rencontrer dans leur activité quotidienne les personnels chargés de ces tâches. Cette démarche pragmatique leur a permis de mieux appréhender des situations qui peuvent au premier abord sembler fort prosaïques, mais dont la connaissance permet en fait de ne pas s’enfermer dans un débat par trop théorique, au risque de simplifier exagérément une réalité très complexe. Vos rapporteurs ont délibérément choisi de ne pas adopter une approche descriptive et exhaustive de l’ensemble des fichiers de police ou à usage de police, certains de ces derniers, notamment en matière de politique d’immigration, nécessitant sans doute un travail spécifique à eux seuls ; au contraire, ils ont préféré retenir les exemples les plus révélateurs du fonctionnement ou des dysfonctionnements de tel ou tel fichier, ou type de fichiers, pour faire ressortir des questions saillantes et apporter des propositions adaptées et pragmatiques d’amélioration des outils et des garanties.
Au terme de cette mission d’information de six mois, vos rapporteurs considèrent que la République a de nombreux défis à relever s’agissant des fichiers de police. Certes, ils ont pu s’assurer que, pour l’essentiel, dans leurs principes constitutifs, ces fichiers respectent les libertés fondamentales. Mais, en pratique, la situation actuelle est loin d’être satisfaisante. La défaillance, l’inexactitude, les dysfonctionnements dans la gestion de certains fichiers ont une incidence réelle et préjudiciable pour certains citoyens. Les garanties de contrôles, prévues par les textes, sont en réalité faibles et ne sont pas à la hauteur de ce que l’on est en droit d’attendre d’une grande démocratie. De plus, les fichiers et outils informatiques les plus utilisés quotidiennement par les policiers et gendarmes ne sont pas toujours performants et reposent parfois sur des technologies obsolètes. C’est pourquoi vos rapporteurs appellent de leurs vœux une refonte du cadre juridique régissant la création et le fonctionnement des fichiers de police, ainsi qu’un effort soutenu de modernisation technique.
I. CLARIFIER LE CADRE JURIDIQUE
La protection des données à caractère personnel fait partie intégrante des libertés et droits fondamentaux reconnus à chaque citoyen. À cet égard, si la répression et la poursuite des infractions pénales ainsi que le maintien de l’ordre public sont des objectifs légitimes, justifiant l’existence des fichiers de police et d’un régime juridique dérogatoire emportant restrictions et limites au droit commun des fichiers, ils ne peuvent cependant pas permettre d’écarter tout encadrement juridique réel de ces fichiers.
En effet, l’obligation de respecter le principe de proportionnalité s’applique à toute mesure restreignant le droit au respect de la vie privée, tel qu’il est protégé par l’article 8 (16) de la Convention de sauvegarde des Droits de l’Homme et des libertés fondamentales. Cette exigence implique une législation, qui, d’une part, soit suffisamment claire dans la définition des circonstances, de l’étendue et des modalités d’exercice des mesures limitant les droits fondamentaux, et qui, d’autre part, n’apporte que les restrictions strictement nécessaires à l’exercice de ces droits.
C’est pourquoi la France a adopté, dès la fin des années 1970, une loi fondatrice (17), pierre angulaire de la protection des citoyens face aux traitements de données à caractère personnel. Or, ce cadre juridique national a devancé la mise en place de règles au niveau international. En effet, il faudra attendre les années 1980 pour que, par crainte que les législations nationales n’entravent la libre circulation des données, se dessinent les contours d’une législation européenne voire internationale en la matière. Aujourd’hui, ce cadre juridique européen et international a enrichi le droit interne de la protection des données, l’obligeant notamment à se conformer aux divers accords internationaux.
A. LES GRANDS PRINCIPES PRÉSIDANT À LA CRÉATION DES FICHIERS DE POLICE
Les conditions de création et de fonctionnement des fichiers de police s’inscrivent aujourd’hui dans un cadre juridique complet qui, défini au niveau international et européen, prend tout son sens au niveau national, où il trouve, dans la loi du 6 janvier 1978, ses prolongements naturels.
1. Le cadre juridique international et européen
Nombreux sont les textes internationaux, qui prévoient des dispositions spécifiques aux fichiers de police. L’article 55 de la Constitution du 4 octobre 1958 consacrant la primauté des traités et accords internationaux sur le droit national, les textes internationaux définissant le cadre juridique des fichiers de police s’imposent en droit interne.
a) Les textes de protection de l’Union européenne
• Directive européenne 95/46/CE du 24 octobre 1995 sur la protection des données à caractère personnel et à la libre circulation de ces données
Si l’échange d’informations est au cœur de la coopération policière européenne, le cadre juridique européen s’est longtemps désintéressé de cette question. En effet, la directive européenne du 24 octobre 1995 définit les règles applicables en matière de protection des données à caractère personnel uniquement pour les bases de données relevant du premier pilier (18). Ainsi, l’article 3 de la dite directive dispose que la présente directive ne s’applique pas aux données personnelles échangées dans le cadre du 3e pilier : « La présente directive ne s’applique pas au traitement de données à caractère personnel mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal. »
• Traité de Prüm du 27 mai 1995
Le Traité de Prüm a été signé le 27 mai 2005 entre sept états membres (19) de l’Union Européenne. Il renforce la coopération entre États, afin de lutter contre le terrorisme, la criminalité transfrontalière et l’immigration illégale. Établi à l’origine en dehors du cadre des Traités de l’Union Européenne, ce traité prévoit l’échange de données génétiques, d’empreintes digitales et de données à caractère personnel.
Le Traité de Prüm a constitué une nouvelle étape dans la coopération judiciaire et policière en facilitant, dans un but répressif, la consultation des bases de données de profils ADN de chaque État partie au Traité. En outre, dans un but préventif et répressif, il permet la consultation des bases de données dactyloscopiques (empreintes digitales), ainsi que de données figurant dans les registres d’immatriculation des véhicules de chaque État signataire.
L’approfondissement de la coopération policière et judiciaire en matière pénale va de pair avec le respect des droits fondamentaux, en particulier le droit au respect de la vie privée et le droit à la protection des données à caractère personnel. C’est pourquoi, l’intensification des échanges de données rendue possible par le Traité de Prüm s’accompagne de la définition de règles relatives à la protection des données personnelles des individus. Il convient toutefois de souligner qu’il n’est procédé à aucun transfert direct de données entre les pays signataires. Seule une procédure de consultation des données est mise en place. Cet échange d’informations repose sur un système de concordance / non-concordance (plus communément appelé « hit – no hit »), permettant dans un premier temps de comparer des profils anonymisés (20).
En tout état de cause, ce traité impose aux États signataires de garantir un niveau minimal de protection avant de mettre en œuvre les échanges de données. L’article 34 se réfère précisément à la Convention du Conseil de l’Europe du 28 janvier 1981, à son protocole additionnel du 8 novembre 2001 et à la Recommandation n° R (87) 15 du Comité des ministres du Conseil de l’Europe aux États membres relative à l’utilisation de données à caractère personnel dans le domaine policier. Les dispositions du Traité de Prüm rappellent les principes fondamentaux en matière de protection des données, à savoir : la finalité du traitement des données, l’exactitude des données, la mise à jour des données, la mise en place de sécurités informatiques, la traçabilité des consultations.
• Décision-cadre relative à la protection des données personnelles du 27 novembre 2008
La décision-cadre relative à la protection des données personnelles du 27 novembre 2008 est venue définir, à l’échelle européenne, les règles juridiques relatives aux fichiers de police et aux échanges d’informations dans le cadre du troisième pilier, à savoir la coopération policière et judiciaire en matière pénale. Le cadre juridique ainsi établi reste cependant minimaliste dans la mesure où cette décision-cadre ne porte que sur les données à caractère personnel qui « sont ou ont été transmises ou mises à disposition entre les États membres » (article premier), ou entre systèmes d’informations européens et États membres. Sont expressément exclus les « intérêts essentiels en matière de sécurité nationale et des activités de renseignement spécifiques dans le domaine de la sécurité nationale ».
• Charte européenne des droits fondamentaux du 7 décembre 2000
Adoptée à l’occasion du traité de Nice, la Charte européenne des droits fondamentaux a consacré le droit à la protection des données à caractère personnel comme valeur fondamentale de l’Union Européenne. Son article 7 précise, en effet, que : « Toute personne a droit à la protection des données à caractère personnel la concernant. Les données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante ». La Charte n’est pour le moment pas contraignante, bien qu’elle soit régulièrement citée en référence par les institutions de l’Union européenne. Si le Traité de Lisbonne venait à être ratifié par l’ensemble des États membres de l’Union européenne, la Charte européenne des droits fondamentaux aurait alors une valeur juridique contraignante pour les États.
• Les accords de Schengen
Les accords de Schengen du 14 juin 1985 (21) et du 19 juin 1990 (22) ont pour objet la suppression des contrôles de personne aux frontières communes entre ces États et le renforcement de la coopération policière, douanière et judiciaire, ce qui entraîne le report des contrôles aux frontières extérieures, avec définition des conditions de leur franchissement, harmonisation des conditions d’entrée et de visas pour les courts séjours et surveillance de l’immigration clandestine.
L’échange d’informations étant à la base du renforcement de la coopération policière, douanière et judiciaire, la « clef de voûte » de ces accords a été la création du Système d’Information Schengen (SIS), fichier de police comportant des signalements, notamment d’étrangers. L’importance du SIS se reflète, en outre, dans la place qu’il occupe dans la convention d’application de l’accord Schengen (23).
Le chapitre III du titre consacré au SIS fixe les règles relatives à la protection des données à caractère personnel applicables à ce système. Les États sont en effet tenus par un certain nombre d’obligations : respecter la finalité du fichier et ne pas utiliser les données à des fins administratives (article 102), assurer la sécurité des données en empêchant l’accès au système de personnes non autorisées. Il convient de noter que, contrairement à l’interdiction posée dans la Convention de Schengen, l’accès aux données Schengen est désormais effectif pour Europol (24) et Eurojust (25). Les données doivent être exactes et actuelles. Leur intégration dans le fichier doit être licite, sous peine d’engager la responsabilité de l’État signalant (article 105).
Les données introduites par un État signalant ne peuvent être modifiées, complétées, rectifiées ou effacées que par lui. Mais l’État non signalant doit, s’il constate une erreur, en informer sans délai l’État signalant. En application de l’article 114 de la Convention de Schengen, chaque État doit désigner une autorité de contrôle chargée d’exercer un contrôle indépendant du SIS pour sa partie nationale. Cette autorité de contrôle s’assure notamment que les données intégrées sur la partie nationale du SIS ne sont pas attentatoires aux droits de la personne concernée.
La convention de Schengen a également prévu la création d’une autorité de contrôle commune (ACC), aux différents États membres, composée de deux représentants de chaque autorité nationale. Depuis une décision du Conseil du 10 juillet 1999, l’autorité de contrôle commune a été rattachée au secrétariat général du Conseil de l’Union européenne. Son rôle reste aussi difficile que restreint. Le 18 décembre 2007, M. Georges de la Loyère, commissaire de la CNIL, a été élu président de l’ACC Schengen pour deux ans.
• La Convention Europol du 26 juillet 1995
Europol a été créé par un acte du Conseil en date du 26 juillet 1995 portant établissement de la convention portant création d’un Office européen de police, dite « convention Europol ». Le champ de compétence d’Europol, déterminé par sa convention, a été considérablement étendu depuis sa création par trois protocoles et couvre désormais l’ensemble de la criminalité transnationale organisée.
L’intervention d’Europol est soumise à deux conditions : que deux États membres au moins soient affectés et qu’une organisation criminelle soit impliquée. Son rôle est essentiellement un rôle d’assemblage et d’analyse d’informations, raison pour laquelle a été créé un système d’information Europol accessible aux agents des États habilités, ainsi qu’aux officiers de liaison et agents d’Europol.
Une autorité de contrôle indépendante, composée de représentants de chacune des autorités de contrôle nationales chargées de la protection des données personnelles, s’assure du respect par Europol des dispositions de la Convention sur la protection des données.
L’autorité de contrôle commune d’Europol est chargée d’examiner les instructions de création de fichiers, les dispositions relatives à l’établissement de rapports sur les demandes concernant des données à caractère personnel, les règles générales pour la transmission par Europol de données à caractère personnel à des États et instances tiers.
Pouvant être saisie par toute personne, elle doit également surveiller l’exercice du droit d’information prévu à l’article 24, paragraphe 3 de la Convention Europol, et examiner, à la demande de toute personne concernée, si les éventuels collecte, stockage, traitement et utilisation de données à caractère personnel la concernant ont été effectués au sein d’Europol de façon licite et correcte.
Le titre IV de la Convention Europol, intitulé « Dispositions communes relatives au traitement de l’information » fixe les règles relatives à la protection des données à caractère personnel applicables au système d’information Europol. Les États sont en effet tenus de respecter un certain nombre d’obligations. L’article 14 dispose que les États membres doivent assurer en droit interne un niveau de protection des données à caractère personnel « correspondant au moins à celui qui résulte de l’application des principes de la Convention du Conseil de l’Europe du 28 janvier 1981 et tient compte à cet égard de la recommandation R (87) 15 du Comité des ministres du Conseil de l’Europe, du 17 septembre 1987, sur l’utilisation des données à caractère personnel par la police ». À l’instar du niveau de protection des données exigé des États membres, Europol doit, lors de la collecte, du traitement et de l’utilisation de données à caractère personnel, respecter « les principes de la convention du Conseil de l’Europe du 28 janvier 1981, et de la recommandation R (87) 15 du Comité des ministres du Conseil de l’Europe du 17 septembre 1987 ».
L’article 15 établit un régime dual de responsabilité en matière de protection des données, qui couvre « le caractère licite de la collecte, de la transmission à Europol et de l’introduction ainsi que l’exactitude, l’actualité des données et le contrôle des délais de conservation ». Alors que les États membres sont responsables des données qu’ils ont introduites ou transmis, Europol est responsable des données qui lui ont été transmises par des tiers ou qui résultent des travaux d’analyse d’Europol. Aux termes de l’article 21 de la Convention, les données ne doivent être conservées que le temps nécessaire pour permettre à Europol de remplir ses fonctions. La nécessité de continuer à conserver les données doit être examinée au plus tard trois ans après leur introduction.
Aux termes de l’article 17 de la Convention, les États ont également une obligation de respecter la finalité du système d’information d’Europol. Ainsi, les données à caractère personnel ne peuvent être utilisées ou transmises « que par les services compétents des États membres pour prévenir et lutter contre la criminalité relevant de la compétence d’Europol et contre les autres formes graves de criminalité ».
b) Les autres instruments internationaux
• Les textes du Conseil de l’Europe
Le Conseil de l’Europe s’est doté d’un ensemble de textes en matière de protection des personnes à l’égard des fichiers automatisés.
La Convention STE 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel (26) a constitué, à l’échelle européenne, le premier instrument international contraignant, ayant pour double objectif d’une part de protéger les personnes contre l’usage abusif du traitement automatisé des données à caractère personnel et, d’autre part, de réglementer les flux transfrontaliers des données. Cette Convention prévoit plusieurs garanties en matière de traitement des données à caractère personnel. D’une part, elle proscrit le traitement des données « sensibles » relatives à l’origine raciale, aux opinions politiques, à la santé, à la religion, à la vie sexuelle et aux condamnations pénales en l’absence de garanties offertes en droit interne. La Convention garantit d’autre part le droit des personnes concernées de connaître les informations stockées à leur sujet et d’exiger le cas échéant des rectifications, sauf lorsque les intérêts majeurs de l’État (sécurité publique, défense, etc.) sont en jeu. La Convention impose enfin des restrictions aux flux transfrontaliers de données dans les États où n’existe aucune protection équivalente.
Adoptée en application de la Convention n° 108, la Recommandation R. (87) 15 du Comité des ministres du Conseil de l’Europe (27) fait partie intégrante des règles encadrant l’exploitation des fichiers de police que la France s’est engagée à respecter dans le cadre des accords internationaux la liant à ses partenaires de l’Union Européenne. Aux termes de ce texte, la création, l’organisation et les conditions de fonctionnement des fichiers de police relèvent de la loi, qui doit définir avec précision l’étendue et les modalités d’exercice du pouvoir des services de police. La Cour européenne des droits de l’homme a rappelé dans un arrêt en date du 16 février 2000 (Amman contre Suisse) que les dispositions législatives doivent être suffisamment claires et détaillées pour assurer une protection adéquate contre les ingérences des autorités dans le droit du citoyen à sa vie privée. Ainsi, non seulement les fichiers doivent être encadrés par des textes, mais en outre ces textes doivent présenter une certaine qualité que la CEDH se réserve la possibilité de contrôler.
Par ailleurs, le principe de respect des finalités des fichiers est un principe fondamental, y compris pour des fichiers de police. L’article 5.2.i de la Recommandation précise que l’utilisation d’un fichier de police à des fins autres que la prévention et la répression des infractions pénales et le maintien de l’ordre public ne devrait être possible que dans des cas déterminés et sous certaines conditions. La CNIL s’était d’ailleurs, dans un premier temps (28), opposée à toute consultation d’un fichier de police judiciaire à l’occasion des enquêtes dites de moralité. En outre, les données ne peuvent être communiquées à d’autres services de police, que s’il existe un intérêt légitime à cette communication (article 5.1 de la Recommandation). Ce principe exclut le croisement sans conditions et sans réserves des différents fichiers de police.
Si la Recommandation dispose qu’il doit être veillé à l’exactitude et à la fiabilité des données (articles 5.5.ii et 7.2 de la Recommandation), les données doivent également être différenciées en fonction de leur degré d’exactitude ou de fiabilité. Les données fondées sur des faits doivent ainsi être différenciées de celles fondées sur des opinions ou appréciations personnelles. En outre, les données collectées à des fins administratives doivent faire l’objet d’un enregistrement distinct dans un fichier séparé et les États doivent prendre toutes les mesures nécessaires pour que les données administratives ne soient pas soumises aux règles applicables aux fichiers de police.
S’agissant de la communication des données, celle-ci ne peut s’effectuer qu’après vérification de la qualité des données et l’indication au destinataire du degré de fiabilité et d’exactitude des données. Enfin, l’ingérence de la police dans les droits de l’individu doit pouvoir être contrôlée par une autorité indépendante (articles 6.1, 6.6 et 7.2. de la Recommandation) et en dernier recours par le pouvoir judiciaire.
La Recommandation R. (87) 15 constitue donc le prisme au travers duquel la Cour européenne des droits de l’homme examine les dispositions législatives nationales en matière de fichiers de police, notamment lorsqu’elle est saisie de recours relatifs à l’examen du respect du principe de proportionnalité entre l’atteinte portée aux principes essentiels en matière de protection des données et le but légitime poursuivi.
Cette Recommandation a été ratifiée par la France le 24 mars 1983 et a fait l’objet d’une publication par décret le 15 novembre 1985. Elle est donc aujourd’hui partie intégrante du droit positif français. En effet, les Traités ont, aux termes de l’article 55 de la Constitution du 4 octobre 1958, « une autorité supérieure à celle de la loi ». La Convention a cependant laissé le soin au législateur interne d’adopter les mesures nécessaires à son application (29), ce qui ne lui donne pas d’effet direct en droit interne. Pour pallier cette difficulté, la CNIL n’a cessé de prendre en compte les dispositions de la Convention dans de nombreux domaines. Ainsi, la CNIL a toujours interprété la notion de données à caractère personnel de manière large, conformément à « la loi française, les lignes directrices de l’OCDE, la convention 108 et la directive européenne 95/46 » (30).
• Lignes directrices de l’OCDE
Elles figurent dans la recommandation du 23 septembre 1980, qui fixe « les lignes directrices régissant la protection de la vie privée et le flux transfrontalier de données à caractère personnel ». Cette recommandation n’a pas de valeur obligatoire, mais incite les États à veiller au bon équilibre dans ce domaine.
Les États doivent répondre à deux types d’obligations : une obligation de protection de la vie privée et des libertés individuelles et une obligation d’assurer la libre circulation des données.
Sur l’obligation de protection de la vie privée et des libertés individuelles, les États doivent veiller à la collecte et à la qualité des données ainsi que le respect des principes de finalité, de sécurité et de transparence. Les États doivent, en outre, assurer le droit d’accès et de contestation et organiser la responsabilité du gestionnaire du fichier.
Sur l’obligation d’assurer la libre circulation des données, les États doivent s’efforcer de vérifier les conséquences sur les autres pays membres, assurer la sécurité du flux transfrontalier des données et prendre toutes mesures appropriées. Ils devront notamment adopter des lois adaptées, favoriser et soutenir les systèmes d’autoréglementation, faciliter la mise en œuvre du droit des personnes physiques, prévoir les sanctions et les recours et veiller à l’absence de discrimination.
Enfin, il existe une obligation d’information et d’assistance mutuelle entre les pays membres.
• Réflexion menée par les Nations Unies
Elle se distingue de celle de l’OCDE en ce qu’elle est plus précise. Cette réflexion est retranscrite dans des lignes directrices, adoptées par l’assemblée générale en 1990 (31).
Le droit des personnes est au cœur du dispositif ainsi que l’autorité de contrôle dont la mise en place est conseillée. Elles concernent indifféremment les fichiers privés ou publics. Les garanties, notamment en ce qui concerne les données sensibles, y sont plus détaillées. Ce sont les données susceptibles de donner lieu à des discriminations illicites ou arbitraires, incluant les informations sur les origines raciales ou ethniques, la couleur, la vie sexuelle, les opinions politiques, philosophiques ou autres, comme l’appartenance à une association ou à un syndicat. En revanche, les données relatives à la santé ne sont pas mentionnées.
Des exceptions existent cependant : elles concernent la protection de la sécurité nationale, de l’ordre public, de la santé et de la moralité publique ainsi que des droits et libertés des personnes, en particulier de celles qui sont persécutées sous réserve des garanties appropriées et du respect des conventions internationales relatives aux droits de l’homme.
2. Le cadre juridique national
La loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés demeure aujourd’hui une loi fondatrice en matière de protection des données à caractère personnel. En effet, elle a su poser les bases juridiques régissant la création et le fonctionnement des fichiers de police. Soumis à un régime d’autorisation ainsi qu’à d’autres dispositions spécifiques, ces fichiers sont placés sous la surveillance d’une autorité de contrôle, qui veille à l’exercice de ses prérogatives : la commission nationale informatique et libertés (CNIL).
a) Protection des données et des personnes : la genèse de la loi du 6 janvier 1978
Les fichiers de police sont inséparables du contexte plus général de protection des données personnelles. En effet, comme l’indiquaient deux juristes en 1978, MM. Jean Frayssinet et Pierre Kayser, dans les années soixante et soixante-dix, le développement de l’informatique, « a suscité, en même temps que l’espérance d’une société mieux informée, plus prospère et plus libre, des appréhensions très sérieuses. Appréhension, tout d’abord, pour le respect de la vie privée […]. Appréhension ensuite, d’atteintes aux libertés publiques par la rupture de l’équilibre entre gouvernants et gouvernés, la multiplication des informations à la disposition des gouvernants leur conférant un pouvoir accru sur les gouvernés. On s’est enfin demandé si le développement de l’informatique n’était pas susceptible de rompre l’équilibre des pouvoirs, au sein de l’État, au profit du pouvoir informé, c’est-à-dire du Gouvernement, à l’égard du Parlement et même d’avoir des incidences sur le fonctionnement des institutions démocratiques ».
La plupart des États ont alors choisi d’apaiser ces craintes par une solution législative : la Suède en 1973, les États-Unis en 1974 ou encore la République fédérale d’Allemagne en 1977. Quant à la France, le Parlement a adopté la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978, dont l’article 1er dispose : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. »
Cette loi fondatrice a été adoptée à la suite de la vive émotion suscitée en 1974 par la révélation au public du projet de fichier SAFARI (« système automatisé pour les fichiers administratifs et le répertoire des individus »). Ce système prévoyait l’institution d’un identifiant unique (en l’occurrence le numéro de sécurité sociale) afin d’interconnecter les fichiers de l’administration, dont ceux des renseignements généraux, de la direction de la sécurité du territoire et de la police judiciaire. Devant l’indignation suscitée par ce projet, le projet fut retiré et une commission, présidée par M. Bernard Chenot (32), fut créée afin de proposer des mesures permettant de concilier le développement de l’informatique avec le respect de la vie privée et des libertés publiques. Le rapport de cette commission, rédigé par MM. Bernard Tricot et Pierre Catala et remis en juin 1975, a très fortement inspiré la loi du 6 janvier 1978.
Cette loi fondatrice en matière de protection des données n’a pas pu surprendre, à la fin des années 1970, la police française. En effet, celle-ci réfléchissait déjà à cette question, comme en témoignent les propos prémonitoires tenus en 1969 par M. Jacques Gandouin, alors directeur de la Direction des écoles et techniques, chargée d’assurer l’unité de la formation et l’homogénéité des méthodes et des techniques de police :
« Il est par ailleurs une autre considération beaucoup plus importante encore à nos yeux, c’est le souci de la liberté individuelle, du respect de l’homme et du citoyen. (…) La mise en mémoire d’un certain nombre de données n’est-elle pas attentatoire à la liberté et même à la dignité de l’homme ? (…) Est-ce possible d’éviter une sorte de mise en carte de tous les citoyens et comment faire pour qu’une telle mesure ne risque pas de nuire à notre liberté ? (…) Je suis pour ma part convaincu que seuls les délinquants pourront craindre les effets de l’exploitation électronique de la documentation criminelle. (…) D’abord, il faut que l’utilité sociale des répertoires où son nom figurera soit incontestable, qu’elle s’inscrive dans les principes généraux de notre droit. Il faut encore que les accès aux répertoires soient strictement prévus par les lois et les règlements, que soient imaginées des protections, des garanties contre une éventuelle manœuvre illégitime. (…) Il faut donc que domine dans tous les travaux informatiques, plus que la moralité, plus que l’honnêteté, plus que la discrétion, un véritable, sincère, profond respect de la personne humaine. Alors les bons citoyens connaîtront peut-être d’immenses facilités de vie pendant que la délinquance sera plus efficacement poursuivie. »
b) Régime de déclaration versus régime d’autorisation : la nécessaire publicité des actes créant des fichiers
La protection des données, quelle que soit la forme qu’elle revêt et quel que soit le type de fichier impliqué, repose sur un principe cardinal : celui qui veut créer un traitement de données doit donner une certaine publicité à cette création. La publicité de la création de fichiers présente un double avantage. En premier lieu, elle permet aux citoyens de prendre connaissance de l’existence de fichiers qui peuvent contenir des informations les concernant. En second lieu, la publicité permet à la CNIL d’exercer son contrôle sur l’ensemble des fichiers. Les fichiers de police présentent cette particularité d’obéir à des règles exceptionnelles en matière de création. Alors que le régime qui s’applique à tous les traitements de données, qu’ils soient du secteur public ou privé, est celui de la déclaration, les fichiers de police sont soumis à un régime spécifique, celui de l’autorisation.
• Le régime de la déclaration
De manière générale, c’est le régime de la déclaration qui s’applique à tous les traitements de données personnelles, qu’ils relèvent indifféremment du secteur public ou privé. L’article 22 de la loi du 6 janvier 1978 dispose à ce titre « qu’à l’exception de ceux qui relèvent des dispositions prévues aux articles 25 [données à caractère politique, philosophique, santé et vie sexuelle, données génétiques, infractions, exclusion d’un droit, interconnexions, biométrie], 26 [traitements intéressant la sécurité publique, la sûreté de l’État, la défense, les infractions pénales] et 27 [traitements publics NIR (33), biométrie pour le compte de l’État, recensement, téléservices] ou qui sont visés au deuxième alinéa de l’article 36, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés ».
La déclaration peut être effectuée par voie électronique, à la suite de quoi la CNIL délivre un récépissé par la même voie (article 23). La CNIL publie des « normes » pour les catégories les plus courantes de traitements de données à caractère personnel « dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés » (article 24). Ces normes sont destinées à simplifier l’obligation de déclaration, dans la mesure où « les traitements qui correspondent à l’une de ces normes font l’objet d’une déclaration simplifiée de conformité envoyée à la commission ».
• Le régime spécifique d’autorisation : un contrôle a priori de la CNIL
La section II de la loi du 6 janvier 1978 prévoit des exceptions au régime de la déclaration. En effet, les traitements de données visés aux articles 25, 26 et 27 de la loi du 6 janvier 1978 sont soumis à un régime d’autorisation.
Tel n’était pas le cas à l’origine : la loi française faisait une distinction fondamentale entre les fichiers du secteur privé et ceux du secteur public. Alors que ceux du secteur privé devaient simplement être déclarés auprès de la CNIL, tous les fichiers émanant de la sphère publique relevaient d’un véritable régime d’autorisation. En 2004, le législateur (34) a fait le choix d’abandonner cette distinction entre fichiers du secteur privé (régime de déclaration) et ceux du secteur public (régime d’autorisation) pour faire de la déclaration le régime de droit commun, recentrant ainsi la procédure d’autorisation sur certains types de fichiers bien ciblés : les fichiers de police (article 26), les traitements publics portant sur des données relatives au numéro d’inscription des personnes au répertoire national d’identification des personnes physiques, à la biométrie, au recensement ainsi qu’aux téléservices (article 27) ainsi que les traitements portant sur des données génétiques ou sur des données à caractère politique et philosophique, à la santé et à la vie sexuelle (article 25). Grâce à ce régime d’autorisation ciblé sur certains types de fichiers bien identifiés, la CNIL estime qu’elle a pu recentrer son activité sur les traitements à risque, en fonction d’un critère matériel : le caractère sensible du traitement « du fait de la finalité poursuivie ou de la nature des informations traitées » (35).
S’agissant des fichiers de police, c’est la finalité du traitement qui rend nécessaire l’autorisation, par voie réglementaire, du fichier. Ainsi, aux termes de l’article 26, les traitements « qui intéressent la sûreté de l’État, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté », à savoir les fichiers de police, sont autorisés par arrêté du ministre compétent, après avis motivé et publié de la CNIL. Lorsque les fichiers de police portent sur des données sensibles, au sens de l’article 8 de la loi du 6 janvier 1978 (36), ils sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la CNIL.
Il convient de souligner que l’article 26 de la loi du 6 janvier 1978, prévoyant un régime d’autorisation soumis à décret en Conseil d’État, permet à de tels décrets de ne pas suivre l’avis de la CNIL, la loi imposant seulement leur publication. En effet, le législateur a fait le choix en 2004 de modifier la nature de l’avis de la CNIL. Alors qu’auparavant, les avis de la CNIL liaient les pouvoirs publics, qui ne pouvaient alors passer outre que par un décret pris sur avis conforme du Conseil d’État (37), ils sont désormais simplement rendus publics et sont dépourvus de toute force obligatoire à l’égard du Gouvernement. La motivation ayant initialement présidé à cette réforme était que la publicité de l’avis serait suffisamment dissuasive pour obliger les pouvoirs publics à suivre les recommandations faites par la CNIL. Cinq ans après cette réforme, le bilan est contrasté. Si la Ligue des droits de l’homme considère que le caractère non contraignant de la CNIL est une « catastrophe », le président de la CNIL, M. Alex Türk, estime que la publicité de l’acte est une force de dissuasion suffisante. Or, ce n’est pas toujours le cas. Ainsi, s’agissant du fichier relatif aux passeports biométriques, dénommé DELPHINE, la CNIL avait considéré, dans sa délibération n° 2007-368 du 11 décembre 2007, que, « si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation, au plan national, de données biométriques telles que les empreintes digitales et que les traitements ainsi mis en œuvre seraient de nature à porter une atteinte excessive à la liberté individuelle ». Cependant, le Gouvernement n’a pas tenu compte des réserves émises par la CNIL dans son avis et a autorisé, par le décret n° 2008-426 du 30 avril 2008, le traitement automatisé des données, notamment biométriques, contenues dans les passeports.
• Les dispositions spécifiques aux fichiers de police
La loi du 6 janvier 1978 a prévu deux dispositions spécifiques pour les fichiers de police. En premier lieu, les demandes d’avis auprès de la CNIL pour la création de ces fichiers peuvent, dans certains cas, ne pas comporter certaines des mentions obligatoires pour les autres traitements de données. En second lieu, de manière exceptionnelle, certains actes réglementaires portant création de fichiers de police peuvent ne pas être publiés.
— D’une part, certaines demandes d’avis concernant les fichiers de police peuvent ne pas comporter certaines des informations, qui sont cependant requises pour tout autre traitement de données.
Aux termes des articles 29 et 30 de la loi du 6 janvier 1978, les demandes d’avis adressées à la CNIL concernant les fichiers de police doivent préciser l’identité et l’adresse du responsable du traitement, les caractéristiques, la finalité et la dénomination du traitement ainsi que la description générale de ses fonctions, le service chargé de sa mise en œuvre, le service auprès duquel s’exerce le droit d’accès, les catégories de personnes qui peuvent avoir accès aux informations enregistrées, les informations nominatives traitées, leur origine et leur durée de conservation ainsi que leur destinataire, les rapprochements et interconnexions, les dispositions de sécurité prises, et si le traitement est destiné à l’expédition d’informations nominatives à l’étranger.
Cependant, l’article 30 de la loi du 6 janvier 1978 dispose que « les demandes d’avis portant sur les traitements intéressant la sûreté de l’État, la défense ou la sécurité publique peuvent ne pas comporter tous les éléments d’information énumérés ci-dessus », notamment les données à caractère personnel traitées, leur origine et les catégories de personnes concernées par le traitement ainsi que la durée de conservation des informations.
Le décret en Conseil d’État du 15 mai 2007 (38), pris après avis de la CNIL, fixe la liste de ces traitements, qui peuvent ne pas comporter tous les éléments d’information généralement requis. Relèvent ainsi de la dérogation prévue à l’article 30 de la loi du 6 janvier 1978 :
— le décret portant création au profit de la direction centrale du renseignement intérieur d’un traitement automatisé de données à caractère personnel dénommé CRISTINA ;
— le décret portant application des dispositions de l’article 31 de la loi n° 78-17 du 6 janvier 1978 aux fichiers d’informations nominatives mis en œuvre par la direction générale de la sécurité extérieure ;
— le décret portant application des dispositions de l’article 31 de la loi n° 78-17 du 6 janvier 1978 aux fichiers de la direction de la protection et de la sécurité de la défense ;
— le décret portant application des dispositions de l’article 31 de la loi n° 78-17 du 6 janvier 1978 au fichier d’informations nominatives mis en œuvre par la direction du renseignement militaire ;
— l’arrêté relatif au traitement automatisé d’informations nominatives mis en œuvre par la direction de la protection et de la sécurité de la défense ;
— l’arrêté relatif au traitement automatisé d’informations nominatives « fichier de la DGSE » mis en œuvre par la direction générale de la sécurité extérieure ;
— l’arrêté relatif au traitement automatisé d’informations nominatives « fichier du personnel de la DGSE » mis en œuvre par la direction générale de la sécurité extérieure ;
— l’arrêté relatif au traitement automatisé d’informations nominatives de personnes étrangères mis en œuvre par la direction du renseignement militaire.
L’article 16 du décret en Conseil d’État du 20 octobre 2005 (39) a cependant précisé les mentions que doivent « au minimum » comporter les actes autorisant ces traitements : l’identité et l’adresse du responsable du traitement, la finalité et la dénomination du traitement ainsi que le service chargé de la mise en œuvre, le service auprès duquel s’exerce le droit d’accès indirect, les catégories de personnes qui ont accès aux informations enregistrées, les destinataires des informations, les rapprochements et interconnexions.
En définitive, la dérogation prévue pour certains fichiers de renseignement limitativement énumérés reste substantielle au regard de ce qui est exigé pour l’ensemble des fichiers intéressant la sûreté de l’État, la défense ou la sécurité publique, dans la mesure où la dérogation concerne les données à caractère personnel traitées, leur origine et les catégories de personnes concernées ainsi que leur durée de conservation.
— D’autre part, l’acte réglementaire portant création du fichier peut, dans certains cas, ne pas être publié. En effet, le III de l’article 26 de la loi du 6 janvier 1978 prévoit que « certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d’État, de la publication de l’acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l’acte, le sens de l’avis émis par la commission ». Sont dispensés de publication, en vertu de l’article 1 du décret du 15 mai 2007 pris pour l’application du I de l’article 30 de la loi du 6 janvier 1978, les mêmes actes réglementaires que ceux qui peuvent ne pas comporter l’ensemble des éléments d’information, qui sont généralement requis.
L’article 83 du décret du 20 octobre 2005 pris pour l’application de la loi du 6 janvier 1978 prévoit que lorsque des traitements sont dispensés de la publication de l’acte réglementaire qui les autorise, le sens de l’avis émis par la CNIL ne peut porter que la mention « favorable », « favorable avec réserve » ou « défavorable ». Dans tous les cas, « la commission ne peut mettre à la disposition du public que le sens de son avis ».
Au regard des traitements de données, dont l’acte réglementaire d’autorisation est effectivement dispensé de publication, il apparaît très clairement que le III de l’article 26 a connu, dans la pratique, une application restrictive, dans la mesure où il n’a été appliqué qu’à ce qu’on appelle communément les « services de renseignement ». Alors que la dispense de publication de l’acte réglementaire d’autorisation, permise par l’article 26, visait potentiellement l’ensemble des fichiers « intéressant la sûreté de l’État, la défense et la sécurité publique », les gouvernements successifs ont fait le choix de ne l’appliquer en pratique qu’à certains des fichiers mis en œuvre par les services de renseignement, qui relèvent incontestablement des deux premières finalités, que sont la sûreté de l’État et la défense, mais qui n’épuisent pas la troisième, à savoir la sécurité publique. La loi a donc été appliquée en pratique comme si elle ne prévoyait une exception que pour les seuls fichiers mis en œuvre par les services de renseignement, les actes réglementaires créant tout autre fichier de police faisant l’objet d’une publicité de droit commun.
En définitive, les obligations de publication des actes réglementaires d’autorisation définies par la loi du 6 janvier 1978 se révèlent d’autant plus importantes et contraignantes pour le pouvoir exécutif que les quelques aménagements prévus par la loi du 6 janvier 1978 n’ont été appliqués dans la pratique qu’à certains des fichiers mis en œuvre par les services de renseignement et non à l’ensemble des fichiers de police.
c) La Commission nationale de l’informatique et des libertés (CNIL) : une autorité de contrôle veillant au respect des libertés publiques
Créée par la loi du 6 janvier 1978, la CNIL est une autorité administrative indépendante, rattachée budgétairement aux services du Premier ministre (40), ce qui n’est pas sans poser des problèmes de gestion budgétaire. Elle dispose de pouvoirs de décision, de contrôle et de sanction. En effet, bien que n’étant pas une juridiction, elle peut appliquer des sanctions pécuniaires. Cependant, réitérant une jurisprudence qu’il avait déjà appliquée au Conseil supérieur de l’audiovisuel, le Conseil d’État a reconnu à la CNIL, dans un arrêt (41)en date du 19 février 2008, le statut de juridiction au sens de l’article 6 § 1 de la Convention européenne des droits de l’homme relatif aux règles du procès équitable.
• Composition de la CNIL
La loi du 6 août 2004 (42)a maintenu le nombre des membres de la CNIL à 17, modifiant toutefois celui des personnalités qualifiées pour l’informatique en le portant à cinq.
Ainsi, aux termes de l’article 13 de la loi du 6 janvier 1978, sont membres de la commission : deux députés et deux sénateurs, désignés respectivement par l’Assemblée nationale et le Sénat ; deux membres du Conseil économique et social, élus par cette assemblée ; deux membres ou anciens membres du Conseil d’État, élus par l’assemblée générale de ce dernier ; deux membres ou anciens membres de la Cour de Cassation, élus par son assemblée générale ; deux membres ou anciens membres de la Cour des comptes, élus par l’assemblée générale de celle-ci ; trois personnalités qualifiées pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret ; deux personnalités qualifiées pour leur connaissance de l’informatique, désignées par le président de l’Assemblée nationale et par le président du Sénat. Un commissaire du Gouvernement, désigné par le Premier ministre, siège auprès de la commission, et assiste à toutes les délibérations.
Au regard de l’importance que revêt l’action de la CNIL dans le domaine de la protection des données à caractère personnel, vos rapporteurs estiment nécessaire que, parmi les parlementaires membres de l’autorité de contrôle, soit représentée l’opposition.
Proposition n° 1
Modifier l’article 13 de la loi du 6 janvier 1978 relatif à la composition de la CNIL, afin que les deux députés et les deux sénateurs, membres de l’autorité de contrôle, soient désignés respectivement par l’Assemblée nationale et par le Sénat, « de manière à assurer une représentation pluraliste ».
• Les missions de la CNIL
La loi du 6 août 2004 a détaillé les missions de la CNIL à son article 11. Outre sa mission d’information auprès du public et auprès des responsables de traitements de leurs droits et obligations, elle doit veiller à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la loi.
Elle a un rôle de conseil, notamment auprès des pouvoirs publics et, le cas échéant, des juridictions, ainsi que des personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel, joue un rôle auprès d’organisations professionnelles ou d’institutions regroupant des responsables de traitements, puisque, outre ce rôle de conseil, elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel.
La CNIL doit se tenir informée de l’évolution des technologies de l’information et rendre publique, le cas échéant, son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés. Son rôle consultatif a été largement accru par la loi du 6 août 2004, puisque, outre l’obligation de sa consultation sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés, elle propose au gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques.
À la demande du Premier ministre, elle peut, d’une part, être associée à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel, et, d’autre part, participer à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine.
B. LA CRÉATION DES FICHIERS : EN FINIR AVEC L’AMBIGUÏTÉ DU CADRE JURIDIQUE ACTUEL
La tendance actuelle est à la multiplication des fichiers de police : alors que le groupe de travail présidé par M. Alain Bauer recensait 34 fichiers en 2006, il en a recensé près de 45 en 2008, une douzaine de fichiers étant, de plus, « en cours de préparation ». Vos rapporteurs ont complété la liste établie par le groupe de travail précité, en y ajoutant les fichiers « à usage de police », portant le total des fichiers de police ou à usage de police à 58 (43).
Cette augmentation du nombre de fichiers s’explique en premier lieu par le fait que certains traitements de données sont créés en dehors de tout cadre juridique et sans aucune base normative. En second lieu, lorsque le gouvernement entend donner une base juridique aux fichiers, dont il envisage la création, il peut recourir à un large éventail d’instruments normatifs (lois, décrets, arrêtés, etc.).
Ainsi, l’ambiguïté du cadre juridique actuel tient à l’absence de base juridique dans certains cas et à la diversité de bases normatives dans les autres, soulignant par là même la nécessité de clarifier les conditions de création des fichiers de police.
1. Deux régimes juridiques coexistent actuellement pour créer les fichiers de police
En l’état actuel du droit applicable, le gouvernement dispose, sur le plan juridique, de deux possibilités distinctes pour créer des fichiers de police.
En premier lieu, sur le fondement de l’article 26 de la loi du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, peut être créé par arrêté ou décret en Conseil d’État, pris après avis motivé et publié de la CNIL, tout fichier de police, à savoir les traitements de données « qui intéressent la sûreté de l’État, la défense ou la sécurité publique ou qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ». Le décret en Conseil d’État est nécessaire pour les fichiers de police qui portent sur des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale des personnes, santé et vie sexuelle). Certains juristes ont pu considérer que, par là même, le législateur avait défini le régime juridique général régissant la création des fichiers de police et avait ainsi conféré au pouvoir réglementaire compétent une habilitation générale lui permettant de créer les fichiers de police par voie réglementaire.
En second lieu, le gouvernement peut être autorisé par le législateur à créer tel ou tel fichier de police, lorsque des lois spécifiques l’y autorisent. Il s’agit dans ce cas d’habilitations législatives ponctuelles, qui s’inscrivent en marge du régime général défini par l’article 26 de la loi du 6 janvier 1978. Ces habilitations législatives ne sont pas rares et tendent même, ces dernières années, à augmenter de manière sensible, marginalisant quelque peu le régime général défini par la loi « Informatique et libertés ». À titre d’exemple, l’article 7 de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme autorise le ministère de l’Intérieur à créer le fichier des passagers aériens et son article 8 le traitement automatisé de contrôle des données signalétiques des véhicules. Le fichier national des immatriculations a été créé par la loi n° 90-1131 du 19 décembre 1990, alors que le fichier national automatisé des empreintes génétiques a été autorisé par la loi n° 98-468 du 17 juin 1998. De la même manière, c’est la loi du 12 décembre 2005 relative au traitement de la récidive des infractions pénales qui a créé les fichiers SALVAC et ANACRIM, soit un an seulement après la création du fichier judiciaire national automatisé des auteurs d’infractions sexuelles (FIJAIS) par la loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité.
Or, l’articulation entre le régime général régissant la création des fichiers de police et les habilitations législatives ponctuelles ne va pas sans poser certaines difficultés. Ainsi, lorsqu’une loi spéciale crée un fichier de police spécifique, le cadre juridique actuel reste flou sur le point de savoir si cela interdit en retour au gouvernement de créer d’autres fichiers du même type, par voie réglementaire, sur le fondement du régime général prévu à l’article 26 de la loi « Informatiques et libertés ».
Certaines personnes, rencontrées par vos rapporteurs lors de leurs auditions, considèrent que « le cadre législatif réduit le débat avec la CNIL ». Pour eux, l’habilitation ponctuelle conférée par la loi spéciale irait jusqu’à réduire le débat entre les services de police et la CNIL, car les finalités du fichier sont d’emblée définies par le législateur. Cette remarque, formulée, entre autres, par la direction des libertés publiques et des affaires juridiques du ministère de l’Intérieur, paraît en grande partie infondée. D’une part, rien ne fait obstacle, tant sur le plan juridique que pratique, à ce que le gouvernement consulte la CNIL lors de l’élaboration d’un projet de loi créant un fichier de police. D’autre part, les finalités, dans l’hypothèse où elles n’auraient pas été débattues entre les services opérationnels et la CNIL, sont néanmoins discutées et définies dans un débat public au Parlement. En outre, lorsqu’un fichier de police a été créé par la loi et non par voie réglementaire, le législateur s’est appuyé sur l’expertise de la CNIL ainsi que sur les attentes des services du ministère de l’Intérieur. Ainsi, lors des travaux préparatoires de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme, le rapporteur, M. Alain Marsaud, a reçu en audition aussi bien les différents services intéressés du ministère de l’Intérieur que la CNIL. En outre, la CNIL avait rendu un avis sur le projet de loi relatif à la lutte contre le terrorisme (44).
2. Entre diversité et absence de base juridique : l’augmentation du nombre de fichiers de police
Actuellement, cette double habilitation conduit, en pratique, à recourir à une grande diversité de bases juridiques pour créer les fichiers de police. En outre, les habilitations existantes ne font pas obstacle, dans la pratique, à ce que certains fichiers soient mis en œuvre en dehors de tout cadre juridique. Ainsi le sentiment de confusion qui entoure la création de certains fichiers de police vient de ce que, soit les fichiers de police sont mis en œuvre sans aucune base juridique, soit ils sont créés par une grande diversité d’instruments normatifs (loi, décret, arrêté, circulaire, etc.).
En premier lieu, il apparaît qu’un quart des fichiers de police n’ont aucune base juridique. Ainsi en est-il, par exemple, du fichier des personnes nées à l’étranger, qui a été créé en 1975 sans texte de référence, du fichier des objets signalés de la gendarmerie nationale ou bien encore du système de traitement des images des véhicules volés, qui est également exploité par la gendarmerie nationale. Le fichier des brigades spécialisées de la police nationale est lui aussi dépourvu de base juridique.
En second lieu, seulement 17 % des fichiers de police, soit moins d’un sur cinq, ont été créés par le législateur. Ainsi, malgré une intensification du recours à la loi ces dernières années, la proportion de fichiers ayant été créés par la loi et ayant donné lieu à un débat public sur les finalités envisagées reste particulièrement faible. Il convient cependant de reconnaître que la moitié des fichiers de police ayant une base législative ont été créés ces cinq dernières années.
Enfin, la coexistence de deux sources d’habilitation en matière de création de fichiers de police a pu conduire à des errements juridiques portant préjudice tant au contrôle effectif du Parlement sur l’action du gouvernement que sur la clarté et la lisibilité du cadre juridique des fichiers de police. Ainsi, il n’est pas rare de voir un fichier de police créé par décret en Conseil d’État recevoir une base législative quelques années plus tard, alors même que le respect de la hiérarchie des normes voudrait que l’acte réglementaire vienne compléter la loi et non la précéder.
Ainsi, le STIC (Système de Traitement des Infractions Constatées) a tout d’abord fait l’objet du décret n° 2001-583 du 5 juillet 2001 et s’est ensuite vu conférer une base législative par l’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure I. Le fichier national transfrontière (FNT) constitue un autre exemple éclairant des ambiguïtés juridiques présidant à la création des fichiers de police. Ce traitement a en effet fait l’objet d’un arrêté en date du 29 août 1991, avant de recevoir une base législative par l’article 7 de la loi n° 2006-1964 du 23 janvier 2006 relative à la lutte contre le terrorisme. C’est également le cas du fichier national des permis de conduire (FNPC).
Ce phénomène est symptomatique de l’empirisme qui préside à la création des fichiers de police. Les services de police et de gendarmerie conçoivent et mettent en œuvre les outils dont ils ont besoin. Une fois les fichiers pleinement opérationnels, les services s’attachent alors à les sortir d’une forme de « clandestinité » et à leur donner une base juridique conforme aux lois et règlements. L’acte juridique autorisant ledit traitement ne fait alors que reprendre et constater un simple état de fait.
Classement des fichiers de police suivant leur base juridique
Base juridique
|
Nombre de fichiers
|
En %
|
Convention internationale
|
1
|
2 %
|
Règlement européen
|
1
|
2 %
|
Loi
|
10
|
17 %
|
Décret
|
10
|
17 %
|
Arrêté
|
12
|
20 %
|
Aucun texte
|
14
|
25 %
|
En préparation
|
10
|
17 %
|
Total
|
58
|
100 %
|
La diversité des bases juridiques utilisées pour la création de fichiers de police explique en partie le développement des traitements automatisés de données à des fins policières. En effet, l’absence de base juridique pour certains fichiers et la coexistence de deux régimes juridiques pour créer des fichiers ne va pas sans accentuer l’opacité du cadre juridique actuel et in fine faciliter l’augmentation du nombre de fichiers de police. La confusion actuelle ne peut que renforcer le sentiment que s’organise une collecte d’informations généralisée, alors que la réalité est tout autre.
Lors de son audition par vos rapporteurs, le président de la CNIL, M. Alex Türk, a estimé qu’on assistait actuellement « à une floraison de textes législatifs et réglementaires ». Or, plus les fichiers se multiplient, plus les finalités se rapprochent et plus les risques, supposés ou réels, de dérive sont grands. Le cas du STIC est éclairant, car celui-ci est parfois dévoyé de sa finalité initiale pour devenir une forme de casier judiciaire clandestin. Vos rapporteurs estiment donc indispensable de clarifier les conditions de création des fichiers de police.
3. Pour un débat public éclairé : les fichiers de police doivent être créés par la loi
Le cadre juridique actuel, qui définit les modalités de mise en œuvre des fichiers de police, voit coexister deux régimes juridiques distincts pour créer de tels fichiers, ce qui nuit en retour à la clarté et à la publicité du débat en la matière.
En effet, l’exécutif, lorsqu’il entend donner une base juridique au fichier de police qu’il crée, peut toujours recourir soit à la voie réglementaire sur le fondement de l’article 26 de la loi du 6 janvier 1978, soit à la voie législative. En dépit du recours accru à la loi observé ces dernières années, rien n’interdit au gouvernement de créer un nouveau fichier de police par décret ou arrêté et de facto de soustraire ces traitements de données au contrôle du Parlement. C’est ce que les événements récents ont mis en exergue : alors que la loi a créé des fichiers aussi importants que le FNAEG (45) en 1998, le FIJAIS (46) en 2004, SALVAC et ANACRIM (47) en 2005 et le fichier des passagers aériens (48) en 2006, le gouvernement, dans la continuité des solutions retenues par ses prédécesseurs, a créé par voie réglementaire le fichier de renseignement EDVIGE (49), ou bien encore le fichier DELPHINE relatif aux passeports biométriques (50).
Or la vive émotion et la forte polémique suscitées par la création du fichier EDVIGE s’expliquent en partie par l’absence de débat public sur les missions des services de renseignement. Le manque d’information des citoyens et l’absence de réflexion sur la finalité de ce nouveau fichier de renseignement n’ont pu que redoubler les inquiétudes des citoyens. En effet, l’équilibre fragile, qu’il convient de trouver entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles de tout citoyen, nécessite l’intervention et le contrôle du Parlement.
Ainsi, le législateur, pour chaque fichier de police dont la création est prévue, doit pouvoir débattre tant de la finalité que de la proportionnalité du traitement de données envisagé. Une telle évolution implique que l’article 26 de la loi du 6 janvier 1978 soit modifié pour prévoir explicitement que tout fichier de police soit autorisé par la loi.
Proposition n° 2
Seule la loi doit pouvoir autoriser la création d’un fichier de police.
En conséquence, modifier l’article 26 de la loi du 6 janvier 1978, afin que les fichiers ou toute catégorie de fichiers intéressant la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ne soient autorisés que par la loi.
Afin que l’autorisation conférée par le législateur aux services de police et de gendarmerie de créer un fichier de police prenne tout son sens, vos rapporteurs proposent que chaque loi autorisant la création d’un tel fichier précise l’identité du responsable du traitement, la finalité et la dénomination du traitement ainsi que la description générale de ses fonctions, le service chargé de la mise en œuvre, le service auprès duquel s’exerce le droit d’accès (direct ou indirect), les catégories de données à caractère personnel enregistrées, leur origine et les catégories de personnes concernées par le traitement, les catégories de personnes qui ont accès aux informations enregistrées, les destinataires des informations, les rapprochements et interconnexions, la durée de conservation des données.
Proposition n° 3
Toute loi autorisant la création d’un fichier de police devra au minimum préciser l’identité du responsable du traitement, la finalité et la dénomination du traitement ainsi que la description générale de ses fonctions, le service chargé de la mise en œuvre, le service auprès duquel s’exerce le droit d’accès (direct ou indirect), les catégories de données à caractère personnel enregistrées, leur origine et les catégories de personnes concernées par le traitement, les catégories de personnes qui ont accès aux informations enregistrées, les destinataires des informations, les rapprochements et interconnexions, la durée de conservation des données.
Mais, si le recours exclusif à la loi est susceptible de clarifier les conditions de création des fichiers de police, encore convient-il que le Parlement soit utilement éclairé sur ces questions. Ainsi, l’avis consultatif de la CNIL sur tout projet de loi autorisant la création de fichiers de police doit être rendu public et transmis au Parlement simultanément au dépôt du projet de loi sur le bureau de l’Assemblée nationale ou du Sénat. Ainsi, le législateur sera informé en temps utile des éventuelles observations de la CNIL et sera en mesure de se prononcer en pleine connaissance de cause. Cette proposition implique que le gouvernement associe davantage en amont la CNIL à ses travaux de prospective en matière de création de fichiers de police.
Proposition n° 4
L’avis de la CNIL sur tout projet de loi autorisant la création de fichiers de police est rendu public et transmis au Parlement simultanément au dépôt, sur le bureau de l’Assemblée nationale ou du Sénat, du projet de loi autorisant la création d’un fichier de police.
La clarification des conditions de création des fichiers de police passe également par la nécessité de mettre en œuvre des études d’impact préalables à la création de nouveaux fichiers de police. Ces études auraient pour double objectif d’apprécier ex ante le volume du fichier et sa finalité, au regard notamment des fichiers existants. En effet, face à un problème déterminé, les autorités publiques ont trop souvent tendance à créer un nouveau fichier, alors présenté comme la réponse nécessaire et suffisante au problème posé. La mise en place d’études d’impact préalables sérieuses vise ainsi à prévenir la création systématique d’un fichier, dès lors qu’un problème nouveau apparaît. La CNIL pourrait utilement être associée à la réalisation de ces études d’impact.
Proposition n° 5
Les projets ou propositions de loi autorisant la création de fichiers de police doivent être accompagnés d’une étude d’impact appréciant le volume du fichier considéré ainsi que sa finalité, au regard de l’ensemble des fichiers d’ores et déjà existants. La CNIL sera associée à la réalisation de ces études d’impact préalables.
Enfin, en contrepartie des études d’impact ab initio, les projets de loi créant tout fichier de police devraient prévoir une évaluation à moyen et long terme du traitement de données ainsi créé. Cette évaluation ferait de surcroît l’objet d’un débat au Parlement afin d’apprécier si la finalité initialement conférée au fichier est toujours d’actualité et si l’utilité de ce traitement de données est toujours justifiée.
Proposition n° 6
Les projets de loi autorisant la création de fichiers de police doivent prévoir une clause de rendez-vous dans le temps, afin que le Parlement opère à moyen et long terme une évaluation du fichier considéré. Au terme de cette évaluation, qui doit faire l’objet d’un débat en séance publique, le Parlement peut décider de mettre fin, par la loi, au fichier concerné, si la finalité qui avait initialement présidé à sa création n’est plus démontrée.
C. SORTIR DES RELATIONS CONFLICTUELLES ENTRE LA CNIL ET LE MINISTÈRE DE L’INTÉRIEUR
La naissance d’un fichier de police est une étape majeure, car elle associe les services de police, qui conçoivent un outil répondant à leurs besoins opérationnels, et la CNIL, qui doit s’assurer que le traitement envisagé est conforme aux principes qui encadrent la protection des données personnelles.
Alors même que la création des fichiers de police doit permettre de trouver le point d’équilibre entre des intérêts convergents, à savoir la garantie des libertés individuelles et la réponse adéquate aux besoins opérationnels des policiers, elle cristallise aujourd’hui les désaccords et les tensions entre la CNIL et le ministère de l’Intérieur.
1. Un dialogue de sourds entre la CNIL et le ministère de l’Intérieur
Au cours des différentes auditions réalisées par vos rapporteurs, il est apparu que les relations nouées entre la CNIL et les services du ministère de l’Intérieur étaient empreintes d’une forte incompréhension. Ainsi, le directeur général de la police nationale, M. Frédéric Péchenard, a regretté « le climat de suspicion et de mépris » qu’entretient la CNIL à l’égard de la police nationale. Cette dernière estime que la CNIL, lorsqu’elle rend ses avis ou dans ses activités de contrôle, ne tient pas suffisamment compte des besoins opérationnels des services de police. En outre, le manque de confiance entre les deux parties est patent, ce qui constitue un obstacle indéniable à une véritable collaboration ainsi qu’à un traitement efficace et rapide des dossiers : « le partage en amont suppose la confiance ». Ainsi, certains responsables de la police nationale estiment qu’elle ne pourrait réellement collaborer avec la CNIL que lorsque celle-ci la considérera comme un partenaire et non comme un adversaire. Enfin, sont critiquées par les services de police « les campagnes de dénigrement et de parti pris systématique » de la CNIL à leur égard. En sens inverse, la CNIL, par la voix de son président, M. Alex Türk, regrette l’aisance des autorités publiques à créer des fichiers de police sans associer en amont les services de la CNIL.
ARDOISE : EXEMPLE D’UN DIALOGUE DE SOURDS ENTRE LA CNIL ET LES SERVICES DE POLICE
Le logiciel dénommé ARDOISE, qui remplacera, à terme, l’actuel Logiciel de Rédaction des Procédures (LRP), est une application informatique de la police nationale ayant vocation à rédiger les procédures et à alimenter le futur fichier ARIANE.
La mise en œuvre de l’application ARDOISE est symptomatique des mauvaises relations qui existent entre les services de police et l’autorité de contrôle, à savoir la CNIL. En effet, la liste des données personnelles susceptibles d’être enregistrées dans ARDOISE, jugées discriminatoires par certaines associations, comme SOS Racisme ou le collectif contre l’homophobie, a suscité, au printemps 2008, de vives critiques. Afin de désamorcer la polémique, le ministère de l’Intérieur avait alors souligné que la liste de ces données sensibles avait déjà été validée par la CNIL, non pas lors de l’examen du dossier ARDOISE, mais en décembre 2000 lors de la remise par l’autorité de contrôle de son avis sur le STIC.
La CNIL ayant validé ces données lors de l’examen du décret créant le STIC, le ministère de l’Intérieur avait considéré comme acquis l’accord à venir de la CNIL sur la liste des données sensibles collectées et conservées dans ARDOISE. Or le président de la CNIL a demandé au ministère de l’Intérieur des « précisions » et des « éclaircissements » sur la future application ARDOISE. La CNIL en a également profité pour rappeler publiquement qu’il revenait à l’autorité de contrôle d’émettre un avis préalablement à la mise en place de cette application, regrettant par là même que l’application soit déjà en phase de test, alors même que le projet de décret n’avait pas été soumis à son avis. Face à cette levée de boucliers, la ministre de l’Intérieur, Mme Michèle Alliot-Marie, a décidé de suspendre l’expérimentation du logiciel ARDOISE le 22 avril 2008. Le projet de décret créant l’application ARDOISE ainsi que le dossier de demande d’avis ont, depuis lors, été soumis à la CNIL et s’est engagé un dialogue difficile entre l’autorité de contrôle et le ministère de l’Intérieur. En effet, la police nationale estime que le retard pris dans le déploiement de cette nouvelle application incomberait principalement à la CNIL, qui n’a pas rendu son avis dans le délai légal. En effet, l’article 28 (51) de la loi « Informatique et libertés » fait obligation à la CNIL de se prononcer dans un délai de deux mois, renouvelable une fois, sur la demande d’avis. L’absence d’avis dans ce délai de quatre mois vaut avis favorable.
Ainsi, s’agissant de l’application ARDOISE, si le dossier de demande d’avis a été déposé par le ministère de l’Intérieur à la CNIL le 30 mai 2008, celle-ci n’a pas rendu son avis dans le délai de quatre mois prévus par la loi. Or, la CNIL a bénéficié, dans le même temps, de deux présentations en séance plénière de l’application ARDOISE et a ainsi pu en délibérer le 23 octobre 2008. En définitive, elle a rendu son avis le 6 novembre 2008. Ces dépassements de délais par la CNIL expliqueraient le sentiment de retardement systématique qu’éprouve la direction générale de la police nationale à l’égard de la CNIL. Alors que l’application ARDOISE a nécessité le remplacement de 80 000 ordinateurs ainsi que la formation de 80 000 policiers, la lenteur, avec laquelle la CNIL a rendu son avis, conduit d’une part, à une mise en exploitation tardive de l’application, devenue largement obsolète au regard de l’état actuel des technologies et, d’autre part, à la réitération du programme de formation des policiers. Au final, les délais de réponse de la CNIL, jugés excessifs, ne manquent pas, en retour, d’alimenter une certaine forme d’incompréhension réciproque.
De son côté, la CNIL, par l’intermédiaire de son président, souligne qu’une meilleure tenue des fichiers de police permettrait une amélioration notable des relations de travail avec les services de police. Or, cette exigence est triple et implique non seulement la définition d’un cadre juridique précis, mais également le respect de la durée de conservation des données ainsi que la définition d’une finalité claire. Cette volonté forte de la CNIL de voir les fichiers de police bien entretenus repose sur la conviction qu’il existe un intérêt commun aux services de police et à la CNIL, autour duquel tous peuvent se retrouver. En effet, des fichiers exacts impliquent un taux d’élucidation plus élevé, une performance accrue des services de police et une meilleure garantie du respect des droits des citoyens.
En dépit de ces mauvaises relations dommageables à tout point de vue, vos rapporteurs ont constaté que les échanges entre la CNIL et les services opérationnels de police ne sont pas inexistants. En effet, ces derniers sont amenés à échanger régulièrement via le courrier électronique et les auditions communes, réunissant la CNIL, son rapporteur ainsi que les services opérationnels de police. Cependant, c’est bien un « dialogue de sourds » qui semble s’être instauré entre les services de police et ceux de la CNIL, les premiers exigeant une plus grande reconnaissance de leurs préoccupations de la part de la CNIL et les seconds rappelant la nécessité d’une bonne tenue des fichiers de police. Ainsi, une des conséquences directes de ce dialogue de sourds lors de la création des fichiers de police est la tendance des services de police à mettre en œuvre a priori une application et à la régulariser a posteriori : « l’usage des services, c’est de mettre en œuvre d’abord et de régulariser ensuite ».
Afin de mettre fin à ces mauvaises relations, vos rapporteurs souhaitent que soient formalisées les procédures pour un dialogue apaisé et constructif entre l’autorité de contrôle et les services opérationnels de police et de gendarmerie. C’est là l’ambition des propositions qui suivent.
Proposition n° 7
Améliorer les relations de travail entre la CNIL et le ministère de l’Intérieur grâce à la transmission systématique de l’avant-projet de rapport annuel de la CNIL au Ministère de l’Intérieur, afin qu’il puisse formuler toutes les réponses nécessaires aux différentes observations de la CNIL le concernant. L’objectif est de créer, sur le modèle de la Cour des Comptes, une procédure contradictoire entre l’autorité de contrôle et les services de police et de gendarmerie, où la première, avant la publication de son rapport définitif, recueille les réponses des seconds aux observations qui leur sont adressées.
Eu égard aux bénéfices attendus d’une telle procédure contradictoire, calquée sur le modèle de la Cour des comptes, vos rapporteurs estiment qu’elle ne doit pas être limitée aux seules relations entre la CNIL et le ministère de l’Intérieur. Aussi proposent-ils de l’étendre à l’ensemble des fichiers et des traitements de données à caractère personnel mis en œuvre pour le compte de l’État. Cette proposition vise à formaliser les procédures d’un dialogue nourri et suivi entre l’autorité de contrôle et l’ensemble des services de l’État.
Proposition n° 8
Étendre la procédure écrite et contradictoire, entre la CNIL et le ministère de l’Intérieur, à l’ensemble des traitements de données à caractère personnel mis en œuvre pour le compte de l’État.
Dans ce dialogue de sourds entre la CNIL et le ministère de l’Intérieur, la direction des libertés publiques et des affaires juridiques (DLPAJ) du ministère de l’Intérieur occupe une place délicate, dans la mesure où les services n’ayant pas d’accès direct avec la CNIL, l’ensemble de la procédure transite par elle. Ainsi, lors de la déclaration d’un fichier de police, c’est le directeur des libertés publiques et des affaires juridiques qui est le correspondant de la CNIL pour le ministère de l’Intérieur.
La direction doit jouer un rôle d’interface entre les services opérationnels chargés des traitements et la CNIL. Elle est saisie des projets de fichiers, qu’elle remet en forme sur le plan juridique, préalablement à la saisie de la CNIL. La procédure d’élaboration des décrets avant saisie de la CNIL prévoit à ce titre que chaque service saisisse la DLPAJ d’un projet de texte, obligeant ainsi les services responsables à rédiger un texte et in fine à évaluer leurs besoins. M. Laurent Touvet, directeur des libertés publiques et des affaires juridiques, lors de son audition par vos rapporteurs, a estimé qu’un dialogue juridique s’était instauré entre la CNIL et la direction des libertés publiques et des affaires juridiques.
Mais, si la DLPAJ se voit comme une interface entre la CNIL et les services de police, d’autres la perçoivent davantage comme un écran, qui fait obstacle à une prise en compte directe des besoins opérationnels des services de police. En effet, lorsqu’un fichier de police est élaboré, il est essentiel de partir des attentes concrètes des services de police et de gendarmerie. Or, ces derniers n’ont pas d’accès direct à la CNIL, qui, en retour, a davantage d’échanges avec la DLPAJ qu’avec les services opérationnels. Certains policiers regrettent ainsi que les échanges opérationnels en amont soient le plus souvent indirects, via l’intermédiaire du cabinet du ministre de l’Intérieur, la DLPAJ et le cabinet du directeur général de la police nationale. En outre, lors de l’élaboration des fichiers de police, les services opérationnels, qui font remonter leurs demandes, doivent pouvoir être entendus par la DLPAJ, afin de mieux prendre en compte leurs besoins. Or, selon certains policiers rencontrés lors des auditions par vos rapporteurs, il ne semble pas que cela soit réellement ou suffisamment le cas aujourd’hui. De manière générale, vos rapporteurs ont pu constater que nombre des malentendus et des difficultés entourant la création des fichiers proviennent du fait que la conception de l’outil ne prend pas en compte les besoins des policiers et des gendarmes tels qu’ils les expriment sur le terrain.
En dépit de son rôle délicat et fragile entre les services de police et la CNIL, la DLPAJ partage le constat suivant lequel les relations entre les services de police et la CNIL sont empreintes d’une « incompréhension qui dure et où les positions s’écartent ». La CNIL constitue, selon M. Laurent Touvet, « un partenaire difficile et un censeur vigilant », qui suggère voire impose des précisions dans les décrets, souvent mal vécues par la direction générale de la police nationale. À titre d’exemple, la CNIL demande systématiquement que la durée de conservation des données soit explicitement mentionnée dans le texte portant création de tel ou tel fichier de police. Cette mention est nécessaire pour permettre l’exercice du droit d’accès indirect et de rectification. Il revient alors à la direction des libertés publiques et des affaires juridiques de les expliquer et de faciliter la compréhension réciproque.
Par ailleurs, l’attitude parfois adoptée, au moment de la création des fichiers, par la direction générale de la police nationale ou par la direction générale de la gendarmerie nationale est révélatrice des mauvaises relations qui se sont instaurées avec l’autorité de contrôle. En effet, la direction générale de la police nationale ou celle de la gendarmerie nationale, dans la crainte de voir leur projet initial fortement diminué par la CNIL, ont tendance à présenter à la CNIL un projet très ambitieux et plus large que les besoins initiaux, suivant la logique « Demander beaucoup pour obtenir peu ». En effet, selon un responsable du ministère de l’Intérieur, « la direction générale de la police nationale ou celle de la gendarmerie nationale part avec un projet ambitieux très large car elle sait que la CNIL va le censurer. Elle demande beaucoup pour gagner peu ».
2. L’introduction d’une procédure de mise en application par étapes des fichiers de police sous le contrôle de la CNIL
Vos rapporteurs ont proposé qu’à l’avenir, seule la loi puisse autoriser la création d’un fichier de police. Ainsi, en premier ressort, seul le législateur pourrait, d’une part, autoriser les services de police ou de gendarmerie à créer un fichier de police spécifique et, d’autre part, fixer les grands principes régissant ce fichier. Or l’autorisation législative de créer un fichier de police doit ensuite se traduire par l’élaboration d’un outil informatique, donnant vie, sur le plan technique, aux grands principes fixés par le législateur. Cette mise en application technique du fichier de police relève de la responsabilité du pouvoir réglementaire sous le contrôle de la CNIL.
Or, en matière de création de fichiers de police, il convient de partir d’un constat partagé par de nombreux intervenants, notamment, par la direction des libertés publiques et des affaires juridiques : les services de police ont quelques réticences culturelles à l’encontre de la logique d’avis présidant à la mise en exploitation d’un fichier de police. Or, ces réticences ne sont pas entièrement infondées dans la mesure où il existe un véritable problème consubstantiel à la loi de 1978 : les annexes techniques aux dossiers de déclaration sont d’une extrême précision, ce qui implique en pratique d’avoir développé un système opérationnel pleinement abouti au moment de la déclaration auprès de la CNIL.
Or, les fichiers de police nécessitent une architecture informatique complexe, faisant l’objet de tests techniques importants lors des différentes phases de validation. Actuellement cette phase de validation n’est pas prévue par la loi : les services doivent avoir conçu de manière théorique leur système, faire une demande d’avis de la CNIL et ensuite seulement le mettre en exploitation. Lors de la mise en exploitation du traitement, certains dysfonctionnements peuvent apparaître, nécessitant quelques modifications.
En l’état actuel du droit, les services doivent demander auprès de la CNIL de nouveaux avis pour chaque nouvelle version du système. L’introduction d’une procédure de mise en application par étapes permettrait d’apporter plus de souplesse et de fluidité dans l’élaboration technique du fichier considéré. Il s’agit là d’une demande très forte du ministère de l’Intérieur, dans la mesure où les demandes de modifications successives du système, qui n’interviennent qu’une fois celui-ci développé, conduisent à une hausse des coûts ainsi qu’à des difficultés techniques importantes. Ainsi en a-t-il été récemment lors de la mise en place de l’interopérabilité du FAED au sein de la plate-forme du traité de Prüm : les délais de réponse trop longs de la CNIL ont obligé l’État à verser des pénalités au profit de la société contractante.
Afin de remédier à ces difficultés, vos rapporteurs proposent de consacrer dans la loi de 1978 une procédure de mise en application par étapes, sous le contrôle de la CNIL. Cette procédure repose sur l’idée que le dialogue entre la CNIL et les services de police doit s’instaurer, non pas une fois que le projet est conçu et achevé, mais tout au long du processus d’élaboration technique et, notamment, à chaque étape clé (définition des grandes propriétés techniques du système, conception de l’architecture informatique de l’application, réalisation des différents tests techniques, première mise en production, etc.).
Ce dispositif de mise en application par étapes, qui comporterait des clauses de rendez-vous obligatoires entre l’autorité de contrôle et le ministère de l’Intérieur, serait l’occasion d’échanges réguliers et nourris entre la CNIL et les services de police tout au long de l’évolution du projet, afin de mieux prendre en compte les observations de la CNIL et les besoins opérationnels des services. Toutefois, ce schéma ne peut fonctionner que sous certaines conditions : émergence d’une doctrine partagée et précise selon le type de données traitées (au regard de la sensibilité des données, de l’étendue des personnes ayant accès aux fichiers, etc.) ; stabilité de cette doctrine évitant les changements d’interprétation au cours de la procédure de mise en application par étapes ; clauses de confidentialité réciproque évitant toute fuite dans les médias.
Proposition n° 9
Créer une procédure de mise en application par étapes des fichiers de police sous le contrôle de la CNIL.
En conséquence, introduire dans la loi du 6 janvier 1978 une disposition nouvelle prévoyant que les fichiers relevant de l’article 26 (ceux intéressant la sécurité publique et ceux ayant pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté), une fois autorisés par le législateur et en amont de la publication du décret d’application de la loi, font l’objet, sur le plan technique, d’une procédure de mise en application par étapes, afin qu’ils puissent, à chaque étape clé de leur élaboration et lors de rendez-vous obligatoires, faire l’objet d’une validation conjointe entre la CNIL et le ministère de l’Intérieur.
II. MIEUX PROTÉGER LES DONNÉES SENSIBLES
Lorsqu’est créé un fichier de police, se pose avec acuité la question de la nature des données qui doivent être collectées, au regard, notamment, des finalités poursuivies par le traitement. Apparaît alors une double exigence de proportionnalité et de nécessité. En effet, les données qui sont collectées et conservées doivent être utiles à la poursuite de la finalité du fichier et se limiter aux données strictement nécessaires aux services de police pour accomplir leurs missions.
Cette double exigence de proportionnalité et de nécessité, venant encadrer le contenu des fichiers de police, repose sur le principe simple, mais fondamental, d’adéquation : les données doivent être pertinentes et non excessives au regard des finalités pour lesquelles elles ont été collectées. Ainsi, la Convention 108 du Conseil de l’Europe dispose-t-elle à son article 5 c) et d), que les données doivent être « adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles ont été enregistrées », suivie en cela par l’article 6 de la loi du 6 janvier 1978 qui prévoit, pour sa part, que les données sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».
Aussi convient-il de définir très précisément les conditions exceptionnelles dans lesquelles les données sensibles, au sens de l’article 8 de la loi du 6 janvier 1978, les données relatives aux mineurs et celles relatives au signalement peuvent être collectées de manière pertinente et adéquate au regard des finalités initialement imparties. Il convient cependant avant toutes choses de définir ce que recouvre la notion de « données sensibles ». Au sens strict, les données sensibles sont celles limitativement énumérées à l’article 8 précité, relative à l’informatique, aux fichiers et aux libertés : les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale ainsi que les données relatives à la santé et à la vie sexuelle. Dans leur acception plus large, les données sensibles comprennent, outre celles qui viennent d’être énumérées, les données relatives aux mineurs ainsi que les signes physiques particuliers, objectifs et permanents, collectés à des fins de signalement des personnes recherchées.
A. LES DONNÉES SENSIBLES DANS LES FICHIERS DE RENSEIGNEMENT
L’article 8 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pose une interdiction de principe de « collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celle-ci. » Mais cette interdiction de principe connaît quelques exceptions. En effet, l’article 8 prévoit à son quatrième paragraphe que les fichiers de police peuvent comporter de telles données, dites « sensibles », dès lors qu’elles sont justifiées par l’intérêt public et autorisées par décret en Conseil d’État, après avis motivé et publié de la CNIL. Or, si la loi du 6 janvier 1978 pose une interdiction de principe, la dérogation autorisant à titre exceptionnel la collecte de ces données sensibles a connu une application extensive pour les fichiers de renseignement.
1. Le fichier des renseignements généraux : un cadre juridique progressivement clarifié
a) Les renseignements généraux : rôle et actions
Apparus pour la première fois en 1911 sous cette appellation, les renseignements généraux ont rempli, jusqu’à la réforme des services de renseignements intervenue en juillet 2008, une fonction régalienne d’information de l’État et du gouvernement reconnue par tous les régimes qui se sont succédé en France depuis la fin du XVIIIe siècle.
Confrontée à de virulentes oppositions politiques, notamment royalistes, bonapartistes, boulangistes ou encore anarchistes, la IIIe République développa cette institution dans les années 1890. En 1911, parallèlement à la création du contrôle général des services de recherches judiciaires et des « brigades du Tigre », le directeur de la sûreté générale, Célestin Hennion, nommé par Georges Clemenceau, créa une « brigade des Renseignements généraux », première apparition du terme dans un organigramme policier. Après la première guerre mondiale, la pénétration des idéologies portées par les régimes totalitaires donna lieu à la création en 1937 d’une « direction des services de renseignements généraux et de la police administrative », à laquelle succède, en 1938, une « Inspection générale des services de renseignements généraux et de la police administrative ». Bien qu’elles aient échoué, faute de moyens budgétaires, ces nouvelles tentatives de centralisation attestent la continuité des efforts entrepris sous la IIIe République pour structurer les renseignements généraux.
À la Libération (52), les RG, rattachés à la sûreté nationale, conservèrent leurs compétences en matière de suivi de la vie politique, économique et sociale, et de surveillance des hippodromes et établissements de jeux. Le champ de leur activité s’élargit rapidement les années suivantes, dans un contexte politique marqué par l’agitation sociale, le début de la guerre froide et les conflits coloniaux. Sous la Ve République, l’évolution de la guerre d’Algérie (création de l’OAS en 1961) conduisit les RG à adapter leurs services pour lutter efficacement contre les actes de violence et de terrorisme, en créant notamment des groupes régionaux. Jusqu’à la réforme des services de renseignement intervenue en juillet 2008, les RG ont poursuivi leur effort d’adaptation à l’évolution des menaces qui pèsent sur l’État. Le développement du terrorisme a conduit la direction à renforcer sensiblement ses moyens de recherche opérationnelle. Dans les années 1990, les policiers des RG ont joué leur rôle d’alerte en se penchant sur les phénomènes de violences urbaines, les dérives sectaires, le « hooliganisme » ou les diverses formes de contestation sociale. Un rapport d’audit (53), réalisé du 3 novembre au 22 décembre 1988, notait ainsi que « les Renseignements généraux représentent une force unique dans l’administration, qui accepte de se déplacer et de tirer des sonnettes en toutes circonstances et à des propos divers. Pour autant qu’une question leur est posée, ils développent l’ingéniosité nécessaire pour apporter une réponse de qualité dans des délais très brefs ».
Le décret du 16 janvier 1995 (54) a fixé les missions de la direction centrale des renseignements généraux, au nombre desquelles on compte : « la recherche et la centralisation des renseignements destinés à informer le Gouvernement » ; « la défense des intérêts fondamentaux de l’État » ; la participation « à la mission générale de sécurité intérieure ».
A contrario, certaines activités, autrefois assurées par les RG, ont officiellement disparu. En effet, la réputation des renseignements généraux a été souvent ternie par certaines révélations sur le rôle qu’ils ont pu jouer dans la collecte d’informations concernant les partis politiques, voire la vie privée de personnalités politiques. L’existence de ces activités de renseignement politique a d’ailleurs été confirmée par un ex-directeur central des renseignements généraux et plusieurs anciens ministres de l’Intérieur. Sous l’effet de ces révélations, les RG ont dû abandonner progressivement leurs « missions politiques ». Ainsi, il a été mis fin en 1995 au suivi des partis politiques. L’évolution des RG s’est poursuivie en 1997 puis en 2002 avec la suppression des « notes blanches », suppression confirmée en 2004, date à laquelle il a également été officiellement mis fin aux activités de prévisions électorales. Toutefois, les RG, dans le cadre de leurs missions d’information générale, sont demeurés une source non négligeable d’information des Préfets pour tout ce qui a trait à la vie politique et sociale du département.
En 2004, le ministre de l’Intérieur avait assigné aux services des renseignements généraux trois priorités, à savoir la lutte contre le terrorisme, la lutte contre les violences urbaines et l’économie souterraine ainsi que l’anticipation et la gestion des crises. Jusqu’au 1er juillet 2008, ces services exerçaient leurs missions sur l’ensemble du territoire national, sous la double autorité des préfets et de la direction générale de la police nationale.
b) Le fichier des renseignements généraux : un outil au service des missions assignées aux RG
Les nombreuses missions confiées aux RG, telles que la surveillance des groupes à risque, la centralisation du renseignement sur les dérives urbaines, l’analyse de la menace et l’anticipation, le suivi de l’opinion publique et des conflits sociaux, impliquent que les services soient dotés d’outils de travail suffisamment performants pour leur permettre de rassembler, d’exploiter et d’analyser en temps utile l’ensemble des renseignements nécessaires à l’accomplissement de leurs missions d’information du Gouvernement. Pour ce faire, ils se sont très vite dotés de fichiers spécifiques, dits de renseignement, qu’il convient de ne pas confondre avec les fichiers d’antécédents judiciaires.
Alors que les fichiers d’antécédents judiciaires permettent de collecter des informations extraites des procédures de police judiciaire, afin de faciliter la constatation des infractions pénales, les fichiers de renseignement forment une catégorie toute différente. En effet, comme l’a souligné le syndicat des commissaires de la police nationale lors de son audition, les fichiers de renseignement ne sont pas « un outil de soupçon, mais un instrument de mesure de la menace délinquante et des tensions urbaines ». Au nombre de ces fichiers de renseignement, qui existent depuis fort longtemps et qui relèvent pleinement de la notion de « fichiers de souveraineté », il y a, entre autres, le fichier des renseignements généraux (FRG).
S’il existait bien avant bien avant la loi du 6 janvier 1978 « Informatique et libertés », ce fichier n’avait, jusqu’au 14 octobre 1991, aucune base juridique. À partir de 1982, le décret relatif au fichier des renseignements généraux a fait l’objet de négociations difficiles entre le ministère de l’Intérieur, le Conseil d’État et la CNIL. Cette dernière avait finalement rendu un avis conforme le 6 septembre 1988. Afin de régulariser la situation du FRG et de clarifier son cadre juridique, deux décrets (55) ont été publiés le 27 février 1990. Le premier autorisait les renseignements généraux à collecter et conserver des informations nominatives concernant « les opinions politiques, philosophiques, religieuses ou l’appartenance syndicale » ainsi que « l’origine ethnique en tant qu’élément de signalement » de deux catégories de personnes expressément visées dans le décret :
— les personnes susceptibles de « porter atteinte à la sûreté de l’État ou la sécurité publique, par le recours ou le soutien actif apporté à la violence », soit directement, soit parce qu’elles ont entretenu des relations avec des individus susceptibles de menacer ainsi la sûreté de l’État ;
— les personnes ayant accès à des « informations protégées » susceptibles de porter atteinte à la sûreté de l’État ou à la sécurité publique.
Le deuxième décret autorisait la direction centrale des renseignements généraux à mettre en œuvre un « fichier informatisé du terrorisme » pour « l’accomplissement exclusif de sa mission de lutte contre le terrorisme et les troubles à l’ordre public ». Il était expressément prévu que ce fichier comporterait notamment des renseignements sur l’« origine ethnique » des personnes aux fins de signalement. Or la publication de ces deux décrets, autorisant la collecte de données sensibles, a suscité dans la classe politique, comme dans le monde associatif, une vive polémique, conduisant le Premier ministre à retirer ces deux décrets le 3 mars 1990, soit quelques jours seulement après leur publication.
C’est à la suite d’une large concertation, que seront publiés, le 14 octobre 1991, deux décrets (56) pour que le cadre juridique des fichiers des renseignements généraux soit pleinement clarifié. Désormais, la collecte et le traitement des données sensibles dans le FRG étaient encadrés. Ce fichier se voyait en outre assigner trois finalités et concernait à ce titre :
— les personnes qui peuvent, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’État ou à la sécurité publique par le recours ou le soutien actif apporté à la violence (ainsi que les personnes ayant entretenu des liens avec elle) ;
— les personnes soumises à une enquête administrative d’habilitation pour accéder à des informations protégées ;
— les personnes qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif.
En pratique, le FRG était un fichier informatique d’indexation d’une part des personnes morales, d’autre part des personnes physiques, comportant les informations sur l’état civil, l’adresse et la profession de la personne, complétées, le cas échéant, par des éléments d’identification ou relatifs à ses activités, et renvoyant à un numéro de dossier ou de note « papier » archivés par les différents services départementaux des RG. Ce système d’indexation permettait de savoir dans quelle direction départementale des renseignements généraux se trouvait une note consacrée à une personne inscrite dans le FRG et, le cas échéant, de contacter, après accord de l’autorité hiérarchique compétente, le service détenteur de la note afin d’en prendre connaissance. Selon la CNIL, ce sont près de 2,5 millions de personnes qui étaient inscrites au FRG. À titre d’exemple, lors de leur déplacement au service départemental d’information générale du Val-de-Marne, il a été indiqué à vos rapporteurs que le FRG de ce département comportait 40 000 références et recensait 28 000 personnes.
c) Le fichier des renseignements généraux posait une interdiction de principe de collecter des données sensibles
Le décret du 14 octobre 1991 (57) relatif au fichier des renseignements généraux posait à l’article premier une interdiction de principe de collecter et conserver « des données nominatives qui font apparaître, directement ou indirectement, les origines raciales ou les opinions politiques, philosophiques ou religieuses ainsi que les appartenances syndicales des personnes. »
À côté de cette interdiction de principe, le décret prévoyait deux dérogations.
D’une part, pouvaient être collectées et conservées les données relatives aux « signes physiques particuliers, objectifs et inaltérables, comme éléments de signalement » uniquement lorsque ces informations concernaient la première finalité du FRG, à savoir les personnes qui « peuvent, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’État ou à la sécurité publique, par le recours ou le soutien actif apporté à la violence. » Ainsi, ces données relatives au signalement ne pouvaient en aucun cas faire l’objet d’un traitement dans le cadre des deux autres finalités imparties au fichier des renseignements généraux, à savoir les enquêtes administratives et les informations nécessaires au Gouvernement concernant les personnes physiques ou morales qui ont sollicité, exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif. Par ailleurs, les données relatives aux origines raciales et ethniques ne pouvaient être collectées.
D’autre part, les données relatives aux « activités politiques, philosophiques, religieuses ou syndicales » pouvaient également être collectées et conservées et ce, dans le cadre des trois finalités assignées au fichier des renseignements généraux.
Au final, l’interdiction de principe, posée en 1991, de collecter des données sensibles connaissait des dérogations globalement limitées et encadrées, notamment pour les données relatives au signalement, ces dernières étant exclusivement traitées pour le motif de « sûreté de l’État » ou de « sécurité publique ».
|
|
Décret du 27 février 1990
|
Décret du 14 octobre 1991
|
Données relatives au signalement (signes physiques, photographie)
|
Ne sont pas mentionnées dans les données sensibles pouvant être collectées.
|
Exclusivement pour le motif « sûreté de l’État » ou « sécurité publique »
|
Données relatives à la santé et à la vie sexuelle
|
Ne sont pas mentionnées dans les données sensibles pouvant être collectées.
|
Expressément interdites depuis 2004.
|
Données relatives aux origines raciales ou ethniques
|
Pouvaient être collectées les données relatives à l’origine ethnique « en tant qu’élément de signalement ».
|
Ne pouvaient être collectées (la CNIL, délibération n° 82-205 du 7 décembre 1982, acceptait cependant une collecte d’informations de ce type comme élément de signalisation des personnes (58)).
|
Activités politiques, philosophiques, religieuses ou syndicales
|
L’ensemble des « opinions » politiques, philosophiques ou religieuses ou l’appartenance syndicale, mais seulement pour les personnes relevant de la sphère politique, sociale et économique.
|
Seulement les « activités » politiques, philosophiques, religieuses ou syndicales pour toutes les personnes référencées dans le traitement.
|
2. Le fichier EDVIGE a opéré une extension notable des données sensibles susceptibles d’être collectées
a) La création du fichier EDVIGE est liée à la nouvelle architecture du renseignement intérieur
En effet, une réforme de grande ampleur du renseignement intérieur est intervenue à compter du 1er juillet 2008. En premier lieu, une direction centrale du renseignement intérieur (DCRI) a été créée (59). Elle exerce les attributions antérieurement dévolues à la direction de la surveillance du territoire (DST), ainsi que celle de la direction centrale des renseignements généraux (DCRG) relevant de sa mission de renseignement stricto sensu (lutte contre le terrorisme, contre les atteintes à la sûreté de l’État…).
En second lieu, les autres missions des RG ne relevant pas du renseignement (information générale sur l’activité politique, économique et sociale, surveillance des violences urbaines…) sont dorénavant attribuées à la direction centrale de la sécurité publique (DCSP) (60). Afin de réaliser cette mission, une nouvelle sous-direction a été créée en son sein : la sous-direction de l’information générale (SDIG), ainsi que des services départementaux d’information générale au sein des directions départementales de la sécurité publique (61).
Dans le domaine des fichiers, cette réorganisation entraîne la disparition de deux types de traitements automatisés : ceux gérés par la DST et ceux gérés par la DCRG, qui doivent donc être remplacés par de nouveaux traitements :
— un traitement géré par la DCRI qui reprend les données des anciens fichiers de la DST ainsi que les données des fichiers gérés par les Renseignements généraux qui concernaient des personnes susceptibles de porter atteinte à la sûreté de l’État, notamment le FRG et le fichier informatisé du terrorisme. Ce nouveau traitement, créé par décret, a été baptisé CRISTINA (centralisation du renseignement intérieur pour la sécurité du territoire et les intérêts nationaux) ;
— un traitement géré par la DCSP qui collecte les données jusque-là traitées par les renseignements généraux dans le cadre de leurs activités d’information générale. Ce traitement dénommé EDVIGE a été créé par le décret n° 2008-632 du 27 juin 2008, publié au Journal Officiel du 1er juillet 2008.
Le traitement de données EDVIGE s’est alors vu assigner trois finalités, plus larges que celles conférées au FRG, et visait à ce titre :
— les individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public (et personnes ayant entretenu des liens avec elles) ;
— les personnes soumises à une enquête administrative pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l’exercice des fonctions ou des missions envisagées (et personnes ayant entretenu des liens avec elles) ;
— les personnes physiques ou morales ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif (et personnes ayant entretenu des liens avec elles).
En pratique, la création du fichier EDVIGE, liée à la réforme des services de renseignement, ne s’est pas traduite par la mise en place d’un nouveau système de traitement informatique. En effet, la réflexion concernant le futur outil informatique EDVIGE était à peine initiée lorsqu’est intervenue la réforme du renseignement intérieur, sa conception et sa réalisation étant envisagées dans un délai de deux ans. C’est pourquoi, au 1er juillet 2008, la sous-direction de l’information générale a procédé à une copie du FRG figé au 30 juin. EDVIGE consistait alors à alimenter cette copie « en mode FRG », c’est-à-dire avec le même système d’indexation, en tenant compte du nouveau cadre juridique.
À l’avenir, l’architecture technique de cette future application informatique devra faire l’objet d’une attention toute particulière s’agissant des choix à opérer entre, d’une part, le maintien d’un système d’indexation nationale renvoyant à des dossiers informatiques consultables uniquement au niveau du service départemental détenteur et, d’autre part, la possibilité de consulter nationalement l’ensemble des données de ce fichier de renseignement.
b) Le décret créant le fichier EDVIGE opère une extension du champ des données sensibles recueillies
Sur la base des trois finalités qui lui ont assigné, le fichier EDVIGE (62), allant au-delà d’un simple toilettage de l’ancien fichier des renseignements généraux, a opéré une extension importante des données sensibles susceptibles d’être collectées, suscitant ainsi plusieurs interrogations, voire des inquiétudes.
S’agissant des données relatives au signalement, à savoir les « signes physiques, particuliers et objectifs, photographies et comportement », elles pouvaient être collectées et conservées pour toutes les personnes référencées dans le traitement, quelle que soit la finalité visée (enquête administrative, personnes relevant de la sphère politique, économique, sociale et religieuse, personnes susceptibles de porter atteinte à l’ordre public). Dans le cadre du FRG, au contraire, la conservation et le traitement des données relatives au signalement n’étaient autorisés que pour le seul motif d’atteinte à la « sûreté de l’État ou à la sécurité publique, par le recours ou le soutien actif apporté à la violence ». En outre, le décret créant le traitement EDVIGE ne précisait pas ce que recouvrent les éléments de signalement, qui, dans le cadre du FRG, étaient définis comme des « signes physiques particuliers, objectifs et inaltérables », conformément à l’article 2 du décret du 14 octobre 1991.
S’agissant des données sensibles au sens de l’article 8 de la loi du 6 janvier 1978 (63), leur collecte dans le fichier EDVIGE était beaucoup large que dans le cadre du FRG. En premier lieu, alors que les données relatives à la santé et à la vie sexuelle étaient expressément interdites depuis 2004 dans le cadre du FRG, le décret portant création d’EDVIGE prévoyait qu’elles pouvaient être collectées (64) au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes « ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif » sans que les critères permettant d’apprécier le caractère exceptionnel ne soient précisés. Il convient de relever que, face à la polémique soulevée par la possibilité de collecter des données relatives à la santé et à la vie sexuelle, le ministère de l’Intérieur avait argué du fait que ces données pouvaient d’ores et déjà être collectées par les renseignements généraux dans le cadre du FRG, puisqu’elles ne faisaient pas partie à l’origine des données sensibles au sens de l’article 31 de la loi de 1978. Toutefois, ces données relatives à la santé et à la vie sexuelle ont été incluses par la loi du 6 août 2004 dans la catégorie des données sensibles.
En second lieu, alors que les données relatives aux « origines raciales ou ethniques » ne pouvaient être collectées dans le FRG, même si la CNIL acceptait la collecte d’informations de ce type comme élément de signalisation des personnes (65), le décret portant création du traitement automatisé de données EDVIGE prévoyait qu’elles puissent être collectées au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes relevant de la sphère politique, économique, sociale et religieuse. Enfin, le fichier EDVIGE autorisait la collecte de données relatives aux « opinions politiques, philosophiques, religieuses ou syndicales » pour toutes les personnes référencées dans le traitement, là où le FRG ne permettait la collecte que des seules données relatives aux « activités politiques, philosophiques religieuses ou syndicales » pour toutes les personnes figurant dans le fichier.
Par ailleurs, comme l’a souligné la CNIL dans sa délibération (66) du 16 juin 2008 sur le projet de décret portant création du traitement EDVIGE, le décret ne définissait pas la nature des données sensibles, au sens de l’article 8, qui étaient susceptibles d’être enregistrées au titre de chacune des finalités. Ainsi, ce sont les mêmes données sensibles qui pouvaient être indifféremment collectées et conservées et ce, quelle que soit la finalité visée.
|
|
Fichier des RG
|
Fichier Edvige
|
Données relatives au signalement (signes physiques, photographie)
|
Exclusivement pour le motif « sûreté de l’État » ou « sécurité publique »
|
Pour toutes les personnes référencées dans le traitement. Mais dispositif de reconnaissance faciale à partir de la photographie interdit.
|
Données relatives à la santé et à la vie sexuelle
|
Expressément interdites depuis 2004.
|
Pouvaient être collectées au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes relevant de la sphère politique, économique, sociale et religieuse.
|
Données relatives aux origines raciales ou ethniques
|
Ne pouvaient être collectées (la CNIL, délibération n° 82-205 du 7 décembre 1982, acceptait cependant une collecte d’informations de ce type comme élément de signalisation des personnes).
|
Pouvaient être collectées au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes relevant de la sphère politique, économique, sociale et religieuse.
|
Activités politiques, philosophiques, religieuses ou syndicales
|
Seulement les « activités » politiques, philosophiques, religieuses ou syndicales pour toutes les personnes référencées dans le traitement.
|
L’ensemble des « opinions » politiques, philosophiques, religieuses ou syndicales pour toutes les personnes référencées dans le traitement.
|
Au regard de la vive émotion suscitée par la possibilité ouverte par le fichier EDVIGE de collecter et de conserver des données sensibles au sens de l’article 8 de la loi du 6 janvier 1978, vos rapporteurs proposent qu’il ne puisse être dérogé à l’interdiction édictée par cet article de collecter et de conserver des données sensibles que sur autorisation expresse du législateur. De cette manière, la protection juridique des données sensibles en serait améliorée. En effet, pour déroger à l’interdiction de principe de collecter de telles données, il faudrait une loi, là où le droit en vigueur n’exige actuellement qu’un simple décret en Conseil d’État après avis de la CNIL. Ainsi, un fichier de police ne pourrait être créé que par une loi (cf. proposition n° 2), qui, dans le même temps, préciserait systématiquement si la collecte, le traitement et la conservation de données sensibles sont autorisés dans la stricte mesure où les finalités du fichier l’exigent.
Proposition n° 10
Seule la loi peut autoriser un fichier de police à déroger à l’interdiction de principe, posée par l’article 8 de la loi du 6 janvier 1978, de contenir des données sensibles (origines raciales ou ethniques, opinions politiques, philosophiques ou religieuses, appartenance syndicale et données relatives à la santé et à la vie sexuelle) et ce dans la stricte mesure où les finalités du fichier l’exigent. Modifier en conséquence le IV de l’article 8 de la loi du 6 janvier 1978.
3. EDVIRSP : des données collectées et conservées quelle que soit la finalité visée.
En raison de la décision de retrait du traitement automatisé de données EDVIGE, prise en octobre 2008 par le ministre de l’Intérieur et définitivement actée par le décret du 19 novembre 2008 (67), les services du ministère de l’Intérieur travaillent actuellement sur un projet de décret visant à doter la sous-direction de l’information générale d’un nouveau cadre juridique, en remplacement d’EDVIGE. Le projet de décret, actuellement en cours d’examen par le Conseil d’État, portant création d’une nouvelle application relative à l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP), apporte quelques évolutions notables en matière de collecte et de traitement des données sensibles, sans toutefois lever toutes les ambiguïtés. Afin de parvenir à un texte abouti, éclairé par le débat public, vos rapporteurs proposent que le futur fichier EDVIRSP soit créé par la loi. Aussi, les propositions qui suivent visent à détailler quels seraient les apports de cette loi par rapport au projet de décret actuellement en cours d’examen.
Proposition n° 11
Le futur fichier EDVIRSP devra être créé par la loi.
Dans l’attente de la discussion et de l’adoption de la loi autorisant la création d’EDVIRSP, que vos rapporteurs espèrent rapides, il convient de ne pas laisser s’installer plus longtemps une situation de paralysie des services de la sous-direction de l’information générale. Tel est le sens de la proposition n° 53 formulée dans le VI de ce rapport.
a) La réaffirmation de l’interdiction de principe de collecter des données sensibles au sens de l’article 8 de la loi du 6 janvier 1978
Le projet de décret portant création du futur traitement EDVIRSP semble revenir à la solution retenue en 1991 dans le cadre du fichier des renseignements généraux. Ainsi, l’article 1er réaffirme l’interdiction de principe, pour les services de la direction centrale de la sécurité publique, dans le cadre de leurs missions de renseignement et d’information générale, de « collecter ou traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Seules deux dérogations seraient autorisées en la matière. Pourraient ainsi être collectées et conservées les données sensibles faisant apparaître « l’origine géographique ainsi que les signes physiques particuliers et objectifs » ainsi que « les activités politiques, philosophiques, religieuses ou syndicales ». Alors que le traitement EDVIGE opérait une extension importante des données sensibles susceptibles d’être collectées, le futur fichier EDVIRSP semble opérer un recentrage des données sensibles qui pourront être traitées, sans toutefois lever toutes les ambiguïtés. En effet, le projet de décret ne différencie pas les données sensibles qui sont susceptibles d’être enregistrées au titre de chacune des finalités. En outre, il n’est pas précisé, dans le projet de décret dont vos rapporteurs ont eu connaissance, si les données sensibles susceptibles d’être collectées au titre de chacune des deux finalités concernent, outre les personnes physiques, les personnes morales. Un effort de précision dans la rédaction est nécessaire afin de lever toute ambiguïté juridique.
|
|
Fichier Edvige
|
Fichier Edvirsp
|
Données relatives au signalement (signes physiques, photographie)
|
Pour toutes les personnes référencées dans le traitement. Mais dispositif de reconnaissance faciale à partir de la photographie interdit.
|
Pour toutes les personnes référencées dans le traitement. Mais dispositif de reconnaissance faciale à partir de la photographie interdit.
|
Données relatives à la santé et à la vie sexuelle
|
Pouvaient être collectées au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes relevant de la sphère politique, économique, sociale et religieuse.
|
Ne pourront être collectées.
|
Données relatives aux origines raciales ou ethniques
|
Pouvaient être collectées au titre des trois finalités, mais seulement « à titre exceptionnel » pour les personnes relevant de la sphère politique, économique, sociale et religieuse.
|
Ne pourront être collectées, mais risque d’une collecte détournée les données relatives à « l’origine géographique » pouvant être référencées.
|
Activités politiques, philosophiques, religieuses ou syndicales
|
L’ensemble des « opinions » politiques, philosophiques, religieuses ou syndicales pour toutes les personnes référencées dans le traitement.
|
Seulement les « activités » politiques, philosophiques, religieuses ou syndicales pour toutes les personnes référencées dans le traitement.
|
b) Des données collectées et traitées quelle que soit la finalité visée
Le projet de décret actuellement en cours d’examen prévoit que le futur fichier EDVIRSP se verrait assigner deux finalités et concernerait, d’une part, les personnes « dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique » et, d’autre part, les personnes « faisant l’objet d’enquêtes administratives ».
Or, la première finalité assignée à EDVIRSP est beaucoup plus large que celle assignée au FRG par le décret du 14 octobre 1991, qui avait retenu une formulation plus restrictive, à savoir : « les personnes qui peuvent, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’État ou la sécurité publique, par le recours ou le soutien actif apporté à la violence ainsi que les personnes entretenant ou ayant entretenu des relations directes et non fortuites avec celles-ci ». La finalité étant plus étendue, les données sensibles susceptibles d’être collectées concernent de facto un public plus important. Vos rapporteurs estiment donc nécessaire que la définition de cette finalité soit plus précise, en s’inspirant notamment de celle retenue en 199, et ce après une large concertation.
À la suite des auditions qu’elle avait réalisées sur le fichier EDVIGE, la commission des Lois a formulé neuf recommandations, dont la première vise à définir de manière plus rigoureuse la finalité relative aux atteintes à l’ordre public. Ainsi, la commission avait recommandé qu’EDVIGE concerne « les individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes et des biens et les personnes ayant entretenu un lien avec eux ». Vos rapporteurs ont simplement souhaité compléter cette recommandation en y ajoutant, d’une part, la notion de lien « direct et non fortuit » et, d’autre part, la notion de « recours ou soutien actif apporté à la violence », reprenant sur ces deux points la rédaction du décret de 1991 sur le FRG.
En outre, à la suite des auditions et des déplacements qu’ils ont pu réaliser, vos rapporteurs recommandent que les différentes finalités assignées à EDVIRSP ne soient plus regroupées dans un fichier unique géré par la sous-direction de l’information générale. Aussi vos rapporteurs proposent-ils que chaque finalité fasse l’objet d’un traitement spécifique. En ce qui concerne les enquêtes administratives, certains SDIG conservent exclusivement celles qui se sont conclues par un refus. Vos rapporteurs proposent de généraliser cette pratique.
Proposition n° 12
D’une part, le fichier EDVIRSP ne concernera que « les personnes, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence, ainsi que les personnes entretenant ou ayant entretenu un lien direct et non fortuit avec celles-ci ».
D’autre part, un fichier distinct, relatif aux personnes « faisant l’objet d’enquêtes administratives » sera créé. Ce traitement de données ne recensera que les personnes ayant fait l’objet d’une décision administrative défavorable.
En l’état actuel du projet de décret, les données susceptibles d’être collectées et traitées sont les mêmes et ce, quelle que soit la finalité visée. Ainsi, les données sensibles, relatives à « l’origine géographique », aux « signes physiques particuliers et objectifs » ou bien aux « activités politiques, philosophiques, religieuses ou syndicales » pourront, semble-t-il, être collectées aussi bien pour des personnes faisant l’objet d’une simple enquête administrative que pour celles pouvant porter atteinte à la sécurité publique. Aussi vos rapporteurs recommandent-ils que la collecte et la conservation de données sensibles, dont celles enregistrées dans la catégorie « signalement », soient strictement interdites dans le fichier relatif aux enquêtes administratives défavorables.
Proposition n° 13
Prévoir que la collecte et la conservation de données sensibles, dont celles enregistrées dans la catégorie « signalement », soient strictement interdites dans le fichier relatif aux enquêtes administratives défavorables.
Parmi les données susceptibles d’être collectées et conservées dans EDVIRSP au titre du signalement, la notion d’« origine géographique » fait débat.
Votre rapporteur considère que les données relatives à l’origine géographique peuvent être recueillies, dès lors qu’elles constituent des éléments de signalement des personnes. En effet, les services de police doivent pouvoir identifier de manière rapide et efficace les personnes recherchées. Aussi, votre rapporteur estime-t-il qu’une classification géographique constitue un élément objectif et adapté aux attentes concrètes des agents de terrain.
En revanche, votre rapporteure estime que la notion d’« origine géographique » n’est pas acceptable. En effet, le projet de décret, dans sa rédaction actuelle, ne définit pas explicitement les éléments qui peuvent être collectés au titre de l’« origine géographique ». Le lieu de naissance des personnes pouvant figurer dans le fichier au titre de l’état civil, il apparaît improbable que, dans l’esprit des rédacteurs du projet de décret, « l’origine géographique » recouvre cette seule signification. L’utilisation de cette notion permettrait alors d’inscrire dans le fichier EDVIRSP qu’un citoyen français a pour origine géographique un autre pays, quand bien même il n’y serait pas né et qu’il n’y aurait pas vécu. Votre rapporteure considère qu’il s’agit là d’un artifice juridique pour le moins maladroit, très certainement destiné à contourner l’interdiction de principe, posée par l’article 8 de la loi du 6 janvier 1978, de collecter, directement ou indirectement, des données relatives aux « origines raciales et ethniques ». Aussi votre rapporteure propose-t-elle d’abandonner la notion d’origine géographique au profit des seuls « signes physiques particuliers, objectifs et inaltérables », comme éléments de signalement des personnes.
Proposition n° 14 de votre rapporteur
Conserver, au titre des données sensibles susceptibles d’être collectées et conservées dans EDVIRSP, la notion d’« origine géographique » comme élément de signalement des personnes.
Proposition n° 14 bis de votre rapporteure
Limiter les données sensibles collectées et conservées dans EDVIRSP au titre du signalement aux seuls « signes physiques particuliers, objectifs et inaltérables ».
4. Le « fichier des personnalités »
Parmi les activités des services des renseignements généraux, a longtemps figuré en bonne place le fichage nominatif des « personnes physiques ou morales ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif ».
Le décret du 27 juin 2008 portant création d’EDVIGE a repris cette finalité, celle-ci plus connue sous l’appellation de fait inappropriée de « fichiers des personnalités », ne serait a priori pas reprise dans le futur traitement de données EDVIRSP. L’éventuelle utilité pour le Gouvernement de collecter et de conserver des données sur les personnes relevant de la sphère politique, économique et sociale paraît en effet discutable.
En premier lieu, les différentes finalités assignées par le décret de 1991 au FRG aboutissaient à un certain mélange des genres. Figuraient ainsi dans un même fichier de renseignement, d’une part, des personnes qui exerçaient les droits et libertés constitutionnellement garantis et, d’autre part, des personnes qui pouvaient porter atteinte à la sécurité publique. Ce mélange des genres semble relever d’un autre âge. En effet, le fichage nominatif des personnes au titre de leurs activités politiques, associatives ou syndicales, de leur rôle institutionnel, économique, social ou religieux, ne paraît ni opportun, ni même indispensable à l’information du Gouvernement.
En second lieu, vos rapporteurs ont été informés, lors de leur déplacement à la direction du renseignement de la préfecture de police (DRPP), le 15 janvier 2009, du fait que, depuis la fin des années 1990, les préfets de police successifs ont décidé de recentrer l’activité des renseignements généraux parisiens sur les violences urbaines, l’ordre public et la lutte contre l’extrémisme violent. Ainsi, la décision a été prise en 2001, lors de l’informatisation des fichiers des renseignements généraux de la préfecture de police, de mettre fin à l’activité traditionnelle de fichage nominatif des personnes en fonction de leurs activités politiques, économiques, sociales ou religieuses et donc de ne plus alimenter le fichier manuel et mécanographique dénommé « archives centrales » (68). Les seuls fichiers « vivants » et informatisés de la direction du renseignement de la préfecture de police sont depuis lors constitués par GEVI (gestion des violences urbaines) et GESTEREXT (gestion du terrorisme et des extrémismes à potentialité violente).
Or, les interlocuteurs rencontrés par vos rapporteurs ont tenu à souligner que le choix de ne plus ficher nominativement les personnes relevant de la sphère politique, économique, sociale et religieuse n’altère pas la capacité opérationnelle de renseignement de la préfecture de police. En effet, le recensement sur des fiches individuelles des activités politiques ou syndicales légales « ne sert à rien » en pratique. Ainsi, lorsque des personnalités politiques ou syndicales participent à des manifestations, le préfet est informé en temps réel par le biais de « messages flash », mais il n’y a pas consignation et archivage de cette participation dans des fiches individuelles.
L’abandon du « fichier des personnalités » n’empêche pas un suivi précis des mouvements politiques et sociaux : ces derniers sont désormais étudiés sous un angle thématique, afin de fournir aux autorités des prévisions et des renseignements ciblés et pertinents, permettant d’anticiper les éventuelles menaces à l’ordre public et d’offrir une aide à la décision. Ainsi, si les notes d’analyse sur des mouvements politiques ou sociaux peuvent comporter des données nominatives, elles ne sont plus classées sur une telle base.
En revanche, si des éléments se rapportant à des mouvements extrémistes ou à des actes de violence urbaine se manifestent, les services de la direction du renseignement de la préfecture de police procèdent à une indexation nominative dans le cadre des deux fichiers informatisés précités, à savoir GEVI et GESTEREXT. Les critères de partage entre activité politique ou syndicale légale n’emportant pas fichage individuel et activité du même type permettant l’inscription dans GESTEREXT et GEVI sont le respect de la loi républicaine et l’appel ou le recours à la violence.
Proposition n° 15
Abandonner définitivement l’inscription dans tout fichier, quelles que soient sa nature et sa portée, des personnes physiques ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif.
LES DONNÉES SENSIBLES DANS LES FICHIERS D’ANTÉCÉDENTS JUDICIAIRES
Les fichiers d’antécédents judiciaires, à l’instar des fichiers de renseignement, peuvent, sous certaines conditions, contenir des données sensibles, au sens de l’article 8 de la loi du 6 janvier 1978.
Ainsi, aux termes de l’article 1 du décret du 5 juillet 2001 portant création du STIC et du décret du 20 novembre 2006 portant création de JUDEX, les fichiers d’antécédents judiciaires peuvent contenir des données relatives aux « origines raciales ou ethniques, aux opinions politiques, philosophiques ou religieuses, à l’appartenance syndicale des personnes ou à la santé ou à la vie sexuelle de celles-ci », uniquement lorsque « ces données résultent de la nature ou des circonstances de l’infraction ».
Les données sensibles sont enregistrées uniquement si elles ont un lien direct et nécessaire avec l’infraction considérée : elles doivent permettre de caractériser les faits. À partir du moment où l’agression est liée à certaines caractéristiques (culte, orientation sexuelle), il convient de le spécifier dans le fichier, par le biais de la « qualification des faits ». En effet, si l’infraction est liée à la nature même de la victime (agression à caractère racial ou sexuel), il faut que le fichier conserve la mémoire de la nature de l’infraction, afin de permettre les recoupements et rapprochements indispensables à la résolution des affaires similaires.
B. LA DÉLICATE QUESTION DU FICHAGE DES MINEURS
Compte tenu des mutations affectant la délinquance juvénile et des missions dévolues à la direction centrale de la sécurité publique dans la lutte contre les phénomènes dits de « violences urbaines », le ministre de l’Intérieur avait autorisé, lors de la création du traitement EDVIGE, l’inscription des mineurs dans un fichier de renseignement, dans une logique d’analyse et d’anticipation de possibles atteintes à l’ordre public, alors que l’inscription des mineurs dans un fichier d’antécédents judiciaires résulte de la commission d’une infraction pénale.
1. Les mineurs dans les fichiers de renseignement
Alors que les mineurs ne sont recensés dans les fichiers d’antécédents judiciaires qu’à la seule condition qu’il existe à leur encontre « des indices graves ou concordants rendant vraisemblable qu’ils aient pu participer, comme auteurs ou complices » à la commission d’une infraction pénale, la logique à l’œuvre dans les fichiers de renseignement est différente : il s’agit alors d’analyser, de mesurer et d’anticiper une menace.
a) Le projet EDVIGE : répertorier les mineurs « susceptibles de porter atteinte à l’ordre public »
Alors que le décret du 14 octobre 1991 (69) ne prévoyait pas la possibilité d’inclure des mineurs dans le fichier des renseignements généraux, le décret du 27 juin 2008 (70) portant création d’EDVIGE disposait, pour sa part, que les mineurs « susceptibles de porter atteinte à l’ordre public » pouvaient être répertoriés et ce, dès l’âge de 13 ans. En outre, les mineurs pouvaient également êtres répertoriés dès l’âge de 16 ans, dès lors qu’ils étaient soumis à une enquête administrative, qu’ils sollicitaient ou exerçaient un mandat politique, syndical ou économique ou bien qu’ils jouaient un rôle institutionnel, économique, social ou religieux significatif.
Cette évolution par rapport au cadre juridique défini en 1991 a été justifiée par les évolutions de la délinquance et notamment de la participation accrue des mineurs aux violences urbaines. Le ministère de l’Intérieur a également fait valoir que l’âge de treize ans correspond à l’âge à partir duquel les mineurs sont reconnus pénalement responsables.
Toutefois, l’évolution relative au traitement des mineurs contenue dans EDVIGE entérine un état de fait dans la mesure où, depuis 1991, les fichiers des renseignements généraux répertoriaient déjà, de manière illégale, des mineurs. Ainsi, le nombre de mineurs inscrits au fichier des renseignements généraux était évalué à environ 3 000, dont près de 600 pour la seule finalité « sécurité du territoire ». M. Alex Türk, président de la CNIL, lors de son audition le mercredi 17 septembre 2008 par la commission des Lois de l’Assemblée nationale, a ainsi rappelé : « Je confirme que le fichier actuel des renseignements généraux comportait déjà certaines informations concernant des mineurs. C’est d’ailleurs une des raisons pour lesquelles nous avons toujours été favorables à ce qu’un texte vienne encadrer juridiquement ce qui se faisait depuis des années. Voilà pourquoi en tant que CNIL, nous considérons qu’il fallait faire le texte. Mais ce texte, à nos yeux, pose certains problèmes ». Il avait en outre rappelé devant les membres de la commission des Lois que la CNIL avait considéré, lors de l’examen du projet de décret portant création d’EDVIGE, que le traitement aurait dû se limiter aux mineurs de plus de seize ans (71).
b) La nécessité d’encadrer et de définir les conditions précises de fichage des mineurs
Un des principaux enjeux est d’examiner les critères, qui déterminent les conditions d’inscription d’un mineur dans un fichier de renseignement. À cet égard, il convient de noter que les mineurs de plus de treize ans pouvaient être inscrits dans EDVIGE dès lors qu’ils « sont susceptibles de porter atteinte à l’ordre public ».
Cette formulation reste une notion aux contours relativement vagues. La définition que le droit administratif donne à l’ordre public a en outre évolué dans le temps : alors que l’ordre public renvoyait essentiellement à l’absence de troubles matériels au XIXe siècle, ses buts se sont depuis lors diversifiés. Ainsi, selon la définition traditionnelle donnée par Maurice Hauriou, reprise en partie à l’article L. 131-2 du code des communes et à l’article L. 2212-2 du code général des collectivités territoriales, l’ordre public comporte trois composantes, à savoir la tranquillité, la salubrité et la sécurité publique. Au final, le critère de l’ordre public semble être un critère suffisamment vaste pour concerner un trop grand nombre de mineurs. Lors des auditions réalisées par la commission des Lois de l’Assemblée nationale, le mercredi 17 septembre 2008, sur le fichier EDVIGE, certains observateurs ont souligné que la notion d’ordre public était insuffisamment précise pour constituer un critère pertinent d’inscription des mineurs dans un fichier de renseignement. Ainsi, M. Jean-Pierre Dubois, président de la Ligue des droits de l’homme, avait souligné que « non seulement [le fichage] devient possible pour les mineurs à partir de 13 ans, mais il répond désormais à des critères extrêmement flous. Il n’y a pas en France un juriste capable de définir avec précision « l’ordre public », et donc une personne « susceptible de le troubler, alors que la sécurité publique et la sûreté de l’État sont des notions beaucoup plus rigoureuses. Le fichage dépendra du soupçon d’un policier ou d’un gendarme, sans contrôle judiciaire et sur des critères particulièrement flous, ce qui nous paraît grave. » Mme Hélène Franco, secrétaire générale du syndicat de la magistrature avait exprimé la même idée en affirmant que le syndicat qu’elle représentait avait « une hostilité totale au fichage des mineurs sur la base d’une notion aussi vague que celle d’ordre public. »
Or, la définition de critères précis d’inscription ne va pas sans poser quelques difficultés. En effet, certaines personnes auditionnées, comme M. Éric Le Douaron, directeur central de la sécurité publique au ministère de l’Intérieur, ont souligné la difficulté de définir avec précision des critères exacts d’inscription : « il est difficile d’avoir des critères exacts. Par exemple, pour des individus gravitant autour d’une bande… » L’approche de travail retenue par les services départementaux d’information générale repose sur une « phase latente de première observation », qui, si elle ne débouche pas sur une procédure judiciaire, reste cependant, aux dires de certains policiers rencontrés, intéressante pour le travail d’analyse, de surveillance et d’évaluation de la menace délinquante et des tensions urbaines. Ainsi, toujours selon certains fonctionnaires de la sous-direction de l’information générale, les mineurs qu’il conviendrait de pouvoir inscrire dans le fichier seraient ceux qui ne présentent pas nécessairement de lien direct avec la délinquance, ces derniers étant déjà recensés dans le STIC, mais ceux qui y concourent d’une manière ou d’une autre. Aussi estiment-ils qu’il est difficile de définir clairement des critères précis et rigoureux de fichage des mineurs, dans la mesure où le choix de recenser tel mineur plutôt qu’un autre se fait « suivant la seule expérience des agents en charge des dossiers. »
Or, au regard des principes à valeur constitutionnelle de protection des mineurs (72) et face à l’aléa qui peut présider à l’inscription d’un mineur dans un fichier de renseignement, il convient de définir des critères précis et rigoureux, venant encadrer strictement les conditions dans lesquelles un mineur peut être recensé dans un tel fichier. La définition de ces critères fait débat.
Votre rapporteure recommande que deux critères cumulatifs soient expressément mentionnés dans la future loi autorisant la création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique, à la seule fin de les inscrire dans l’application « Gestion des violences urbaines » (GEVI)
En premier lieu, la définition de la première finalité proposée par vos rapporteurs constitue un critère plus précis et rigoureux que celui retenu par le décret EDVIRSP actuellement en cours de préparation. À cet égard, la Défenseure des enfants, dans son avis du 2 octobre 2008 sur le fichier EDVIRSP, a estimé que « le motif d’entrée dans le fichier EDVIRSP, qui est devenu un « risque d’atteinte à la sécurité publique », apparaît contenir des risques d’appréciation très subjective et nécessiterait d’être clairement précisé par une définition des éléments susceptibles de porter atteinte à la sécurité publique ». Votre rapporteure propose que les mineurs de plus de treize ans puissent être inscrits seulement lorsque, « en raison de leur activité individuelle et collective », ils peuvent « porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence ». La mission assignée à la sous-direction de l’information générale de lutter contre les violences urbaines est ainsi clairement identifiée et la collecte de données concernant des personnes mineures est strictement liée à cet objectif.
En second lieu, ce premier critère doit être complété par une deuxième condition. En effet, l’inscription de mineurs dans un fichier de renseignement ne peut être fondée uniquement sur des éléments d’appréciation subjectifs et, par nature, aléatoires, qui reviendraient dans les faits à faire peser sur l’ensemble des mineurs une « présomption » de délinquance. La rédaction de la future loi autorisant la création d’EDVIRSP devra prévoir que seuls puissent être référencés les mineurs qui sont déjà inscrits dans un fichier d’antécédents judiciaires, comme le STIC ou JUDEX. Ceux-ci sont en effet déjà mis en cause pour une infraction pénale. Ainsi, l’inscription au STIC ou au JUDEX constituerait un critère nécessaire, mais non suffisant, pour l’inscription initiale dans un fichier de renseignement, qui a, quant à lui, une finalité toute différente. Votre rapporteure rappelle, à ce titre, que la mission des services départementaux de l’information générale n’est pas de faire du « pré-judiciaire », mais bien de réaliser un travail d’information, de renseignement et d’analyse. Par ailleurs, en matière de violences urbaines, les besoins opérationnels des SDIG concernent, dans la très grande majorité des cas, des mineurs déjà largement connus des services de police. C’est pourquoi, votre rapporteure considère qu’il ne convient pas d’étendre la possibilité d’inscrire des mineurs dans un fichier de renseignement au-delà de ceux qui ont des antécédents judiciaires. Ces derniers sont au demeurant déjà trop nombreux puisque le nombre de mineurs mis en cause chaque année a augmenté de 12,9 % entre 2002 et 2007 (73).
En revanche, votre rapporteur estime qu’il n’est pas nécessaire d’ajouter un critère supplémentaire au premier. En effet, si l’inscription dans un fichier d’antécédents judiciaires (STIC ou JUDEX) devient nécessaire pour figurer dans EDVIRSP, apparaît le risque de répertorier dans deux fichiers différents les mêmes mineurs. Aussi votre rapporteur considère-t-il que le recours à un double critère se heurte à deux difficultés. D’une part, il conduirait à l’exploitation de deux fichiers en partie redondants. D’autre part, il constituerait une réponse inadaptée aux besoins des services de renseignement qui, afin de prévenir les menaces à la sécurité des biens et des personnes ainsi que les tensions urbaines, ont parfois besoin de répertorier des personnes qui n’ont pas encore forcément commis d’infraction.
Proposition n° 16 de votre rapporteur
Pourront être collectées et conservées dans le futur fichier EDVIRSP les données relatives aux mineurs de plus de treize ans lorsqu’« en raison de leur activité individuelle ou collective, ils peuvent porter atteinte à la sécurité des personnes et des biens ».
Proposition n° 16 bis de votre rapporteure
Ne pourront être collectées et conservées dans le futur fichier EDVIRSP et à la seule fin de les inscrire dans l’application « Gestion des violences urbaines » (GEVI), que les données relatives aux mineurs de plus de treize ans qui, d’une part, sont référencés dans un fichier d’antécédents judiciaires (STIC ou JUDEX) et, d’autre part, peuvent, « en raison de leur activité individuelle et collective, porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence, ainsi que les personnes entretenant ou ayant entretenu un lien direct et non fortuit avec ceux-ci ».
c) Sur la base de critères objectifs clairement définis pour le fichage des mineurs, étendre l’application « Gestion des violences urbaines » (GEVI) sur l’ensemble du territoire
La proposition de vos rapporteurs, visant à préciser, dans la rédaction de la future loi autorisant la création d’EDVIRSP, les critères d’inscription des mineurs de plus de treize ans dans un fichier de renseignement, poursuit un double objectif :
— d’une part, élargir l’application « Gestion des violences urbaines », développée et gérée par la préfecture de police, aux mineurs, sur la base des critères proposés par vos rapporteurs ;
— d’autre part, doter chaque service départemental d’information générale d’un fichier GEVI à vocation exclusivement départementale.
En effet, alors que le fichier GEVI, actuellement utilisé par la direction du renseignement de la préfecture de police de Paris, est une application moderne et performante, répondant aux besoins des services de renseignement en matière de violences urbaines, vos rapporteurs ont pu constater, à leur grande surprise, que la sous-direction de l’information générale ne connaissait pas l’existence de ce fichier. En outre, lors du déplacement réalisé à la direction départementale de la sécurité du Val-de-Marne, certains agents rencontrés ont confirmé ne pas connaître cette application, alors même que, dans le même temps, ils ont besoin d’un outil de travail performant et efficace en matière de violences urbaines.
L’APPLICATION GEVI DE LA DIRECTION DU RENSEIGNEMENT DE LA PRÉFECTURE DE POLICE
Conçue en 1996 en interne par la direction de la logistique de la préfecture de police, l’application dénommée « gestion des violences urbaines » (GEVI) a pour fondement juridique le décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des renseignements généraux (74). Il s’agit à ce titre d’un fichier de renseignement et non d’antécédents judiciaires.
Il constituera l’un des fichiers autorisés par la loi autorisant la création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP).
Le fichier GEVI constitue un traitement automatisé comprenant des données sur des individus majeurs ou des personnes morales susceptibles d’être impliqués dans des actions de violences urbaines ou de violences sur les terrains de sport pouvant porter atteinte à l’ordre public et aux institutions. Il contient actuellement 7 300 fiches (75).
Son mode d’exploitation permet, à partir de recherches élémentaires (un ou plusieurs champs), d’effectuer des rapprochements et d’établir des liens entre des individus, des groupes, des bandes, des événements et des faits. GEVI permet, à partir du renseignement collecté, un véritable travail d’analyse (réalisation de sociogrammes…).
Conformément au décret du 14 octobre 1991, aucun mineur n’était jusqu’ici enregistré dans le fichier ce qui constitue, selon la préfecture de police de Paris, un « lourd handicap pour l’efficacité de l’outil », un grand nombre d’acteurs de violences urbaines ne pouvant ainsi pas être pris en compte.
Ce traitement informatisé est géré par le pôle « phénomènes urbains violents » de la DRPP. Le fichier, qui n’est interconnecté avec aucune autre application, est exclusivement alimenté par les fonctionnaires chargés du suivi des phénomènes urbains violents et spécialement habilités par le préfet de police. Ils sont d’ailleurs les seuls à pouvoir le consulter. À l’avenir, les fonctionnaires spécialement habilités des services départementaux d’information générale de la région d’Île-de-France pourraient éventuellement contribuer à l’alimentation et consulter l’application au titre des missions d’animation et de coordination de la DRPP dans ce domaine.
GEVI étant un fichier de renseignement, à l’heure actuelle, aucune durée de conservation fixe n’est prévue. Les données ne sont conservées qu’en fonction des finalités (très strictement délimitées) du fichier et donc, pour l’essentiel, de l’intérêt qu’elles présentent au regard des phénomènes urbains violents.
De manière générale, GEVI est jugée comme étant une application « moderne et bien faite », dont les utilisateurs sont entièrement satisfaits en raison du caractère « très opérationnel » du logiciel. De surcroît, les rapporteurs ont pu constater que GEVI constituait une application fonctionnelle et souple d’utilisation.
Dans la mesure où la future loi autorisant la création de l’application concernant l’exploitation documentaire et la valorisation de l’information relative à la sécurité publique (EDVIRSP) constituera la base juridique autorisant le fichier GEVI et où le cadre juridique, qu’elle déterminera, s’imposera pleinement à cette application de la préfecture de police, la rédaction proposée par votre rapporteure permettra qu’à l’avenir, seuls puissent être recensés dans le fichier GEVI les mineurs, qui sont, d’une part, référencés dans un fichier d’antécédents judiciaires (STIC ou JUDEX) et qui, d’autre part, peuvent « en raison de leur activité individuelle et collective, porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence ».
En revanche votre rapporteur propose, pour sa part, que puissent être recensés dans le fichier GEVI les mineurs de plus de treize ans, qui, « en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes et des biens ».
Proposition n° 17 de votre rapporteur
Élargir l’application GEVI, actuellement développée et gérée par la préfecture de police, aux mineurs de plus de treize ans qui, « en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes et des biens ».
Proposition n° 17 bis de votre rapporteure :
Élargir l’application GEVI, actuellement développée et gérée par la préfecture de police, aux mineurs de plus de treize ans, qui, d’une part, sont référencés dans un fichier d’antécédents judiciaires (STIC ou JUDEX) et qui, d’autre part, peuvent, « en raison de leur activité individuelle et collective, porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence, ainsi que les personnes entretenant ou ayant entretenu un lien direct et non fortuit avec ceux-ci ».
Au regard du caractère performant et très opérationnel, vos rapporteurs proposent également que l’application GEVI soit diffusée sur l’ensemble du territoire. Ainsi, chaque service départemental d’information générale se verrait doter d’un fichier GEVI, qui aurait une vocation exclusivement départementale, afin de conserver le caractère opérationnel de cette application. En outre, l’application GEVI de la préfecture de police ne couvrant actuellement que le département de Paris, vos rapporteurs proposent que le fichier GEVI ait en Île-de-France une vocation régionale et qu’il puisse, à ce titre, être alimenté et consulté par les fonctionnaires spécialement habilités des services départementaux d’information générale de la région d’Île-de-France.
Proposition n° 18
Doter les services départementaux d’information générale (SDIG), situés dans des départements particulièrement confrontés à la gestion des violences urbaines, d’un fichier GEVI à vocation départementale.
Proposition n° 19
Dans le cas plus spécifique de l’Île-de-France, mettre en place un fichier GEVI à vocation régionale, en permettant l’alimentation et la consultation du fichier GEVI par les fonctionnaires spécialement habilités des services départementaux d’information générale de la région d’Île-de-France.
d) Le droit à l’oubli : pierre angulaire de la protection des mineurs
S’agissant des mineurs de plus de treize ans, qui pourraient figurer dans un fichier de renseignement, vos rapporteurs proposent en tout état de cause que soit introduit un droit à l’oubli. Si l’utilité pour la police de disposer d’informations sur certains mineurs, dans le cadre de la lutte contre les violences urbaines, peut être avérée, le mineur ne doit pas être pénalisé tout au long de sa vie par la conservation de données sur des comportements qui, pendant quelque temps, ont conduit à le ficher.
Dans sa décision n° 2003-467 DC du 13 mars 2003 sur la loi pour la sécurité intérieure, le Conseil constitutionnel, à propos des dispositions relatives aux fichiers d’antécédents judiciaires et aux enquêtes administratives inscrites aux articles 21 et 25 de la loi précitée, a rappelé que la durée de conservation des données concernant les mineurs « doit concilier, d’une part, la nécessité de rechercher les auteurs d’infractions et, d’autre part, celle d’assurer le relèvement éducatif et moral des mineurs délinquants ». Ces principes, définis par le juge constitutionnel pour les fichiers d’antécédents judiciaires, doivent par extension s’appliquer aux fichiers de renseignement.
Le droit à l’oubli, pierre angulaire de la protection des mineurs, fait par ailleurs largement consensus. Ainsi, Me Christian Charrière-Bournazel, bâtonnier de l’ordre des avocats à la Cour de Paris, avait souligné devant la commission des Lois le mercredi 17 septembre 2008 qu’ « il est logique que, lorsque des mineurs sont fichés pour des actes qui ne donnent pas lieu à procédure, ou à une procédure qui n’aboutit pas, ils puissent bénéficier d’un droit à l’oubli. »
Proposition n° 20
Introduire, dans les fichiers de renseignement, un droit à l’oubli pour les mineurs de plus de treize ans avec effacement de l’élément enregistré le jour du troisième anniversaire de son enregistrement, à défaut de nouvel événement.
Mais ce droit à l’oubli, pour être protecteur et effectif, doit bénéficier du contrôle de l’autorité judiciaire. En effet, la réticence à la collecte de données sur les mineurs dans un fichier de renseignement s’explique en partie par l’exclusion du contrôle du juge. Ainsi, vos rapporteurs proposent qu’un magistrat référent soit nommé sur le plan national pour contrôler la bonne application du droit à l’oubli.
Ce magistrat sera automatiquement saisi à la date du troisième anniversaire de l’intégration du mineur dans le fichier. Deux hypothèses seront alors envisageables. En l’absence de nouvel événement justifiant la conservation des données concernant le mineur, il s’assurera que celles-ci sont effectivement effacées. Si, au regard d’un nouvel événement, les services gestionnaires demandent le maintien des informations le concernant, ils devront alors présenter au magistrat l’ensemble des raisons justifiant le maintien dans le fichier.
En cas de maintien des données au-delà du troisième anniversaire de leur enregistrement, une clause de rendez-vous annuel entre les services gestionnaires et le magistrat référent sera prévue afin que, chaque année, les premiers viennent expliquer au second les raisons justifiant la poursuite du fichage du mineur. Si les explications sont insuffisamment fondées, le magistrat aura la possibilité d’ordonner l’effacement des données.
Proposition n° 21
Nommer un magistrat référent au plan national, chargé de veiller au respect du droit à l’oubli pour les mineurs à la date du troisième anniversaire de l’inscription dans le fichier. En l’absence de nouvel événement justifiant la conservation des données concernant le mineur, le magistrat s’assure que celles-ci sont effectivement effacées. Si, au regard de tout nouvel événement, les services gestionnaires souhaitent le maintien des informations concernant le mineur, ils doivent alors présenter au magistrat l’ensemble des raisons le justifiant.
Dans le cas où un tel maintien des données au-delà du troisième anniversaire est autorisé par le magistrat, les services gestionnaires et le magistrat référent doivent se réunir tous les ans, afin d’étudier de nouveau les raisons justifiant le maintien dans le fichier. S’il estime que la demande de maintien est insuffisamment motivée, le magistrat peut ordonner l’effacement des données.
2. Les mineurs dans les fichiers d’antécédents judiciaires
L’article 21 de la loi du 18 mars 2003 pour la sécurité intérieure, qui constitue la base législative des fichiers d’antécédents judiciaires, dispose que ces derniers « peuvent contenir des informations sur les personnes, sans limitation d’âge, à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient pu participer, comme auteurs ou complices, à la commission des infractions mentionnées au premier alinéa du I. » Les infractions concernées sont les crimes, les délits ainsi que les contraventions de cinquième classe « sanctionnant un trouble à la sécurité ou à la tranquillité publiques ou une atteinte aux personnes. »
Si la loi dispose que les mineurs peuvent être inscrits au STIC « sans limitation d’âge », la circulaire (76) du ministère de l’Intérieur relative aux modalités de mise en œuvre du STIC prévoit que « les informations relatives aux mineurs de moins de 10 ans ne sont pas enregistrées, sauf pour des faits particulièrement graves ou en raison de la personnalité des mineurs ». Elle offre donc un pouvoir d’appréciation aux services régionaux de documentation criminelle.
Ainsi, les mineurs mis en cause peuvent être inscrits au STIC ou dans JUDEX. Les informations les concernant sont alors conservées cinq ans. Par dérogation, le délai de conservation est ramené à :
— dix ans lorsque la personne est mise en cause pour l’une des infractions suivantes (77) : infractions contre les personnes, exploitation de la mendicité aggravée ou en bande organisée, vol avec violences, violences volontaires aggravées, trafic de stupéfiants autre que le trafic international, trafic d’êtres humains, exhibition sexuelle, infractions contre les biens, atteintes à la paix publique, recel de malfaiteurs, etc. ;
— vingt ans lorsque la personne est mise en cause pour l’une des infractions suivantes (78) : enlèvement, séquestration, prise d’otage, génocide et autres crimes contre l’humanité, homicide volontaire, tortures et actes de barbarie, agressions sexuelles, proxénétisme, viol, vol en bande organisée, vol à main armée, atteintes à la paix publique, actes de terrorisme, association de malfaiteurs et atteintes aux intérêts fondamentaux de la nation, etc.
En cas de mise en cause dans une ou plusieurs infractions avant que les délais de conservation des données initiales ne soient arrivés à expiration, les articles 7 des décrets portant respectivement création des fichiers STIC et JUDEX disposent que « le délai de conservation restant le plus long s’applique aux données concernant l’ensemble des infractions pour lesquelles la personne a été mise en cause ». Au regard de ces délais de conservation relativement importants, une définition plus stricte d’un régime spécifique pour les durées de conservation des données relatives aux mineurs dans les fichiers d’antécédents judiciaires paraît nécessaire.
LES AUTRES FICHIERS DE POLICE CONTENANT DES DONNÉES RELATIVES AUX MINEURS
Les fichiers d’antécédents judiciaires ne sont pas les seuls à contenir des données relatives aux mineurs : le FIJAIS concerne également les mineurs de plus de 10 ans et le FNAEG les mineurs de plus de 13 ans.
On notera que la circulaire du ministère de la Justice du 9 juillet 2008 relative au FNAEG indique qu’« il convient de faire preuve de prudence en matière de prélèvements des mineurs en qualité de suspects dans un souci de conciliation entre la finalité du FNAEG, d’une part, et les dispositions de l’ordonnance du 2 février 1945 relative à l’enfance délinquante, d’autre part ». Ainsi, ne sauraient être prélevés les mineurs de moins de 13 ans, ceux-ci ne pouvant faire l’objet que de mesures ou sanctions éducatives, mais pas de condamnations pénales. S’agissant des mineurs âgés de plus de 13 ans, « l’opportunité du prélèvement doit être appréciée avec rigueur, à l’issue d’un dialogue entre l’officier de police judiciaire et le parquet. »
C. LE SIGNALEMENT DES PERSONNES : À LA RECHERCHE DES « SIGNES PHYSIQUES PARTICULIERS, OBJECTIFS ET PERMANENTS »
Les fichiers d’antécédents judiciaires, que sont STIC et JUDEX, peuvent contenir des données sensibles, au sens de l’article 8 de la loi du 6 janvier 1978, « dans les seuls cas où ces données […] se rapportent à des signes physiques particuliers, objectifs et permanents, en tant qu’éléments de signalement des personnes, dès lors que ces éléments sont nécessaires à la recherche et à l’identification des auteurs d’infractions. » (79)
Il n’est cependant pas facile de définir précisément la manière de caractériser une personne, à partir de ses « signes physiques particuliers, objectifs et permanents. » Lorsqu’une infraction est commise, les services de police et de gendarmerie ont besoin d’informations aussi précises que possible leur permettant d’identifier rapidement les auteurs de ces infractions ou d’engager des recherches à partir des éléments de description du suspect tels qu’ils sont donnés par la victime ou les témoins. Si cette nécessité opérationnelle n’est contestée par personne, les modalités de cette identification et de son enregistrement dans les fichiers prêtent davantage à discussion. Faut-il recourir à une typologie ethno-raciale, comme celle actuellement utilisée dans le STIC-Canonge et dans son équivalent JUDEX, ou bien faut-il considérer la couleur de peau comme un « signe physique objectif », au même titre que la couleur des yeux ou des cheveux ? Si, sur le plan des principes, nombreuses sont les voix qui s’élèvent pour dénoncer la situation qui prévaut actuellement dans le STIC-Canonge, encore faut-il proposer une solution alternative capable de répondre aux besoins des enquêteurs.
1. Le STIC-Canonge et son équivalent JUDEX : une identification des personnes recherchées basée sur une typologie ethno-raciale
Créé en 1950 par l’inspecteur principal René Canonge de la sûreté urbaine de Marseille, il s’agissait, à l’origine, d’un fichier signalétique manuel avec photographie. Développé dans le cadre du système de traitement des infractions constatées (STIC) et informatisé en juin 1992, le logiciel Canonge permet d’identifier un auteur d’infraction à partir du signalement donné par une victime ou un témoin. L’identification se fait au moyen d’une base documentaire (textes et photographie) constituée de notices individuelles pour chaque personne déjà mise en cause dans une procédure judiciaire. On estime que grâce aux deux millions de personnes recensées, il permet chaque année d’identifier plus de 30 000 personnes.
Chaque notice individuelle comprend la photographie, l’identité complète ainsi que l’adresse de la personne mise en cause, les infractions pour lesquelles le mis en cause a été signalé, les références des procédures, les complices éventuels ainsi que les éléments du signalement du mis en cause. Parmi ces derniers, on trouve le sexe, le type, l’âge apparent, la taille, la corpulence, les cheveux, la couleur des cheveux, la couleur des yeux, l’accent et les signes particuliers.
Dans la partie « signalement », un filtre sur le « type » distingue 12 types différents : blanc (caucasien) ; méditerranéen ; gitan ; moyen-oriental ; nord-africain maghrébin ; asiatique eurasien ; amérindien ; indien (Inde) ; métis mulâtre ; polynésien ; mélanésien canaque. De nombreux observateurs, comme SOS Racisme, émettent de fortes réserves à l’égard du fichier STIC-Canonge, dans la mesure où il opère une classification sur la base d’une nomenclature fondée en partie sur les appartenances « ethno-raciales » supposées. De surcroît, cette classification ne figure dans aucun texte et semble contraire aux principes figurant dans le Préambule de la Constitution, qui postule l’unicité du peuple français à son article 1er. Enfin, les catégories, qui sont actuellement utilisées dans le cadre de la typologie STIC-Canonge, méconnaissant le « métissage » de la population.
2. Les nouvelles classifications proposées par le groupe de travail d’Alain Bauer en 2006 : des amendements à la marge de la typologie Canonge
Dans le cadre de ses travaux sur l’évolution du fichier STIC-Canonge, et notamment des types mentionnés en vue de l’identification puis de l’interpellation des individus recherchés, le groupe de travail, présidé par M. Alain Bauer, avait proposé en 2006 une nouvelle déclinaison, reposant sur la suppression du type « gitan » et la redéfinition des autres types, à savoir : européen (avec trois subdivisions : nordique, caucasien, méditerranéen) ; africain/antillais ; métis ; maghrébin ; moyen-oriental ; asiatique ; indo-pakistanais ; latino-américain ; polynésien ; mélanésien.
À ce jour, et au regard des auditions réalisées par vos rapporteurs, les services de la police nationale, contrairement à ceux de la gendarmerie, n’ont pas mis en œuvre cette nouvelle typologie, pour des raisons techniques liées à la difficulté de requalifier le stock des données au regard de la nouvelle classification. Bien que les propositions faites en 2006 n’aient pas été mises en œuvre, le groupe de travail sur les fichiers de police a recommandé en 2008 de nouvelles modifications de la classification Canonge : le type « européen » disparaît au profit du type « caucasien » et « méditerranéen », alors que le type « asiatique » devient le type « asiatique/eurasien ». De la même manière, le type « latino-américain » disparaît au profit du type « amérindien ». Le groupe de travail a également rappelé sa volonté de voir disparaître le type « gitan », tout en recommandant la requalification du stock existant.
Or, ces différentes propositions d’amendement à la marge de la typologie Canonge ne semblent pas faire l’unanimité au sein même du groupe de travail présidé par M. Alain Bauer. En effet, M. Jean-Marc Leclerc, journaliste au Figaro, a fait observer que « concernant le fichage Canonge des personnes, et son équivalent dans le fichier JUDEX de la gendarmerie, il importe de constater que les forces de l’ordre ne sont pas demandeuses d’une réforme. Ces professionnels sont le mieux à même d’exprimer, dans un souci de pragmatisme, quelle typologie représente le moyen le plus efficace d’identifier un auteur d’infraction quand débute une enquête. » Par ailleurs, M. Christian Lothion, directeur central de la police judiciaire, a souligné lors de son audition par vos rapporteurs que les recommandations successives faites par le groupe de travail présidé par M. Alain Bauer n’ont pas été prises en compte pour des raisons essentiellement techniques : « le problème, c’est de répartir différemment une catégorie en plusieurs catégories ». Ainsi, le groupe de travail proposait-il en 2006 que la catégorie « blanc caucasien » soit subdivisée en trois sous-catégories (nordique, caucasien, méditerranéen). Or, cette nouvelle typologie impliquait d’isoler les « blancs caucasiens » des deux millions de personnes recensées dans le Canonge (soit plus de 500 000) et de passer en revue manuellement l’ensemble des fiches afin de les répartir dans les sous-catégories adéquates. Aux dires des services, il s’agit là d’un vrai problème technique, qui aurait nécessité la mobilisation de nombreux agents, sans que l’utilité de cette nouvelle typologie soit avérée. Aussi a-t-il émis des doutes sur la pertinence de la requalification de la catégorie « amérindien », qui deviendrait « latino-américain ». De la même manière, dans sa contribution au deuxième rapport du groupe de travail sur les fichiers de police, la Haute autorité de lutte contre les discriminations (HALDE) rappelle qu’elle ne peut considérer que « la classification proposée institue un outil fondé sur des critères objectifs », insistant sur le fait que « la typologie ainsi proposée, comme celle qui existe déjà, fait davantage référence à l’origine dite « ethnique » des personnes qu’à leurs caractéristiques physiques objectives » (80).
3. Identification des personnes recherchées : typologie ethno-raciale versus portrait-robot
Les principales critiques résident dans le fait que la typologie, ainsi proposée, comme celle qui existe déjà, fait davantage référence à l’origine dite « ethnique » des personnes qu’à leurs caractéristiques physiques objectives.
Afin d’appuyer l’avis défavorable qu’elle a émis à l’encontre de la typologie proposée, la HALDE a tenu à souligner dans sa contribution au rapport sur les fichiers de police remis en 2008 au ministre de l’Intérieur que « la reprise du terme « latino-américain » utilisé aux États-Unis et en Grande-Bretagne pour définir une catégorie ethno-raciale semble particulièrement éloquente à ce sujet, tout comme le type « africain/antillais » qui s’apparente plus à l’origine réelle ou supposée des intéressés qu’à leur description physique ». L’autre risque mis en avant par des autorités, comme la HALDE et la Commission nationale consultative des droits de l’homme, ou des associations, comme SOS Racisme, est celui de la mise en place de statistiques ethniques, à partir des données collectées et des informations présentes dans le STIC ou dans JUDEX, tendant à générer du racisme en établissant, par exemple, que l’appartenance à tel type ethno-racial est surreprésentée parmi certains auteurs de crimes ou délits.
Dans ses recommandations du 16 mai 2007 sur la mesure de la diversité et la protection des données, la CNIL avait, de manière plus générale, émis de fortes réserves sur la création d’une nomenclature nationale de catégories « ethno-raciales » et avait estimé que la décision de principe de créer une telle nomenclature, si elle devait être utilisée de façon obligatoire, relèverait du législateur, sous le contrôle du Conseil constitutionnel.
C’est pourquoi, comme le souligne SOS Racisme, dans sa contribution au rapport Bauer sur les fichiers de police (81) (2008), il serait plus judicieux pour le STIC-Canonge de faire référence « à la couleur de peau telle que perçue par les témoins ». Ainsi, le signalement de la personne mise en cause se ferait à partir de sa couleur de peau, au même titre que la couleur de ses cheveux ou de ses yeux. La couleur de peau constituerait, pour M. Alain Bauer, un « critère objectif stable », davantage adapté au métissage à l’œuvre dans la société française.
Ainsi, vos rapporteurs considèrent qu’il est nécessaire de mettre un terme définitif à la typologie actuellement utilisée pour le STIC-Canonge au profit d’une identification des personnes recherchées fondée sur les éléments constitutifs du portrait-robot, dont la couleur de peau, telle que perçue par les témoins ou la victime, fait partie.
Proposition n° 22
Remplacer la typologie ethno-raciale du STIC-Canonge et de son équivalent JUDEX par les éléments du portrait-robot, dont la couleur de peau est une composante au même titre que la couleur des yeux et des cheveux, par exemple.
III. GARANTIR L’EXACTITUDE DES FICHIERS
Aux termes de l’article 6 de la loi n° 78-17, la licéité des traitements de données à caractère personnel suppose notamment que celles-ci « sont exactes, complètes et, si nécessaire, mises à jour » ; en outre, « les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». Par-delà le peu d’intérêt d’outils incomplets ou approximatifs pour les services de police eux-mêmes, il convient de souligner combien l’exactitude des données figurant dans les fichiers conditionne très largement leur légitimité aux yeux des citoyens. En pratique, la question de l’exactitude des fichiers de police se pose toutefois en des termes sensiblement différents selon qu’il s’agit de fichiers d’identification ou de fichiers d’antécédents judiciaires. Les premiers ont fait l’objet de précautions particulières dans la définition de leur architecture et de leurs caractéristiques techniques, ce qui s’explique naturellement par le rôle décisif qu’ils peuvent jouer en matière de preuve, à charge ou à décharge. Ils n’en connaissent pas moins des problèmes sérieux, liés non pas à l’inexactitude des informations saisies, mais aux délais observés pour faire face aux flux croissants de signalements en provenance des services enquêteurs. S’agissant des fichiers d’antécédents, et singulièrement du STIC, la situation est complètement différente : c’est au niveau des données saisies elles-mêmes et de l’ensemble du processus de contrôle de la qualité que se situent les difficultés. Celles-ci sont telles qu’il est malheureusement illusoire de compter sur les dispositifs actuels de mise à jour par les autorités judiciaires ou, en dernier ressort, par la CNIL, pour espérer pouvoir remédier au volume considérable des erreurs de toutes sortes, de portée inégale, mais parfois très sérieuses.
A. DES FICHIERS D’IDENTIFICATION QUI ONT DU MAL À INTÉGRER ET À EXPLOITER LE FLUX DES DONNÉES
1. Une modernisation nécessaire du fichier automatisé des empreintes digitales
• Créé par le décret n° 87-249 du 8 avril 1987 (modifié par le décret n° 2005-585 du 27 mai 2005), le fichier automatisé des empreintes digitales (FAED) est un fichier commun à la police et à la gendarmerie nationales. Il permet, d’une part, d’identifier les traces digitales et palmaires relevées sur les scènes d’infraction, afin de rechercher et d’identifier les auteurs de crimes ou de délits, et, d’autre part, de détecter les usurpations d’identité et les identités multiples. À cet effet sont enregistrées dans le FAED : les traces relevées au cours des enquêtes judiciaires ou sur ordre de recherches délivré par une autorité judiciaire ; celles relevées à l’occasion d’une enquête ou d’une instruction pour recherche des causes d’une disparition inquiétante ou suspecte ; les empreintes relevées, dans le cadre des enquêtes pour crimes ou délits, sur les personnes à l’encontre desquelles il existe des indices graves ou concordants ; enfin, les empreintes relevées dans les établissements pénitentiaires afin de s’assurer de l’identité de la personne détenue et d’établir les cas de récidive.
La durée de conservation des données est de 25 ans au maximum pour les empreintes (ou jusqu’aux 70 ans de la personne) et fonction du délai de prescription de l’action publique pour les traces (3 ans pour les délits et 10 ans pour les crimes).
• Alors qu’auparavant les fiches papiers étaient toutes envoyées par courrier aux divers centres d’alimentation du FAED pour saisie manuelle, ce qui représentait un énorme travail, ce fichier est désormais pour partie alimenté par les commissariats grâce des terminaux de signalisation, dans 58 % des cas. Leur équipement au moyen de deux types de bornes autorise une transmission en temps réel des empreintes digitales. Il s’agit des bornes T1, présentes dans 52 sites traitant un haut volume de signalisation et d’une valeur unitaire de 75 000 euros. Ce type de terminal permet la capture sans encrage sur un bloc optique et la numérisation immédiate des relevés dactyloscopiques. Les bornes T4, au nombre de 251 et d’une valeur unitaire de 15 000 euros, offrent seulement une faculté de numérisation des fiches papiers. Par ailleurs, en cas d’urgence nécessitant une réponse rapide, les empreintes relevées peuvent être envoyées par télécopie.
Cette modernisation des modalités de transmission permet également aux services enquêteurs de bénéficier d’un retour d’information beaucoup plus rapide. Un résultat en matière d’identification et de rapprochement peut ainsi être obtenu dans un délai de cinq à six heures par l’intermédiaire des bornes. Dans tous les cas, le FAED établit une simple liste de rapprochements potentiels, auxquels sont associés des seuils de correspondance. Une validation humaine est toujours requise au terme du processus par un travail de dactyloscopie (82).
Au 1er octobre 2008, le FAED comptait 2 998 523 individus enregistrés et 171 801 traces non identifiées. Environ 4,7 % de la population française y figurent. La France reste parmi les pays européens dont la base de données dactylaires est assez peu volumineuse rapportée à la population, puisque ce taux représente 11,8 % au Royaume-Uni et 7 % en Italie. La position relative de la France se rapproche davantage de celles de l’Espagne (4,8 %) et de la Belgique (4,7 %), tandis que la proportion de personnes dont les empreintes digitales ont été relevées représente 4 % en Allemagne.
Entre le 1er janvier et le 1er octobre 2008, le FAED a permis d’identifier 11 697 traces (plus de 13 000 sur l’ensemble de l’année 2007) et de détecter 61 273 usurpations d’identités ou identités multiples.
• Le FAED doit cependant faire face à deux grandes difficultés : une alimentation inégale en quantité et en qualité, d’une part, et une technologie dépassée, d’autre part.
De fait, ce n’est qu’à partir de 2003 que le rythme annuel des saisies de fiches décadactylaires s’est accéléré. Ainsi, alors que le fichier est passé d’un à deux millions d’individus entre 1998 et le début de 2005, il est ensuite passé de deux à trois millions d’individus en trois ans. Cette accélération significative au cours des cinq dernières années s’explique par l’augmentation constante du nombre de gardes à vue, mais aussi par le déploiement des terminaux de signalisation et par le développement de la police technique permettant une augmentation des signalisations des mis en cause. Toutefois, en moyenne, que ce soit pour la police ou la gendarmerie, seulement 80 % des gardes à vue pour lesquelles la signalisation est possible donnent lieu à un relevé d’empreintes digitales. La contribution de la gendarmerie nationale à l’alimentation du FAED reste insuffisante, faute de moyens adaptés. La part de la gendarmerie dans le total des fiches enregistrées n’a cessé de baisser entre 2004 et 2007, passant de 22,3 % à 14,8 %. Celle-ci n’est en effet pas dotée de bornes, ce qui se traduit par des délais importants pour la remontée à l’échelon de la région des relevés décadactylaires effectués par les brigades territoriales, même si les réseaux Rubis et Saphir sont utilisés à titre de palliatif. En outre, la plate-forme FAED du service technique de recherches judiciaires et de documentation (STRJD) connaît des difficultés importantes d’enregistrement des fiches qui lui sont transmises en raison d’une insuffisance de personnels. Tous ces éléments pèsent de manière dommageable sur l’efficacité générale du fichier, et sont à l’origine d’une certaine démotivation des personnels.
Par ailleurs, des progrès doivent être réalisés en matière de qualité des relevés effectués. Celle-ci reste en effet inégale, avec près de 7 % de cas où elle est tellement insuffisante qu’il ne peut être procédé à l’enregistrement. Avec le système actuel, il n’est malheureusement pas possible d’identifier la provenance géographique des relevés d’empreintes dont la qualité est la moins satisfaisante ; avec le nouveau moteur du fichier, il sera possible d’identifier les régions ou les unités « défaillantes » et d’adapter en conséquence la politique de formation des personnels si le taux d’erreur dépasse un certain seuil.
Le moteur actuel du FAED est constitué par la version 3.1 du système MORPHO, qui date de 1999 et permet seulement des rapprochements d’empreinte à empreinte ou des rapprochements d’empreinte à trace. Compte tenu du volume atteint par le fichier et du nombre accru de demandes de comparaisons, ce système apparaît désormais sous dimensionné et a atteint ses limites. Une nouvelle version du moteur sera opérationnelle à la fin de l’année 2009 ou au début de l’année 2010 : le système MetaMorpho, développé par la SAGEM. Adaptée aux bornes T1 et T4, cette version offrira des algorithmes de calcul plus performants, permettant de faire des rapprochements de trace à trace. L’exploitation des empreintes palmaires, dont la collecte a déjà commencé, va augmenter le nombre de rapprochements (83). Il est donc probable que dès les premiers mois de sa mise en place, MetaMorpho va permettre de résoudre de nombreuses affaires ou donner de nouvelles pistes d’enquêtes. Selon les mots d’un des responsables auditionnés, « cela va ‘‘hiter’’ ». On rappellera à cet égard que le FAED comprend 171 000 traces non résolues.
Par-delà les progrès technologiques, il faudra veiller à ce que la politique menée en matière de ressources humaines permette de disposer des personnels nécessaires pour exploiter pleinement l’outil modernisé. Un soin tout particulier doit ainsi être apporté à la formation et à l’entretien du « vivier » des dactylotechniciens (dits « traceurs ») ; la transmission de ces compétences très pointues est en effet essentielle pour l’efficacité du fichier.
Proposition n° 23
Afin de garantir une meilleure alimentation du fichier automatisé des empreintes digitales, déployer de bornes de signalisation T1 et T4 dans les unités de la gendarmerie nationale, aussi bien dans les 100 brigades départementales de renseignements et d’investigations judiciaires que dans les unités territoriales les plus chargées.
2. Des garanties très sérieuses d’exactitude des données en matière d’empreintes génétiques
a) Un processus d’alimentation du FNAEG très encadré, afin de garantir l’exactitude des informations
• Comme a pu le relever un magistrat entendu par vos rapporteurs, le FNAEG est un outil qui fonctionne selon un cahier des charges précis et respecté. À la différence du STIC, il s’agit d’un fichier très normé et cloisonné. Lors de la mise en place du FNAEG, il a été décidé de ne pas « lésiner » sur les garanties d’exactitude, et celles-ci sont sans comparaison avec celles offertes par son homologue britannique. Ces garanties s’expriment à plusieurs niveaux.
Tout d’abord, la France est le seul pays en Europe à avoir mis en place un système de conservation des prélèvements biologiques, aussi bien s’agissant de kits FTA de prélèvement que de pièces à conviction (certaines étant préservées par cryogénie). Ces éléments sont conservés au sein du service central de préservation des prélèvements biologiques (SCPPB), situé à Pontoise. L’ensemble des prélèvements biologiques est archivé pour une durée de quarante ans, ou jusqu’aux 80 ans de l’individu ayant fait l’objet d’un prélèvement.
Dès réception du dossier par la sous-direction de la police scientifique et technologique, située à Écully, une cellule dite « contentieux juridique » en examine avec soin tous les éléments avant intégration dans le fichier, pour vérifier que les dispositions législatives et réglementaires ont bien été respectées à tous les stades de la procédure (nature de l’affaire, réquisition d’un OPJ, etc.). Au total, cette cellule identifie et traite entre 2 000 et 3 000 dossiers par an comprenant des anomalies administratives diverses.
Un système de saisie en double aveugle est destiné à limiter les risques d’erreurs au stade de l’alimentation. Lorsque le résultat d’analyse en provenance d’un laboratoire parvient à Écully (84), les opérateurs saisissent manuellement la totalité du profil génétique. Pour chaque profil, ils renseignent également les données nominatives (état civil, filiation, etc.) ainsi que les données relatives à l’infraction (date de jugement, tribunal, requérant, etc.) et au kit utilisé (numéro de code barre, nom de la personne ayant effectué les tests en laboratoire). L’ensemble de ces données fait ensuite l’objet d’une seconde saisie, afin d’en garantir la cohérence et l’exactitude. Toutes ces précautions présentent un coût, mais offrent assurément des garanties infiniment supérieures au système adopté au Royaume-Uni, où seulement 25 % des profils sont traités en double analyse, sur la base d’un choix aléatoire.
Enfin, les comparaisons réalisées par le système informatique sont validées par un expert. Le moteur du fichier offre un certain nombre de propositions de rapprochements, qu’il appartient à un opérateur de vérifier. Il revient ensuite à un biologiste, ayant le statut d’expert agréé auprès d’une cour d’appel, de se prononcer sur le résultat définitif du rapprochement.
Le taux d’erreur de saisie apparaît en conséquence très faible. Sur les six premiers mois de 2008, 11 profils n’ont pas pu être validés en raison d’incohérences, les erreurs affectant de manière égale la police et la gendarmerie nationales, ainsi que les laboratoires privés et publics. Il convient de souligner que ces incohérences ont pu être identifiées par l’application des différentes procédures de contrôle de la qualité, les fiches incomplètes étant renvoyées aux responsables initiaux des erreurs.
• Toujours au titre des garanties, on relèvera que l’article R. 53-16 du code de procédure pénale dispose que le FNAEG est placé sous le contrôle d’un magistrat du parquet hors hiérarchie, nommé pour trois ans, et assisté par un comité de trois personnes. Cette équipe est formée actuellement par un magistrat du parquet, un informaticien (directeur à l’INSERM) et un biologiste. Le magistrat référent est également en charge du suivi du fonctionnement du SCPPB.
Le rôle du magistrat référent porte avant tout sur le contrôle de la définition des processus et de leur mise en œuvre, ainsi que sur la validation des éventuelles modifications qui pourraient apparaître nécessaires. En trois ans, l’actuel titulaire n’a été saisi d’aucune requête individuelle à des fins de rectification. En pratique, ce magistrat effectue plusieurs visites par an sur place pour contrôler le fichier. Il est destinataire de l’ensemble des rapports de service du SCPPB et du FNAEG. Il joue également un rôle de conseil, les services de police technique et scientifique chargés de l’administration du fichier le sollicitant sur des points juridiques délicats.
b) Vers la fin de la crise de croissance du FNAEG ?
Le FNAEG a énormément changé depuis sa création (85). Il est passé d’un fichier où n’étaient recensés que les condamnés pour certains crimes et délits, soit environ 10 000 personnes par an, à un fichier comprenant plusieurs centaines de milliers d’inscriptions d’individus supplémentaires chaque année, le signalement étant désormais opéré pour l’essentiel à l’initiative d’un OPJ (86). Or, comme l’a relevé un des magistrats auditionnés, en 2004, « nous étions encore dans le domaine de l’utopie, car le Parlement avait multiplié les exigences sans se soucier de la logistique ». La grande affaire du FNAEG ces dernières années a donc été d’absorber l’augmentation considérable des flux de prélèvements, conséquence directe de l’élargissement de l’objet du fichier. Aussi un double engorgement s’est-il manifesté, s’agissant non seulement de l’analyse des empreintes par les laboratoires, mais aussi au stade de l’insertion des résultats obtenus dans le fichier lui-même. De l’« artisanat », il a fallu passer à l’« industrialisation ».
• Le premier point qui avait été mal anticipé concerne les capacités des chaînes de génotypage des laboratoires publics. Un recours important à des laboratoires privés a permis pour partie de combler ces lacunes pendant la phase d’amélioration des capacités des laboratoires publics. La capacité de traitement est désormais répartie de la manière suivante : le site de l’Institut national de la police scientifique (INPS), à Lyon, peut traiter 120 000 empreintes par an ; l’Institut de recherches criminelles de la gendarmerie nationale est en mesure de traiter environ 80 000 profils ; enfin, les laboratoires privés CODGENE (Strasbourg) et IGNA (87) (Nantes) disposent à eux deux d’une capacité d’environ 300 000 analyses par an. Les capacités d’analyses des laboratoires publics devraient encore progresser en 2009. L’objectif fixé pour 2009 est de doubler la capacité automatisée de génotypage du laboratoire de Lyon, afin de passer de 10 000 à 20 000 profils par mois. À cet effet, 2,5 millions d’euros sont affectés à l’acquisition de matériels supplémentaires pour l’INPS et au recrutement de 10 techniciens biologistes supplémentaires. Cette mesure devrait permettre de faire face au flux de demandes nouvelles et de traiter progressivement le retard accumulé, soit plus de 80 000 profils à la fin de l’année 2008.
Les investissements consentis en faveur des laboratoires publics ont parfois été critiqués en raison du ralentissement du flux annuel de profils à saisir pouvant être anticipé à terme. Compte tenu du fait que de nombreux délinquants d’habitude n’ont pas vocation à être signalés de nouveau, le système finira par atteindre une forme de « plateau » s’agissant de l’intégration de nouveaux profils. Toutefois, l’existence d’une filière publique permettra d’éviter la reconstitution d’une position oligopolistique des laboratoires privés, qui n’a pas été sans influence sur les coûts lors de la mise en place du fichier. Dès 2005, une mission de l’IGPN sur la maîtrise des coûts en matière génétique a été créée, dont l’un des premiers effets a été une baisse significative des tarifs pratiqués par les laboratoires privés, de peur d’un tarissement des commandes publiques. Le coût unitaire de la réalisation d’un profil est ainsi passé de 350 euros à 80 euros, avant d’être ramené au niveau actuel d’environ 50 euros. Compte tenu d’un flux annuel d’environ 400 000 analyses actuellement, les coûts associés à l’alimentation du FNAEG restent encore importants.
• Le deuxième goulet d’engorgement du FNAEG se situe à l’étape de l’intégration des données dans la base. Outre le fait que les procédures sont particulièrement lourdes, l’insuffisance de personnels a eu un impact direct sur la vitesse de mise à jour du fichier en fonction de résultats d’analyses reçus. Compte tenu du retard dans la saisie, les délais observés ont pu atteindre jusqu’à un an, ce qui n’a pas été sans conséquences sur la perception de l’utilité du fichier au sein des services enquêteurs dans un premier temps.
En outre, lors du déplacement à Écully, les personnes rencontrées ont été unanimes pour considérer que le FNAEG était actuellement dans une « phase techniquement difficile ». Les logiciels du traitement n’ont en effet pas été prévus pour traiter une telle masse d’information. Actuellement, le FNAEG fonctionne avec un moteur de recherche de secours, le CODIS, développé par le FBI ; le moteur développé par les services informatiques du ministère de l’Intérieur n’a pas résisté à la montée en puissance du fichier et a accumulé des temps de réponse prohibitifs. Après des développements assez laborieux, un nouveau moteur devrait être déployé prochainement, avec pour objectif de ramener de huit minutes à 20 secondes le temps nécessaire pour effectuer une comparaison de profil.
Pour faire face à cette situation, dès 2006 des vacataires sont venus renforcer le service gestionnaire à plusieurs reprises, leur effectif atteignant jusqu’à trente personnes entre mars et novembre 2006. Environ 50 personnes sont affectées à la saisie des données sur le site d’Écully et, avec le recours aux vacataires en période de pointe, les effectifs peuvent être portés à 90. Le temps de réponse dans l’alimentation est désormais jugé satisfaisant et il n’y a plus de difficultés liées à la surcharge des profils à « rentrer ».
L’utilité du fichier est désormais bien perçue par l’ensemble des services enquêteurs s’agissant des affaires de criminalité ou de délinquance sérieuse. Il a permis de rapprocher 17 190 affaires depuis sa création.
EXEMPLE D’AFFAIRE RÉSOLUE GRÂCE AU FNAEG
Dans le cadre des constatations techniques effectuées sur la scène d’un nouveau fait de viol perpétré en 2007 à Grenoble, plusieurs traces papillaires latentes étaient mises en évidence dans l’appartement de la victime.
Deux traces papillaires, exploitées au FAED, identifiaient un individu connu pour actes d’exhibition sexuelle et violation de domicile en 1998.
À la suite d’un prélèvement biologique effectué sur l’individu, le FNAEG rapprochait le profil extrait de ce prélèvement avec les profils extraits de dix traces différentes, relevées dans dix affaires de viol et agressions sexuelles aggravées, toutes perpétrées à Grenoble.
L’histoire du FNAEG n’est malheureusement pas composée seulement de succès. Des dysfonctionnements se sont en effet manifestés, le plus célèbre étant celui de la non-inscription du profil de Bruno Cholet dans le fichier, alors qu’un prélèvement avait été opéré en 2005. Le dossier envoyé par un laboratoire privé étant incomplet, il n’avait pas été possible d’intégrer les résultats d’analyse. Il avait été adressé en retour au service de police ayant fait la demande, sans qu’un suivi soit assuré de son évolution. L’obligation pour les OPJ d’effectuer désormais leurs réquisitions par voie de message informatique, toutes les demandes sous forme papier étant refusées, devrait offrir une plus grande traçabilité. Néanmoins, l’engorgement du FNAEG a pu avoir des conséquences dommageables sur l’élucidation de certains crimes. Ainsi, alors qu’un prélèvement ADN sur l’auteur d’une agression sexuelle arrêté en flagrant délit en Seine-Saint-Denis en 2006 aurait pu permettre d’effectuer rapidement un rapprochement avec l’auteur présumé de trois viols commis entre 2004 et 2005, celui-ci n’a été élucidé qu’à l’automne 2007 car « cette agression n’était pas considérée comme prioritaire. L’empreinte génétique de son auteur n’a été inscrite au fichier national qu’un an après » (88), selon un enquêteur.
En outre, il conviendra d’être particulièrement vigilant sur les conditions pratiques d’alimentation du fichier compte tenu de l’augmentation prévisible des analyses de traces découlant de la généralisation des prélèvements sur des scènes d’infraction. Le plan triennal 2008-2010 pour une police technique et scientifique plus performante dans la lutte contre la délinquance de masse fixe en effet l’objectif de couvrir par l’investigation technique, dès lors que des traces peuvent être recueillies, 100 % des cambriolages, des véhicules signalés volés et découverts, ainsi que 100 % des autres délits de voie publique. La rapidité du retour d’information vers les enquêteurs apparaît comme l’une des conditions de l’efficacité de la politique de systématisation du recours à la police technique et scientifique.
c) Préciser davantage les circonstances dans lesquelles un prélèvement peut être effectué
Comme l’a indiqué un responsable du ministère de la Justice, « la prise d’ADN en profil était un peu trop systématique ».
• L’article 706-55 du code de procédure pénale fixe le champ des infractions pour lesquelles un prélèvement biologique est possible. Son extension a notamment été justifiée par une évolution qualitative de la délinquance : d’une part, les auteurs de crimes et de délits seraient de moins en moins spécialisés et de plus en plus « multicartes », d’autre part, il s’avère qu’ils laissent désormais peu d’empreintes digitales exploitables. Ces dernières tendent donc à être remplacées par les traces biologiques pour confondre les délinquants et criminels. Il convient de rappeler à cet égard que l’article 706-54 prévoit que « les empreintes génétiques conservées dans ce fichier ne peuvent être réalisées qu’à partir de segments d’acide désoxyribonucléique non codants, à l’exception du segment correspondant au marqueur du sexe », c’est-à-dire qu’ils ne permettent pas de déterminer les caractéristiques organiques, physiologiques ou morphologiques des personnes concernées.
Le dispositif législatif présente cependant encore plusieurs ambiguïtés qu’il convient de lever.
L’article 706-54 dudit code prévoit les trois cas de figure pour lesquels il est possible d’effectuer un prélèvement biologique sur une personne, tout refus pouvant être sanctionné au titre du II de l’article 706-56 (89) :
- le premier alinéa prévoit le cas des personnes condamnées pour l’une des infractions entrant dans le champ du fichier ;
- le deuxième alinéa concerne les personnes à l’encontre desquelles il existe des indices graves ou concordants qu’elles aient commis l’une de ces infractions ;
- le troisième alinéa porte sur toute personne « à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis un crime ou un délit ». Dans ce cas, il s’agit simplement d’un prélèvement à fin de comparaison, et non pas pour enregistrer un profil supplémentaire dans le fichier. Cette faculté a notamment été utilisée dans des affaires criminelles pour vérifier si l’auteur des faits habitait dans le village où ils avaient été commis, comme dans le cas de l’assassinat de la famille Flactif au Grand-Bornand, en 2003.
Pour les condamnés et les suspects visés à l’alinéa 2, la possibilité de prélever est strictement limitée aux infractions mentionnées à l’article 706-55. Si cette liste ne comprenait que des infractions d’une particulière gravité aux termes de la loi n° 2001-1062 du 15 novembre 2001 (90), elle a été très largement étendue par la loi du 18 mars 2003 pour la sécurité intérieure. Demeurent toutefois hors de cette liste d’infractions les délits routiers ou les infractions à la législation sur les étrangers. Au cours des auditions, il a dans l’ensemble été indiqué à vos rapporteurs que dans les cas couverts par le deuxième alinéa, les services enquêteurs avaient plutôt fait preuve de prudence en matière de signalement au FNAEG des mis en cause, préférant s’abstenir en cas de doute. En témoigne le fait qu’en moyenne, aussi bien pour la police que pour la gendarmerie nationales, 50 % des cas de gardes à vue pour lesquelles un prélèvement est juridiquement possible aux termes du deuxième alinéa de l’article 706-54 précité donnent effectivement lieu à une telle opération.
• Toutefois, selon un responsable du ministère de la Justice, « la prise d’ADN en profil était un peu trop systématique » et plusieurs juridictions de première instance ou d’appel saisies de d’infractions de refus de prélèvement ont rendu des décisions de relaxe, au motif qu’elles n’étaient pas en mesure d’apprécier la régularité de la décision des OPJ. Comme le relève une circulaire du ministère de la Justice du 9 juillet 2008 (91) : « Dans ces affaires, qui ont jusqu’à présent toutes concerné des « suspects » et non pas des condamnés, les magistrats ont estimé ne pas disposer des éléments suffisants pour apprécier s’il existait réellement des indices graves ou concordants, ou une ou plusieurs raisons plausibles, de soupçonner que l’individu prélevé avait commis un crime ou un délit figurant à l’article 706-55 du code de procédure pénale. Plusieurs juridictions ont ainsi considéré que la simple information selon laquelle l’intéressé faisait l’objet d’une garde à vue ne suffisait pas à caractériser en quoi il était suspect au sens de l’alinéa 3 de l’article 706-54 du code de procédure pénale. »
S’agissant de prélèvements opérés dans le cadre de l’alinéa 2, la circulaire précitée précise que leur régularité « suppose donc, soit l’existence de plusieurs indices, même légers dès lors qu’ils sont concordants, soit l’existence d’un seul indice, à condition qu’il soit grave. Ainsi, une personne contre laquelle le seul indice de culpabilité résulte de sa mise en cause par la victime ou par un témoin, si cette mise en cause n’est ni circonstanciée ni corroborée par d’autres éléments de la procédure, ne peut être prélevée sur ce fondement car un tel indice ne peut être considéré comme grave à lui seul. » De fait, ce texte constitue un rappel de la définition du mis en cause, qui ne saurait être confondue par les services enquêteurs avec le simple fait de mettre une personne en garde à vue.
Quant à la rédaction du troisième alinéa traitant des « raisons plausibles », elle présente un certain flou, puisqu’elle ne renvoie pas expressément à la liste des infractions de l’article 706-55. La circulaire du 9 juillet enjoint pourtant d’utiliser cette faculté de prélèvement en se limitant au champ des infractions pour enregistrement d’un profil au FNAEG. Elle précise très explicitement que même en l’état actuel de la rédaction de l’alinéa 3 « il convient pourtant de considérer que le champ d’application de ce dernier alinéa est circonscrit aux infractions de l’article 706-55 du code précité. En effet, les débats parlementaires montrent que telle est la volonté du législateur, et une interprétation différente tendrait à détourner le texte de son esprit. » Par ailleurs, il est indiqué qu’« enfin, et compte tenu de la vocation initiale de ce traitement, une politique pénale de prélèvements systématiques de personnes mises en cause pour tout crime ou délit ne pourrait qu’alimenter les critiques portées sur le fichier et multiplier les comportements de refus de prélèvements, dont la poursuite et le jugement pourront se révéler problématiques compte tenu d’un fondement juridique fragile. »
D’une certaine manière, cette circulaire tient compte de décisions judiciaires de relaxe en cas de refus de prélèvement biologique, notamment dans des affaires de « faucheurs volontaires » d’OGM, fondées sur la notion de disproportion (92). La Cour d’appel de Montpellier a ainsi confirmé en octobre 2008 les relaxes prononcées en première instance par le tribunal correctionnel de Millau et a infirmé une condamnation du tribunal correctionnel de Montpellier, notamment au motif que « le recueil de l’ADN du prévenu en vue de son identification et de sa recherche était inadéquat, non pertinent, inutile et excessif. Le prélèvement n’étant pas justifié au regard des dispositions de la loi de 1978 […], il ne saurait être fait grief au prévenu de s’y refuser. » Le ministère public s’est pourvu en cassation.
Afin de ne pas donner prise aux critiques sur la légitimité d’un fichier dont l’utilité est avérée pour lutter contre des crimes et délits graves, il apparaît nécessaire de modifier le troisième alinéa de l’article 706-54 du code de procédure pénale. Un renvoi explicite aux infractions énumérées par l’article 706-55 permettra en effet de mieux encadrer les cas de prélèvements biologiques et d’éviter un certain nombre de contentieux ultérieurs.
Proposition n° 24
Lorsqu’il est possible de réaliser un prélèvement biologique à des fins de comparaison sur une personne à l’encontre de laquelle il existe une « raison plausible » de soupçonner qu’elle a commis un crime ou un délit, la loi n’énumère pas actuellement les infractions concernées. Il est nécessaire de renvoyer explicitement à la liste des infractions pour lesquelles l’enregistrement d’un profil génétique est possible. En conséquence, modifier l’alinéa 3 de l’article 706-54 du code de procédure pénale.
B. UNE CHAÎNE D’ALIMENTATION DU STIC COMPLÈTEMENT OBSOLÈTE
Comme l’a relevé un responsable de la sécurité publique, « le STIC est un instrument précieux ». Malheureusement, ce fichier souffre de nombreux défauts qui réduisent son efficacité opérationnelle et entraînent des conséquences très préjudiciables pour les personnes qui y figurent indûment.
Dans son rapport sur le STIC présenté le 20 janvier 2009 (93), la CNIL a relevé que « sur le nombre d’investigations effectuées dans le cadre du droit d’accès indirect à la demande de particuliers […] entre le 1er janvier et le 31 octobre 2008, il s’avère que seules 17 % des fiches de personnes mises en cause étaient exactes ; 66 % ont fait l’objet d’une modification de portée variable (changement dans la durée de conservation, de qualification pénale, etc.) ; 17 % ont été purement et simplement supprimées du fichier. » Comme le note la CNIL elle-même, il s’agit d’erreurs relevées dans le cadre d’un droit d’accès indirect et donc sur des fiches qui faisaient, d’une certaine manière, l’objet d’une suspicion d’erreur. On ne peut donc en extrapoler un taux d’erreur général.
Tout d’abord, l’utilisation de fichiers d’antécédents judiciaires dans le cadre d’enquêtes administratives confère une portée malheureusement très concrète aux erreurs de qualification, voire aux inscriptions infondées de personnes en tant que mis en cause, avec des conséquences sur l’accès à certains emplois et à la nationalité française. Ensuite, ce type de fichiers est devenu un outil de travail quotidiennement utilisé par les enquêteurs ; or, des policiers ont indiqué à vos rapporteurs combien ils considéraient avec prudence la valeur des informations figurant dans le STIC. La question posée est donc au moins autant celle du taux d’erreurs que celle de leur origine. Sur ce point, les réponses ont été dépourvues d’ambiguïtés : ce système est, aux dires mêmes de certains de ses utilisateurs, « complètement dépassé et limité », car la chaîne de traitement a été pensée à la fin des années 1980, avec une mise en place effective à la fin des années 1990. Elle correspond de ce fait à des moyens techniques datés, très redondants (avec entre trois et cinq niveaux de saisie manuelle des informations) et elle est très « gourmande » en personnels. En outre, il faut d’autant plus souligner l’importance d’un processus d’alimentation de qualité que les contrôles ultérieurs ne permettent pas de garantir une correction effective de l’ensemble des erreurs accumulées, qu’ils soient réalisés par les parquets, notamment dans le cadre de leur mission de mise à jour des fichiers d’antécédents en fonction des suites judiciaires, ou bien en dernier ressort par la CNIL.
De manière générale, le STIC souffre d’un défaut de contrôle interne, les contrôles externes ne permettant pas de remédier ultérieurement dans de bonnes conditions au volume des erreurs accumulées. La comparaison avec le FNAEG est de ce point de vue instructive. Ce dernier obéit à un fonctionnement très étroitement défini et encadré, un magistrat référent assurant en outre un contrôle de la qualité des procédures. Le STIC et JUDEX, pour leur part, n’ont jamais fait l’objet du moindre rapport de l’IGPN ou de le l’IGGN. S’agissant du STIC, une bonne part des problèmes rencontrés résulte précisément d’une insuffisance de contrôle de la qualité des processus et des pratiques, en partie parce que les gestionnaires considèrent que cela relève davantage des responsabilités de la CNIL. De fait, de l’ensemble des fichiers de police, le STIC apparaît de très loin comme celui connaissant le plus grand nombre de problèmes d’alimentation et de gestion.
1. Une alimentation initiale à la source de nombreuses erreurs
a) « Ce sont les personnels administratifs qui vérifient les procédures des actifs. »
Le premier degré d’alimentation du STIC se situe au niveau des commissariats. Il ne relève pas directement des enquêteurs. Ceux-ci réalisent des comptes rendus d’infraction (CRI, en cas de plainte contre X) et des comptes rendus d’enquête après identification (CREI, dans les cas où au moins un auteur a été identifié). Ces documents sont imprimés et soumis quotidiennement au chef de service (ou éventuellement au chef d’unité de police judiciaire). C’est donc à un commissaire, ou au moins à un OPJ, qu’il revient normalement de vérifier la qualification des faits et d’effectuer un premier contrôle de la qualité des procédures. Dans la pratique, la qualité de ce travail peut varier en fonction du niveau de formation et de spécialisation en droit pénal, mais aussi en fonction de la disponibilité effective au regard de l’urgence d’autres tâches.
L’ensemble des procédures papiers est ensuite adressé aux agents administratifs chargés du travail de saisie dans le STIC-FCE. Selon les mots d’un responsable d’un syndicat de policiers, ce système est « une antiquité », « un système complètement dépassé qui n’utilise même pas de souris ». Les personnels administratifs ne disposent pas d’une compétence particulière en droit pénal et de procédure pénale, ce qui ne va pas sans augmenter le risque d’erreur de qualification des faits. Il n’est pas toujours simple pour ces agents d’interpréter les procès-verbaux qui leur sont confiés, d’où des erreurs assez fréquentes. Des représentants syndicaux interrogés à ce sujet ont souligné combien la formation juridique de ces personnels est très largement insuffisante, avec un nombre trop faible de stages accordés au regard des demandes.
En outre, l’alimentation du STIC est une tâche particulièrement fastidieuse et répétitive. L’organisation du travail devrait en tenir davantage compte. Et ce d’autant plus que le faible attrait de ces postes entraîne un turn over important, phénomène aggravé par le fait que les personnels administratifs affectés à la gestion des fichiers de police jugent que leur travail n’est pas valorisé à sa juste mesure et qu’ils bénéficient de très peu de mesures d’avancement. Selon des responsables syndicaux, « il y a eu une augmentation des gardes à vue, des mis en cause, mais les postes d’administratifs créés ont été affectés à des postes de secrétariat dans les commissariats, et pas à la gestion des fichiers. On fait revenir les personnels administratifs à 6 heures du matin pour les statistiques, mais pas pour mettre à jour les fichiers. »
Proposition n° 25
Mettre en place une politique de formation adaptée au profit des agents administratifs affectés à l’alimentation des fichiers.
b) L’enjeu du juste moment de l’inscription au STIC
L’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure dispose que peuvent figurer dans les fichiers d’antécédents judiciaires des informations nominatives recueillies au cours des enquêtes préliminaires ou de flagrance, ou sur commission rogatoire, s’agissant des « personnes, sans limitation d’âge, à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient pu participer, comme auteurs ou complices, à la commission » d’un crime, d’un délit ou d’une contravention de 5e classe.
Il convient tout d’abord de noter que, techniquement, l’inscription au STIC intervient dès que l’agent administratif procède à la saisie des procédures effectuées par les enquêteurs. Le système est toutefois différent s’agissant de la préfecture de police de Paris, qui utilise le STIC-Oméga à la place du STIC-FCE : l’inscription du mis en cause sur la base nationale n’intervient qu’à partir du traitement du dossier par la division de la statistique et de la documentation criminelle (DSDC). Pendant un délai de l’ordre de 6 à 7 mois, l’individu mis en cause dans le ressort de la préfecture de police de Paris n’apparaît de ce fait pas dans le STIC.
Mais, quel que soit le mode initial d’alimentation du STIC, local ou centralisé comme à Paris, il apparaît malheureusement dans les faits que l’inscription dans ce fichier d’antécédents judiciaires est trop souvent pratiquement inéluctable dès qu’une personne est placée en garde à vue et figure sur un compte rendu d’enquête. Il a été indiqué par des représentants syndicaux que même dans certains cas où les enquêteurs notent en rouge sur le procès-verbal « ne pas faire figurer au STIC », les personnels chargés de saisir les données passent outre en appliquant strictement les consignes, par crainte d’une manipulation éventuelle de la procédure. La systématisation de l’inscription au STIC des personnes placées en garde à vue n’est pas sans poser problème, même s’il faut noter que l’augmentation de 41 % des inscrits au STIC entre 2001 et 2009 est inférieure à celle de 71 % du nombre de mesures de garde à vue sur la même période. Il convient cependant de rappeler que, si une personne peut être suspecte au moment où l’officier de police judiciaire décide de son placement en garde à vue (94), cette mesure nécessaire à la manifestation de la vérité peut permettre de conclure que cette personne n’est en fait pas mise en cause. Dans ce cas, elle n’a pas à être enregistrée au STIC, aucune poursuite judiciaire n’étant engagée.
C’est pourquoi, dans certains cas, la hiérarchie policière a érigé en « bonne pratique » de différer l’inscription au STIC dans l’attente d’un premier retour du parquet, particulièrement sur des affaires simples et de faible gravité pour lesquelles les classements sans suite sont fréquents. Cette mesure a été mise en œuvre de manière ponctuelle et informelle dans le ressort de la cour d’appel de Montpellier. Elle mérite d’être généralisée tout simplement parce qu’elle respecte la lettre et l’esprit de la loi, mais aussi parce qu’elle répond à l’épineux problème de la prise en compte par les services de police des consignes reçues des parquets dans le cadre du traitement en temps réel (TTR).
Les services de police sont en effet particulièrement réticents à tirer toutes les conséquences des décisions de classement sans suite formulées par téléphone, aux motifs qu’il n’y a pas de trace écrite et que l’opinion du parquet sur les faits est susceptible d’évoluer après transmission de l’ensemble de la procédure. On peut légitimement considérer que les conséquences de ce formalisme sont particulièrement absurdes, puisque des dossiers pour lesquels un classement sans suite a été effectivement notifié suivent malgré tout la chaîne procédurale normale, avec inscription au fichier, transmission de la procédure au parquet et seulement ensuite mise à jour éventuelle du fichier sur instruction de ce dernier. Pourtant, les procès-verbaux rédigés par les policiers font expressément mention de la décision du parquet et l’article 3 du décret n° 2001-583 relatif au STIC dispose clairement que « le responsable du traitement est tenu de modifier ou d’effacer les données enregistrées dès qu’il constate qu’elles sont inexactes, incomplètes ou périmées ».
Une somme précieuse d’énergie est ainsi consacrée à la laborieuse saisie de dossiers dont on sait par avance qu’ils devront faire l’objet d’un effacement des données par la suite. Sans parler des conséquences pour les personnes mises en cause à tort, qui peuvent demeurer longtemps au STIC compte tenu des délais de rectification le plus souvent très long. Il ne s’agit pas d’exemples marginaux : un magistrat d’un des parquets visités a estimé la proportion de ce type d’affaires à environ trois quarts des classements pour insuffisance de charges. On peut enfin noter que dans ces cas d’enregistrement de personnes ne correspondant de fait plus à la notion de mis en cause, l’impact sur les statistiques du commissariat n’est pas négligeable s’agissant du taux d’élucidation, puisque l’enregistrement sur la base locale STIC-FCE apparaît dans la grille E (« élucidé »). Ce phénomène a été confirmé lors du déplacement auprès du SRDC de Versailles, selon un agent administratif, en raison des « gardes à vue non MEC » (c’est-à-dire des gardes à vue à l’issue desquelles la personne concernée n’est pas mise en cause), « environ 10 % des procédures ne devraient pas être dans le STIC ». En outre, à cette occasion, vos rapporteurs ont pu constater qu’un auteur de faits de violence avec arme entraînant une interruption temporaire de travail ne figurait pas en tant que mis en cause dans le STIC, la procédure n’ayant pas été enregistrée dans les faits constatés. Dans ce cas précis, le SRDC de Versailles a reçu l’avis de suite judiciaire du parquet alors que la procédure n’était pas encore enregistrée au STIC…
Proposition n° 26
Enjoindre les services de police de tenir compte sans délai des décisions de classement sans suite formulées par les parquets dans le cadre du traitement en temps réel par le biais d’une circulaire du ministre de l’Intérieur rappelant les conditions d’inscription d’une personne mise en cause dans les fichiers d’antécédents.
En outre, afin d’automatiser les conséquences du traitement en temps réel, il conviendra d’examiner précisément, lors de la mise en service du nouveau logiciel de saisie des procédures ARDOISE, destiné à remplacer le LRP, le processus informatique de validation de la procédure par l’enquêteur qui entraînera la transmission des informations dans la base de données du fichier.
Compte tenu de la situation actuelle, il semble opportun de mettre fin à l’anomalie qui consiste en ce que les personnes susceptibles d’être ultérieurement inscrites au STIC parce qu’elles ont fait l’objet d’une procédure judiciaire à un moment donné ne soient pas informées de cette possibilité, ni des droits dont elles disposent pour accéder à ces données et, le cas échéant, les faire rectifier. À cet égard, vos rapporteurs proposent une mesure simple consistant à délivrer systématiquement un document imprimé.
Proposition n° 27
Remettre à toute personne placée en garde à vue un document d’information précisant que d’éventuelles poursuites judiciaires peuvent entraîner l’inscription dans un fichier d’antécédent judiciaire et récapitulant de manière pratique les différentes possibilités qui sont offertes aux citoyens en matière de droit d’accès, de demande de mise à jour et de rectification des données.
c) « Les chiffres seront très différents avec ARIANE »
ARIANE est le nom de la nouvelle base de données qui devra remplacer le STIC et JUDEX.
En 1995, lors de l’ouverture de la base STIC nationale et de la mise en place de la chaîne de traitement actuelle de la documentation criminelle, il a été décidé de ne pas développer un nouvel outil pour servir de premier maillon : les commissariats continueraient à utiliser l’outil existant STIC-FCE, qui permettait depuis 1985 de centraliser les statistiques sur les crimes et délits.
Les liens entre le STIC et les statistiques policières d’activité sont restés étroits. Des représentants syndicaux ont ainsi décrit des pratiques locales d’alimentation du STIC destinées à influer sur les résultats statistiques, comme par exemple le fait d’ordonner la cessation de l’alimentation du STIC dans un commissariat à partir du 20e jour du mois dès lors que le taux d’élucidation des affaires a atteint un niveau jugé satisfaisant. Une autre pratique consiste à changer le code de référencement de l’infraction dans la base locale STIC-FCE. Ainsi certaines infractions qui sont soit des faits constatés (code « C »), soit des faits élucidés (code « E »), sont passées en code « Q » (pour « quelconque ») : cette opération permet de les faire disparaître des statistiques et de diminuer mécaniquement le volume des faits constatés. Ainsi, une dégradation de peu d’importance sur un véhicule peut être référencée par le code « Q », alors que cette infraction était auparavant décomptée comme un fait constaté (code « C »). De la même manière, lorsque dix véhicules sont brûlés, il est possible de ne saisir dans le STIC qu’un fait constaté, l’incendie du premier véhicule étant considéré comme à l’origine d’une propagation sur neuf autres.
Des responsables des services chargés de la documentation criminelle ont confirmé qu’il était plus que probable que la mise en place du nouveau logiciel ARDOISE et de son système de communication automatique avec ARIANE conduise à des « surprises statistiques », de brutales progressions des faits constatés faisant apparaître au grand jour certaines pratiques locales d’« améliorations » des statistiques de la délinquance. En effet, dans ce nouveau système, le lien entre outil statistique et policier sera nettement moins important que dans le STIC : les rubriques seront beaucoup plus « verrouillées », tant en termes de possibilités de renseignement des champs que de liens avec les codes statistiques.
LE CAS DE JUDEX
Le fichier d’antécédents judiciaires de la gendarmerie nationale bénéficie de certains avantages par comparaison avec le STIC : réalisé beaucoup plus tardivement, il a profité des avancées des techniques informatiques, ce qui lui permet de ne pas s’appuyer sur un immense circuit de circulation de papier comme c’est le cas du STIC. De plus, l’architecture sensiblement différente de JUDEX permet un bien plus grand degré d’exactitude au stade de l’alimentation.
La saisie initiale de celles-ci est assurée directement par les responsables des enquêtes, ce qui limite les erreurs d’imputation d’infraction et de qualification des faits. Les messages d’information judiciaire (MIJ), qui sont des synthèses des procédures judiciaires, sont réalisés automatiquement par l’application ICARE lors de la rédaction des pièces de procédures. Ces messages sont adressés aux brigades départementales de renseignements et d’investigations judiciaires (BDRIJ), qui assurent un premier contrôle de cohérence avant de les intégrer aux bases départementales.
Le contrôle de la qualité est beaucoup plus centralisé et automatisé que dans le cas du STIC. La division des fichiers du service technique de recherches judiciaires et de documentation (STRJD), installé au fort de Rosny-sous-Bois, a pour mission principale d’assurer l’administration fonctionnelle des traitements de données et de centraliser l’information judiciaire au niveau national. Chaque nuit, 3 000 à 3 500 fiches « remontent » au STRJD. Un tiers d’entre elles présente des anomalies, lesquelles font alors l’objet d’un contrôle manuel. Les vérifications portent principalement sur l’auteur (notamment son état civil, le fichier JUDEX étant capable de détecter les doublons) et la codification exacte de l’infraction. Après traitement, les informations sont intégrées dans la base nationale.
À la différence du STIC, il n’y a pas de lien direct entre l’établissement de statistiques et l’inscription dans JUDEX. Les statistiques de la délinquance, collectées à partir des messages d’information statistiques envoyés dès la prise de plainte, sont figées au niveau départemental en fin de mois.
Au demeurant, JUDEX n’est pas exempt de difficultés techniques. Il semble que dans certains cas la transmission des MIJ n’est pas correctement effectuée en raison de problèmes de réseau, ce qui se traduit par des « pertes en ligne », s’agissant surtout de petites affaires et de brigades situées en milieu rural. Selon des gendarmes rencontrés, « Rosny a des problèmes techniques fréquents ».
2. Des structures de contrôle de la qualité ne pouvant faire face aux flux de procédures
Lors des déplacements réalisés auprès du service régional de documentation criminelle de Versailles (SRDC) et de la DSDC de la préfecture de police de Paris, vos rapporteurs ont pu mieux appréhender la masse de travail requise par l’enrichissement et le contrôle de la qualité des informations transmises par les commissariats à l’échelon régional. Ces visites ont permis de prendre la mesure de la réalité en quelque sorte physique du STIC. Ainsi, la DSDC de la préfecture de police de Paris reçoit cinq millions de feuillets chaque année. Les couloirs du service et les pans de mur disponibles sont envahis de colonnes de procédures papiers, avec un flux qui ne se tarit jamais. Au SRDC de Versailles, les procédures en attente de traitement représentent deux millions et demi de feuilles A4 et occupent des pièces entières, du sol au plafond.
a) L’ampleur de la tâche d’enrichissement et de contrôle de la qualité
• En pratique, le chef de service procède à un premier tri systématique de l’ensemble des procédures transmises. Si la procédure semble renseignée correctement, elle est orientée vers la saisie. Chaque agent se voit assigner un quota hebdomadaire de 200 procédures à traiter. Il s’agit alors de vérifier l’état civil des personnes mises en cause (notamment la filiation), la qualification juridique des faits et la qualité de victime ou de mis en cause.
Les appréciations sur l’évolution de la qualité des procédures reçues sont variables. Dans l’un des services régionaux chargé de la documentation criminelle, il a été relevé qu’à la suite du plan national d’enrichissement mis en place en 2006 et de l’édition d’un livret guide, la qualité s’est améliorée. Les personnels administratifs affectés à l’alimentation du STIC dans les commissariats consultent désormais souvent l’échelon régional par téléphone afin de résoudre en amont des cas un peu complexes. En revanche, dans un autre service il a été souligné combien la forte progression du nombre de personnes mises en cause dans la région concernée (+ 6 % entre 2006 et 2007 et + 5 % entre 2007 et 2008) avait eu un effet sur la dégradation de la qualité des procédures reçues, ce qui implique un contrôle qualité plus poussé.
• En cas de problème important constaté lors du tri initial, les procédures sont transmises aux agents chargés du contrôle qualité. Dans le cas du SRDC de Versailles, l’intégralité de ce travail est confiée à un seul adjoint administratif. Vos rapporteurs ont pu à cette occasion constater combien était remarquable la connaissance du droit pénal et de la procédure pénale qui avait pu être acquise au cours d’années de pratique par cette fonctionnaire.
L’un des principaux défauts constatés est l’absence de prise en compte du classement sans suite pour absence d’infraction. Dans ce type de cas, des personnes innocentées en cours de garde à vue, et ne correspondant de fait plus à la notion policière de mis en cause, restent près de deux ans enregistrées au STIC. La cellule de contrôle qualité procède alors à la radiation de la fiche dans la base nationale ; il est procédé à un envoi groupé régulier récapitulant les différentes anomalies constatées aux commissariats concernés, avec consigne de procéder à l’effacement dans les bases locales et dans le fichier CANONGE. Il n’existe pas de statistiques exhaustives sur le taux de radiation, mais durant le mois de novembre 2008, sur environ 5 000 procédures traitées, 77 demandes de radiation ont été effectuées par le SRDC de Versailles (soit un taux de 1,5 %).
Compte tenu de l’architecture régionalisée du STIC, il peut se produire des cas où le travail d’enrichissement d’un SRDC peut être remis en question par un autre SRDC, notamment en ce qui concerne l’identité exacte des mis en cause. Cependant, ce phénomène reste rare dans la mesure où, en cas de doute, les services préfèrent laisser subsister deux fiches plutôt que d’opérer une fusion sans avoir toutes les garanties nécessaires.
• En outre, lorsque les données sont transférées de la base locale vers la base nationale, différents types d’erreurs peuvent se produire. Le service central de documentation judiciaire (SCDC) situé à Écully joue donc également un rôle dans le processus de contrôle de la qualité. Un programme informatique est chargé la nuit de faire le relevé de toutes les erreurs d’intégration intervenues au moment du transfert, qu’il s’agisse d’erreurs de procédure informatique, de grille ou de manipulation.
Le SCDC comprend également une section d’exploitation, dont les 16 agents sont chargés d’apporter toutes les rectifications nécessaires aux données contenues dans le STIC, suite à l’exercice du droit d’accès indirect. En moyenne, ce service opère 1 000 rectifications par an. Mais, ces modifications sont délicates sur le plan informatique, car le STIC est un « vieux système ». L’effacement de certaines données est très complexe, notamment lorsque celles-ci sont indissociables d’autres affaires. En effet, lorsque des procédures sont liées, les opérateurs sont parfois obligés de supprimer un dossier et de le recréer, afin de conserver le chaînage existant entre les différentes affaires. La version actuelle du STIC n’offrant aucune arborescence des dossiers liés, les opérateurs n’ont pas de vision d’ensemble et doivent se livrer à un véritable « jeu de pistes », basculant d’écran à écran pour reconstituer les différentes affaires et en assurer le chaînage.
b) « Nous sommes défaillants depuis des années et des années. La défaillance n’a été que croissante. »
• Les services concernés souffrent d’une insuffisance patente de personnels pour faire face à la masse de formulaires à ressaisir en partie et à compléter. Malgré la bonne volonté et le sens du service des agents à qui ce travail est confié, le retard de traitement des procédures est de fait considérable. Le SRDC de Versailles accuse un retard de trente mois, tandis que la DSDC de la préfecture de police de Paris met entre six et sept mois pour traiter les procédures qu’elle reçoit. Le retard est particulièrement préoccupant s’agissant des délits routiers. En effet, l’intégration de ce type de délits dans le fichier relève entièrement des SRDC, et tant que ce travail n’a pas été fait, le mis en cause reste inconnu au STIC.
Les responsables de ces services souhaitent un « gros coup de main », nécessaire pour « digérer le stock de papier » avant l’arrivée d’ARIANE. La mise en place de cette application à l’horizon du deuxième semestre 2010 devrait théoriquement permettre de résoudre une partie du problème à la source, en limitant la masse du travail de ressaisie. Toutefois, elle ne permettra pas de répondre à la question du stock accumulé. Le recours temporaire à des vacataires doit donc être envisagé dans l’ensemble des SRDC, comme cela a été décidé pour combler le retard du FNAEG. Selon les responsables du SRDC de Versailles, l’embauche de six personnes vacataires à temps plein pendant un an permettrait de résorber une partie du retard, pour le ramener à un an et demi de stock à traiter. Le retard étant variable selon les SRDC, en fonction notamment de l’importance de la délinquance, on peut considérer que le besoin pour traiter l’ensemble du stock accumulé s’élève en moyenne à dix contractuels à temps plein pour chacun des 20 services régionaux de documentation métropolitains. Le coût annuel d’une telle mesure peut être évalué à un peu plus de 3,8 millions d’euros.
• La masse du travail à réaliser a, en outre, conduit à faire des choix. S’agissant des plaintes contre X (CRI), le travail d’enrichissement doit normalement permettre de les rendre « exploitables » dans le cadre du STIC, notamment pour rendre possibles des rapprochements ultérieurs par les enquêteurs. Ces procédures sont alors complétées par des informations sur des objets volés identifiables, notamment par un numéro de série, et par une description des modes opératoires. Faute de personnel en nombre suffisant, le SRDC de Versailles n’est plus en mesure de faire ce travail d’exploitation des plaintes depuis 2001, soit 400 000 procédures par an pour les départements de la « grande couronne ». Si la carence dans la saisie des modes opératoires n’est pas vraiment problématique s’agissant d’affaires mineures de sécurité publique, elle l’est certainement pour les affaires plus importantes traitées notamment par les sûretés départementales. Les insuffisances de renseignements sur les objets volés empêchent pour leur part, lors de la découverte éventuelle d’objets d’origine douteuse chez un receleur, de pouvoir identifier le propriétaire victime du vol. Surtout, la France se trouve dans l’incapacité de respecter ses engagements internationaux, les accords de Schengen imposant de saisir dans le cadre du SIS les numéros des armes, des billets de banque et des pièces d’identité volés.
Compte tenu des moyens disponibles, toute l’activité d’enrichissement du SRDC de Versailles a été concentrée sur les affaires pour lesquelles un auteur au moins a été identifié (CREI), dont il faut souligner qu’elles sont passées de 10 000 procédures par an avant 2001 à 80 000 par an actuellement. Ce choix a été fait eu égard aux conséquences importantes pour les personnes mises en cause de l’inscription au STIC.
Proposition n° 28
Recruter des contractuels en nombre suffisant pour permettre aux services régionaux de documentation criminelle de résorber le stock de procédures en attente de traitement s’agissant du STIC.
Proposition n° 29
Mettre en place une politique de revalorisation, d’intéressement et de validation des acquis de l’expérience en direction des personnels administratifs chargés de l’alimentation et du contrôle de la qualité des fichiers d’antécédents.
3. Prendre dès à présent les décisions nécessaires pour qu’ARIANE soit effectivement un progrès
a) Le déploiement laborieux de la nouvelle application commune à la police et à la gendarmerie
La mise en place d’ARIANE enregistre actuellement 18 mois de retard par rapport au calendrier initial. Ce délai s’explique pour partie par la « marche » technologique à passer, s’agissant d’un système dont l’architecture technique est entièrement nouvelle et ambitieuse. ARIANE a en effet été conçue pour fonctionner quinze ans ; le système repose sur l’utilisation de « briques » technologiques et de logiciels dont le fonctionnement est dans la plupart des cas individuellement éprouvé, mais pour lesquels l’intégration au sein d’un ensemble plus vaste s’est révélée de fait difficile.
Même s’il s’agit d’une critique souvent entendue, on ne peut pas véritablement considérer qu’entre la décision de lancer le programme et son déploiement sur le terrain, le système est devenu obsolète. En fait c’est plutôt l’inverse dans le cas d’ARIANE : sachant qu’il s’agit de se doter d’un fichier pour une longue durée d’usage, c’est une architecture évolutive qui a été retenue, associée parfois à des technologies avancées ; certaines ne sont d’ailleurs pour l’instant pas complètement arrivées à maturité, comme pour les moteurs de recherche du système, ce qui explique également une partie des difficultés de développement rencontrées.
La seconde raison du retard observé tient à l’affichage dès le départ d’un calendrier techniquement difficile à tenir. La société LOGICA, attributaire du marché, subit d’ailleurs les conséquences financières du retard, avec des pénalités et la nécessité de faire travailler ses équipes plus longtemps que prévu. Alors que le temps de travail pour ce projet était initialement estimé à neuf mois, il en représentera au bout du compte au moins 36. En outre, cette société a dû faire face à un renouvellement constant de ses équipes techniques.
La phase de recette de l’ultime version a débuté la mi-janvier 2009 et devrait durer trois mois ; si elle est concluante, la phase de déploiement pourra débuter ; elle prendra entre 12 et 18 mois.
b) Définir des procédures adaptées de contrôle de la qualité des informations saisies
• Outre le fait qu’elle sera consultable à la fois par les agents habilités de la police nationale et par ceux de la gendarmerie nationale, ARIANE apportera un progrès décisif sur deux points.
Tout d’abord, il appartiendra à l’enquêteur d’assurer directement la saisie d’un beaucoup plus grand nombre d’informations. Son degré de formation devrait normalement limiter le nombre d’erreurs de qualification juridique des faits. De surcroît, cette application sera alimentée de façon beaucoup moins libre que ne l’est actuellement le STIC par le biais du logiciel de rédaction des procédures. L’utilisation d’un thésaurus fermé sécurisera davantage la qualité de mis en cause ou de victime ainsi que la qualification juridique des faits. Les erreurs d’identité seront en outre évitées au maximum, car l’enquêteur pourra, aux divers stades de la saisie, rappeler automatiquement l’identité à partir d’un menu déroulant. Ensuite, ce nouveau système limitera considérablement le travail de ressaisie manuelle à diverses étapes, celui-ci constituant le défaut majeur du STIC.
Le problème de l’organisation du contrôle qualité reste cependant posé. L’ensemble des personnes entendues a souligné la nécessité de maintenir un tel contrôle, et ce d’autant plus qu’une bonne partie des tâches précédemment confiées à l’échelon régional pourrait revenir à l’échelon local. Il conviendra de continuer à vérifier les procès-verbaux (95), tandis que la question des pièces jointes aux procédures, comme par exemple les certificats médicaux, n’est pas encore tranchée. Cela reviendra soit directement à l’enquêteur, qui en assurera la numérisation, soit aux personnels administratifs des commissariats, soit aux SRDC. En fonction de la nouvelle répartition du travail de contrôle de la qualité et d’enrichissement des procédures, il est possible que les gains de productivité, censés permettre d’employer à d’autres tâches une partie des personnels administratifs actuellement affectés à l’alimentation du STIC, soient en fin de compte moins importants que prévu.
En outre, la mise en place d’ARIANE ne tranche pas le débat sur l’architecture la plus adaptée aux besoins, centralisée comme dans le cas de la gendarmerie, ou régionalisée comme dans le cas de la police. Il sera cependant nécessaire à terme d’évaluer avec précision les avantages et inconvénients de chacune de ces solutions, notamment au regard de l’organisation du contrôle de la qualité.
En tout état de cause, compte tenu des besoins criants des SRDC, il apparaît nécessaire de renforcer ceux-ci en priorité en y affectant autant que possible les personnels libérés des tâches de saisie initiale au niveau des commissariats. Ces agents ont en effet acquis une précieuse expérience de la gestion des fichiers qui mérite d’être mise à profit dans le cadre d’une refonte des missions des SRDC. L’organisation du travail au sein de ces services repose actuellement sur une grande spécialisation des tâches et elle devra être revue en profondeur pour répondre aux besoins issus de l’installation de nouveaux outils informatiques, y compris en matière de rapprochement d’informations.
Proposition n° 30
Définir un processus de contrôle qualité et d’enrichissement des données dans le cadre du déploiement d’ARIANE.
• Si ARIANE constitue un véritable progrès technique, on ne peut semble-t-il pas en dire autant de son outil d’alimentation ARDOISE, qualifié par un responsable des technologies de « vieux truc en langage C », qui deviendra assez rapidement obsolète. Ce logiciel en est actuellement à sa troisième version et ses premiers développements remontent à 1995.
Certains représentants syndicaux ont déploré le fait de ne pas avoir été consultés en amont sur le sujet. Ils ont également indiqué qu’au cours de formations sur ARDOISE, dispensées alors que le système était officiellement encore en cours de test, les utilisateurs sont « tombés des nues » en découvrant une application « moyenâgeuse », inadaptée à la procédure pénale et encore moins fiable que le pourtant bien peu performant logiciel de rédaction des procédures.
Si l’on souhaite que le déploiement d’ARIANE se traduise par un véritable progrès, tant pour les utilisateurs que pour les usagers en termes de service rendu, notamment par un gain de temps lors de l’enregistrement des plaintes, il convient de déployer un outil initial d’information à la hauteur des attentes.
Proposition n° 31
Prévoir un remplacement rapide du logiciel ARDOISE, en tenant compte en amont des réalités du travail des utilisateurs.
c) Garantir l’exactitude du stock d’informations anciennes qui seront transférées vers ARIANE
La nouvelle application ARIANE sera alimentée dès le début par l’ensemble des données figurant actuellement dans le STIC et dans JUDEX. L’une des causes du retard accumulé est d’ailleurs la complexité de la reprise technique des fiches, qui implique une vigilance particulière afin de sécuriser l’information. Il faut en effet reprendre et convertir dans un format informatique compatible avec ARIANE l’ensemble des données figurant dans les fichiers d’antécédents de la police et de la gendarmerie. On rappellera que JUDEX comprend 9,8 millions de fiches « affaires » et 2,15 millions de personnes mises en cause, tandis que figurent au STIC 5,49 millions d’individus mis en cause, 36 millions de dossiers de procédures et 28,33 millions de personnes physiques victimes.
Nombre de ces dossiers comportent des inexactitudes en ce qui concerne notamment la qualification des faits (et partant la durée de conservation des données) et la prise en compte des suites judiciaires. Si l’opération de tri réalisée actuellement se limite à une reprise technique au nouveau format informatique, ARIANE risque dès le départ d’être un fichier inexact, avec les mêmes conséquences sur sa légitimité et sur son utilisation pratique que pour le STIC. Le passage au nouveau système est certes l’occasion de la mise en place de procédures assurant un flux à venir d’informations plus exactes, mais il doit être mis à profit pour purger l’ensemble du stock de ses erreurs. À l’évidence, il s’agit d’une décision lourde de conséquences en raison du travail considérable que cela implique. Mais il s’agit aussi d’une nécessité pour rendre aux fichiers d’antécédents une véritable légitimité, fondée sur l’exigence légale d’exactitude. De surcroît, l’investissement consenti pour la mise en place du nouveau système est certes déjà très important, mais ne perd-il pas tout son sens si, pour encore dix années voire plus, l’outil n’apporte pas véritablement de garanties supplémentaires pour le citoyen ?
Dans un premier temps, la définition des procédures à suivre, de l’organisation générale et du calendrier des travaux pourrait être confiée à une commission associant l’ensemble des acteurs concernés. Sous la direction d’un procureur général, elle associerait des représentants des inspections générales de la police nationale et de la gendarmerie nationale, ainsi que de la CNIL. Il convient en effet d’associer davantage celle-ci à la réflexion sur les processus de gestion des fichiers d’antécédents. Il est possible de compléter par la suite la tâche de cette commission en lui confiant la direction des opérations engagées sur la base de ses propositions.
Proposition n° 32
Confier à une commission, présidée par un procureur général et associant l’IGPN, l’IGGN et la CNIL, le soin de définir les modalités de reprise de l’ensemble des données figurant dans le STIC et dans JUDEX, de telle sorte qu’ARIANE n’hérite pas du stock d’erreurs accumulées dans les traitements actuellement en service. Consacrer les moyens et le temps nécessaires à la réalisation effective de ce chantier considérable.
IV. RENDRE LES CONTRÔLES PLUS EFFICACES
Un contrôle indépendant est indispensable pour assurer le respect de l’exigence d’exactitude des données, celui-ci ne pouvant reposer sur les seuls processus internes de contrôle des différentes administrations gestionnaires des fichiers. Or, force est de constater que, compte tenu de l’ampleur de la tâche et de moyens trop limités, il est malheureusement illusoire de compter sur les dispositifs actuels de mise à jour par les autorités judiciaires ou, en dernier ressort, par la CNIL, pour pouvoir remédier au volume considérable des erreurs de toutes sortes. C’est d’autant plus regrettable que la question du contrôle externe des fichiers va bien au-delà du simple aspect de la bonne gestion des fichiers. Elle est au cœur de la relation de confiance entre les citoyens et les forces de sécurité. C’est précisément cette nécessaire confiance qui est entamée lorsque les procédures sont exagérément longues, au point que leur efficacité pratique peut être légitimement mise en cause.
A. LES INSUFFISANCES DU CONTRÔLE DES FICHIERS D’ANTÉCÉDENTS JUDICIAIRES PAR LES PARQUETS
Lors des auditions, l’ensemble des acteurs concernés a unanimement identifié le défaut de mise à jour systématique des fichiers d’antécédents au vu des suites judiciaires données aux affaires comme la source principale de la persistance de nombreuses erreurs dans les fiches individuelles de mis en cause. De ce point de vue, la responsabilité des parquets ne fait guère de doute. Surchargés d’autres tâches, ils ont trop longtemps négligé le travail de transmission systématique des décisions judiciaires aux gestionnaires des fichiers STIC et JUDEX, ce travail s’effectuant de surcroît dans des conditions pratiques qui témoignent, selon les mots de l’un des magistrats entendus, d’« un archaïsme assez remarquable ».
Un examen plus détaillé et les déplacements ont cependant permis à vos rapporteurs de mesurer combien les responsabilités sont partagées en la matière. Les services de police chargés de l’administration du STIC ont procédé à une interprétation des dispositions relatives au rôle du parquet et aux conditions d’effacement des mis en cause qui traduit une forme de sentiment de propriété exclusive de l’outil que constitue ce fichier. De fait, son contrôle par les parquets a été vidé de sa substance, alors qu’il est prévu en termes dépourvus d’ambiguïtés par le législateur. On assiste même parfois à une forme d’inversion des rôles, laquelle a pu faire dire à l’un des magistrats du parquet entendu que non seulement « le contrôle des parquets sur les fichiers est virtuel », mais qu’en outre « c’est nous qui sommes contrôlés par la police ».
1. Un cadre juridique clairement établi
• S’agissant des fichiers d’antécédents mis en œuvre par la police nationale et la gendarmerie nationale, le III de l’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure dispose que « le traitement des informations nominatives est opéré sous le contrôle du procureur de la République compétent qui peut demander qu’elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire. » (96)
L’intervention du parquet à des fins de mise à jour peut avoir lieu à trois occasions.
Tout d’abord, l’exercice de requalification des infractions doit normalement intervenir dès la réception des procédures envoyées par les services de police et de gendarmerie.
Ensuite, la mise à jour des données à caractère personnel peut être effectuée à deux stades différents.
Premièrement, l’article 3 des décrets n° 2001-583 du 5 juillet 2001 modifié portant création du STIC, et du décret n° 2006-1411 du 20 novembre 2006 relatif à JUDEX couvre deux cas principaux : la transmission spontanée des suites judiciaires par le procureur de la République au gestionnaire du traitement, lequel est « tenu de modifier ou d’effacer les données enregistrées dès lors qu’il constate qu’elles sont inexactes, incomplètes ou périmées » ; la transmission de ces mêmes suites par le procureur à la demande d’une personne enregistrée comme mis en cause. L’article 3 précité précise que ce type de demande peut être adressé soit directement au procureur de la République territorialement compétent, soit, par l’intermédiaire de la CNIL, au responsable du traitement qui les soumet au procureur de la République territorialement compétent.
Deuxièmement, la mise à jour par le parquet peut intervenir dans le cadre de l’exercice d’un droit d’accès indirect auprès de la CNIL, prévu par l’article 8 des deux décrets précités. Dans le cas où la personne figure dans les fichiers, le gestionnaire sollicite le ou les parquets compétents pour qu’ils exercent leur rôle de mise à jour des mentions au vu des suites judiciaires, d’une part, et pour recueillir l’accord de l’autorité judiciaire sur la communication des informations aux personnes dans le cas où la procédure n’est pas close, d’autre part. La circulaire du ministre de la justice du 26 décembre 2006 souligne sur ce point le « rôle crucial » que joue le procureur de la République dans le cadre de l’exercice du droit d’accès indirect. Il lui appartient en effet d’intervenir avec la diligence nécessaire de manière à ce que le délai strict de quatre mois prévu pour la réponse au requérant par l’article 87 du décret du 20 octobre 2005 (97) puisse être respecté. Cette circulaire souligne que « l’intervention rapide et rigoureuse du parquet saisi d’une demande de droit d’accès indirect constitue en effet une occasion supplémentaire de mise à jour des données enregistrées dans des fichiers dont la consultation peut avoir, notamment dans le cadre d’enquêtes administratives, des conséquences importantes. »
• Les motifs de mise à jour sont très limitativement définis par l’article 21 de la loi du 18 mars 2003 : « En cas de décision de relaxe ou d’acquittement devenue définitive, les données personnelles concernant les personnes mises en cause sont effacées sauf si le procureur de la République en prescrit le maintien pour des raisons liées à la finalité du fichier, auquel cas elle fait l’objet d’une mention. Les décisions de non-lieu et, lorsqu’elles sont motivées par une insuffisance de charges, de classement sans suite font l’objet d’une mention sauf si le procureur de la République ordonne l’effacement des données personnelles. » (98)
Deux cas sont donc distingués, celui de la relaxe ou de l’acquittement, d’une part, et celui de la décision de non-lieu ou de classement sans suite motivée par une insuffisance de charges, d’autre part.
Une décision de relaxe ou d’acquittement, quel qu’en soit le fondement, entraîne en principe la suppression par le gestionnaire du fichier des données personnelles relatives au mis en cause qui a bénéficié d’une telle décision définitive. Toutefois, la loi prévoit que le procureur peut prescrire le maintien au fichier et la circulaire précitée précise que cette possibilité s’explique « pour des raisons liées à la finalité du fichier considéré ; ainsi en sera-t-il par exemple lorsque le mis en cause est un multirécidiviste. Dans le cas d’une telle prescription, le gestionnaire du fichier STIC ou JUDEX n’effacera donc pas les données à caractère personnel relatives à la personne mise en cause ayant fait l’objet de la décision de relaxe ou d’acquittement, mais inscrira une mention faisant état de cette décision. »
S’agissant d’une décision de non-lieu ou de classement sans suite motivée pour une insuffisance de charge, elles font l’objet d’une mention dans le fichier, sauf si le procureur ordonne expressément l’effacement des données. Le champ des décisions de classement concernées est précisément défini et correspond en pratique aux motifs numéros 11 et 21 dans la nomenclature de la Chancellerie (absence d’infraction et infraction insuffisamment caractérisée). Le classement sans suite prononcé pour un autre motif que l’insuffisance de charges, tel que le classement pour un motif juridique, en opportunité ou en raison du recours à une procédure alternative aux poursuites, ne permet donc pas de compléter les mentions enregistrées au STIC ou dans JUDEX. Quant à l’effacement des données personnelles, la circulaire du 26 décembre 2006 indique qu’« il apparaît qu’il devrait être ordonné dès lors que la personne a été totalement mise hors de cause et que le maintien des informations la concernant au STIC ou au JUDEX n’est plus justifié au regard des finalités du fichier considéré. »
L’application effective des textes témoigne malheureusement d’une grande distance avec ce bel ordonnancement.
2. Des mises à jour très insuffisantes en pratique
a) Une trop faible utilisation de la faculté de requalification lors de la réception des procédures
La situation en la matière est assez bien résumée par un procureur de la République : « pour les requalifications, il y a un gros problème. Nous n’avons que deux fonctionnaires au bureau d’ordre qui sont débordés ».
La circulaire du 26 décembre 2006 décrit de manière circonstanciée l’importance du rôle du procureur lors de la réception des procédures établies par les services d’enquêtes. S’agissant de la qualification des faits, il est noté qu’il appartient au procureur de la République « de vérifier cette qualification juridique et, le cas échéant, de lui substituer la qualification appropriée, voire de solliciter l’effacement de la mention dans le cas où la qualification finalement retenue ne permettrait pas d’inscription au STIC ou au JUDEX en vertu de l’article 2 des décrets correspondants ».
Lors de déplacements auprès des parquets de deux tribunaux de grande instance de la région parisienne, vos rapporteurs ont reçu des réponses très franches sur la manière dont cette mission était remplie. Il apparaît qu’en pratique il n’est pas procédé à des demandes de rectification du fichier à la réception des procédures afin de tenir compte d’une requalification(99). La raison en est d’abord et principalement d’ordre pratique et réside dans la masse considérable des tâches assignées au parquet au regard des moyens humains et matériels dont il dispose. Une autre raison est, pour ainsi dire, culturelle. Dans les cas où les justiciables ont, par exemple, fait l’objet d’une mesure de correctionnalisation s’inscrivant avant tout dans une démarche de gestion des flux procéduraux vers les juridictions de jugement, des réticences se manifestent envers l’idée d’une requalification. Comme l’a indiqué l’un des magistrats entendus : « Il n’apparaît pas opportun de mettre en place une procédure systématique lourde, alors que l’on a déjà été indulgent envers le mis en cause. » En revanche, comme on le verra plus loin, la question de la requalification des faits est davantage prise en compte lorsque le procureur est saisi directement d’une demande de rectification par un mis en cause. Dans son rapport précité sur le STIC, la CNIL a relevé que les juridictions sollicitées dans le cadre de son contrôle n’ont pas été en mesure de transmettre des éléments d’information, notamment chiffrés, sur le nombre de requalifications opérées.
Cette situation est d’autant plus regrettable que le choix de la qualification initiale par les services enquêteurs est lourd de conséquences s’agissant de la durée de conservation des données, laquelle varie entre cinq ans et quarante ans pour les majeurs selon le type d’infraction. Les responsables des parquets rencontrés ont confirmé l’analyse de la CNIL figurant dans le rapport précité : les qualifications choisies par les services enquêteurs sont souvent plus lourdes que celles finalement retenues par la justice au cours des stades ultérieurs de traitement de la procédure. Ce phénomène conduit d’ailleurs à des disparités entre les statistiques d’infractions des parquets et celles des services de police dans un même secteur géographique.
Toutefois, compte tenu de la réalité du travail des parquets, il apparaît quelque peu illusoire de demander de nouveau par le biais d’une circulaire de mieux répondre à l’exigence de réexamen de la qualification des faits figurant dans les fichiers d’antécédents dès le stade de la réception des procédures. Cette situation ne pourra probablement être améliorée que dans le cadre plus général d’une automatisation des modalités de mise à jour des données au regard des suites judiciaires et en garantissant l’accès direct des parquets aux fichiers concernés.
L’UTILISATION DES FICHIERS D’ANTÉCÉDENTS PAR LE MINISTÈRE PUBLIC AU COURS DU PROCÈS PÉNAL
Les avocats entendus par vos rapporteurs ont indiqué que l’utilisation des fichiers de police par le ministère public au cours du procès pénal n’est pas sans conséquences sur l’équilibre entre défense et accusation.
À la différence du FNAEG, dont les éléments sont versés au dossier et peuvent faire l’objet d’une demande d’expertise contradictoire par la défense, les fichiers d’antécédents judiciaires sont souvent utilisés par l’accusation de manière orale, sans que la défense puisse y avoir accès. La mention des affaires dans lesquelles une personne a été mise en cause précédemment peut jouer un rôle non négligeable dans l’opinion que se forme le juge, tout particulièrement en cas de comparution immédiate.
Aussi faut-il encadrer davantage cet usage et appliquer la règle du contradictoire. Le versement systématique au dossier d’un procès-verbal circonstancié des services de police récapitulant les principaux éléments figurant dans les fichiers d’antécédents pourrait permettre à la défense d’en avoir une meilleure connaissance, et éventuellement de pouvoir les contester de manière plus circonstanciée.
Proposition n° 33
L’utilisation des fichiers d’antécédents judiciaires dans le cadre d’un procès pénal doit respecter la règle du contradictoire. Dans le cas où le ministère public mentionne les affaires pour lesquelles un prévenu ou un mis en examen a été mis en cause, la fiche correspondante doit être versée au dossier.
b) La prise en compte inégale et tardive des suites judiciaires
• Un système de fiches navettes a été prévu pour permettre aux parquets d’adresser leurs demandes de mise à jour des mentions aux gestionnaires des fichiers STIC et JUDEX. Des modèles d’imprimés figurent à cet effet en annexe des circulaires d’application des décrets de 2001 et de 2006 précités portant création de ces deux fichiers. Ces fiches doivent être jointes aux comptes rendus d’enquête après identification envoyés par les services de police et des messages d’information judiciaire de la gendarmerie nationale lorsque l’auteur de l’infraction a été identifié. Si la circulaire du 26 décembre 2006 pousse le souci du détail jusqu’à préciser qu’il conviendra de s’assurer que « les fiches-navettes annexées restent jointes au dossier de manière visible mais mobile, par exemple dans une sous-chemise agrafée en début de dossier », dans les faits c’est l’exigence même de transmission de fiches navettes qui n’a parfois été respectée que très tardivement, avec un impact évident sur le travail de mise à jour.
Ainsi, les MIJ envoyés par les services de la gendarmerie nationale n’ont pas comporté de fiche navette longtemps après la parution de la circulaire de la direction générale de la gendarmerie nationale du 10 août 2007 relative à l’emploi du système JUDEX. Celle-ci prévoyait expressément l’utilisation d’une telle fiche, afin que les parquets puissent transmettre leurs consignes aux brigades départementales de renseignements et d’investigations judiciaires (BDRIJ), mais son application effective semble avoir été particulièrement lente. En témoigne un échange de courriers datés respectivement du 21 juillet et du 25 septembre 2008 entre un commandant de groupement de gendarmerie et un procureur de la République, soit un an après la parution de la circulaire (100). De fait, selon un magistrat entendu par vos rapporteurs sur cette question, « les erreurs sont désormais plus fréquentes dans JUDEX que dans le STIC, car la prise en compte des retours des parquets y est plus récente, depuis environ six mois ». Au 1er janvier 2008, le STRJD n’a d’ailleurs procédé qu’à 2 068 effacements du fichier JUDEX à la demande des parquets et a été informé de seulement 298 relaxes, soit des flux très limités au regard du nombre d’affaires transmises par la gendarmerie.
En outre, ce dispositif de transmission est apparu peu efficace pour les utilisateurs. Lors de leur déplacement auprès de la division de la statistique et de la documentation criminelle (DSDC) de la préfecture de police de Paris, vos rapporteurs ont pu constater que les formulaires renvoyés aux fins de mise à jour par les parquets des tribunaux de Paris et des trois départements de la petite couronne ne reprennent pas systématiquement le modèle type. De fait, la recherche des fiches navettes dans chaque dossier prend beaucoup trop de temps. Une modification du logiciel de la nouvelle chaîne pénale (NCP) en région parisienne permet depuis un peu plus de deux ans l’édition automatique d’une note récapitulant les suites judiciaires à destination des services gestionnaires des fichiers. En tout état de cause, selon un magistrat du parquet d’un TGI de la région parisienne « l’expérience enseigne que tout ce qui ne s’intègre pas dans notre chaîne informatisée ne fonctionne pas ».
Dans les cas où le travail de mise à jour est effectivement réalisé, il prend encore un temps important. Ainsi, à Évry, il faut compter en moyenne trois semaines à un mois pour procéder à l’enregistrement de la procédure rédigée par les services de police ou de gendarmerie à compter de son arrivée au tribunal, tandis que le délai de traitement du dossier par un magistrat peut prendre ensuite d’un à trois mois. Dans certains cas, un retard bien plus important a été enregistré : les atteintes aux biens comportaient jusqu’à récemment des délais de traitement de 15 à 18 mois ; un effort d’ensemble a été réalisé pour y remédier. Pour l’essentiel, les retards observés résultent d’un manque de personnels disponibles dans des greffes surchargés (101).
• S’agissant des flux de demandes de mises à jour en fonction des suites judiciaires adressées par les parquets, la situation apparaît très contrastée. Le rapport précité de la CNIL souligne combien sont insuffisantes en 2007 les transmissions des décisions de classement sans suite (21,5 %), de non-lieu (0,47 %), d’acquittement (6,88 %) et de relaxe (31,17 %)(102). Il faut cependant noter qu’à l’exception du cas des décisions de non-lieu, des progrès non négligeables ont été réalisés, les pourcentages mentionnés ayant très significativement augmenté depuis 2005.
Compte tenu des consignes données par la Chancellerie et des recommandations de la CNIL, le rythme d’envoi des demandes de mises à jour s’est considérablement accéléré en ce qui concerne le STIC. Lors de leur déplacement auprès de la DSDC de la préfecture de police, il a été indiqué à vos rapporteurs que les suites judiciaires étaient transmises « naturellement » par les tribunaux parisiens. Quant aux TGI des départements de la petite couronne, après un certain retard observé les années précédentes, les demandes de mises à jour arrivent désormais « par tombereaux ». Ainsi, ce sont plus de 32 000 demandes d’effacement et de rectification qui sont parvenues en 2008 au « groupe juridique » de la DSDC, chargé de la gestion de l’ensemble des demandes de mises à jour, qu’elles viennent spontanément des parquets ou fassent suite à des vérifications opérées à l’occasion d’une consultation administrative du fichier d’antécédents. Ce phénomène a été également confirmé lors du déplacement auprès du service régional de documentation judiciaire (SRDC) de Versailles, qui couvre les départements de la grande couronne. La chaîne de traitement des suites judiciaires favorables y a débuté en janvier 2002 et, jusqu’en 2006, le nombre de demandes émanant des parquets d’Île-de-France est resté très limité (50 par an tout au plus). Depuis 2007, une augmentation très nette des courriers a pu être constatée et le nombre de 1 000 demandes par mois est désormais atteint. Cet afflux a d’ailleurs provoqué un certain encombrement au sein de ce SRDC, dans la mesure où le suivi des procédures judiciaires est assuré par une seule personne. Aussi faut-il compter entre quatre et cinq mois entre la réception de la demande du parquet et sa traduction dans le fichier.
Les réalités d’un système de mise à jour quelque peu anarchique, fonctionnant au moyen de fiches navettes qui constituent seulement un pis aller, soulignent l’urgence de l’adoption de solutions techniques plus modernes.
• Comme l’a indiqué un responsable du ministère de la Justice, face à ces difficultés « la solution c’est soit d’attendre CASSIOPÉE, soit d’injecter des moyens massifs ». Si manifestement c’est la première solution qui a été retenue, les différents acteurs rencontrés ont malheureusement tous fait part d’un grand scepticisme sur les améliorations effectives susceptibles d’être apportées à cette question des mises à jour par la mise en place de l’application CASSIOPÉE au sein du ministère de la Justice, au moins dans un premier temps (103).
Il convient tout d’abord de rappeler que le déploiement de cette application a pris un retard considérable par rapport au calendrier initial. Après une série de tests dans trois sites pilotes, elle est en cours de pré-généralisation pour une vingtaine de TGI de moyenne importance. La mise en exploitation à Bordeaux à partir de janvier 2009 constitue une étape importante, puisqu’il s’agira du premier tribunal ayant un fort volume d’activité dans lequel l’application sera testée. En cas de succès, la phase de déploiement doit débuter à partir de février ou de mars 2009, avec un déploiement en Île-de-France prévu pour 2010. Alors que CASSIOPÉE devait être pleinement opérationnelle en 2007-2008, sa mise en œuvre ne sera complète au mieux qu’en 2010.
Au départ, CASSIOPÉE sera simplement un outil de gestion de la chaîne pénale au sein du ministère de la Justice. Il est cependant prévu de mettre en place une interface entre cette application et le système de numérisation des procédures pénales (NPP) installé dans chaque juridiction, afin de pouvoir consulter les procédures judiciaires sous une forme numérisée depuis CASSIOPÉE. Cela suppose qu’une décision soit prise en ce sens par le comité des directeurs du projet et la réalisation effective pourrait intervenir dès 2010, une fois l’ensemble du déploiement de CASSIOPÉE achevé.
S’agissant des relations entre les services d’enquête et CASSIOPÉE, cela concerne à la fois les « flux entrants », c’est-à-dire des procédures en provenance de la police (ARDOISE) et de la gendarmerie (ICARE) et les « flux sortants », pour la mise à jour automatique d’ARIANE, c’est-à-dire des instructions des parquets pour les suites judiciaires. Ces échanges n’étaient pas prévus initialement, mais ils font désormais l’objet de travaux assez avancés sous l’égide d’un groupe de travail tripartite, notamment sur le plan des spécifications techniques. Selon les informations transmises à vos rapporteurs, les échanges interapplicatifs pourraient intervenir dès 2010, sous réserve d’un respect du calendrier de déploiement des deux applications en cause. La mise en place de ce système d’alimentation croisée ne doit pas faire perdre de vue que chaque gestionnaire d’application gardera la maîtrise complète de l’outil qui lui est confié. Ainsi, les consignes de mise à jour des parquets envoyées sous forme électronique faciliteront certes la tâche, mais il appartiendra aux gestionnaires d’ARIANE de veiller à leur bonne intégration.
C’est désormais vers un système véritablement automatisé qu’il convient de s’orienter. À cet égard, le président de la CNIL a déclaré n’avoir aucune objection de principe à de telles transmissions sécurisées de données entre la police et la justice. La dématérialisation complète des procédures de la chaîne pénale est d’ailleurs un chantier d’une toute autre ampleur, posant notamment la question de l’authentification des signatures des différents acteurs (témoins et mis en cause, notamment) ainsi que celle du sort des annexes aux procédures (scellés, etc.). Malgré ces indéniables difficultés techniques et pratiques, ce dossier doit constituer une véritable priorité, dans un souci de simplification et d’efficacité du service public de la justice. Dans son rapport précité sur l’exécution des décisions de justice pénale, M. Étienne Blanc avait déjà souligné que « les applications informatiques utilisées par les juridictions pénales sont aujourd’hui totalement obsolètes » et que « les heurts et les retards dans la chaîne pénale ne pourront être réduits que par la dématérialisation de cette chaîne et par la poursuite des efforts pour accélérer l’enregistrement des décisions par le casier judiciaire. »
On relèvera, pour terminer, qu’en raison précisément de l’absence d’interconnexion entre les fichiers, il n’existe pas actuellement de procédure automatisée d’effacement du fichier Canonge ou du FNAEG dans les cas où la fiche d’un mis en cause dans le STIC a été effacée à la suite d’une décision de mise à jour prise par le procureur de la République. Selon un responsable de la sous-direction de la police technique et scientifique, dans ces cas, l’effacement du FNAEG s’effectue « si on a l’information ».
Proposition n° 34
Mettre en place au plus vite le dispositif d’échanges d’informations entre CASSIOPÉE et ARIANE, afin de tenir compte plus rapidement et plus efficacement des changements de qualification et des suites judiciaires.
Proposition n° 35
Garantir la transmission systématique des décisions judiciaires d’effacement des fichiers d’antécédents afin de procéder aux effacements correspondants dans le fichier CANONGE et dans le FNAEG.
c) Garantir un traitement rapide des demandes de mise à jour adressées directement aux parquets
• Vos rapporteurs ont procédé à des déplacements auprès des parquets de deux TGI de la région parisienne, Évry et Bobigny, où le volume des demandes de mise à jour est particulièrement important compte tenu de la présence de deux plates-formes aéroportuaires, employant de nombreuses personnes faisant l’objet d’enquêtes administratives pour la délivrance de cartes d’accès à ces zones. Si à Évry le flux de demandes de mises à jour adressées directement au parquet reste stable, avec un peu plus d’une centaine de requêtes par an (111 demandes effectuées en 2008, contre 120 environ en 2007), il est en augmentation à Bobigny (299 demandes en 2007, 340 en 2008).
Le III de l’article 21 de la loi n° 2003-239 pour la sécurité intérieure dispose qu’une personne figurant dans les fichiers d’antécédents judiciaires peut saisir directement le procureur de la République d’une demande de rectification des données la concernant. Le traitement des requêtes se déroule de la manière suivante :
— le parquet demande à la police et à la gendarmerie si la personne est connue dans le STIC ou dans JUDEX ; la réponse intervient désormais dans des délais rapides, contrastant avec des « débuts plus chaotiques » ;
— en fonction des réponses, le requérant est orienté vers les TGI territorialement compétents en raison de la localisation des faits ;
— l’ensemble des procédures mentionnées est recherché, ce qui n’est pas toujours facile pour les procédures anciennes. Dans le cas où aucune trace n’en est trouvée, il est demandé aux services de police ou de gendarmerie copie des procédures transmises au parquet, afin de pouvoir apprécier les circonstances de l’affaire (six cas sur les 111 requêtes enregistrées en 2008 au parquet du TGI d’Évry).
Au vu du contenu même des procédures, il faut ensuite schématiquement distinguer deux cas de figure : celui des affaires simples, avec un seul fait de faible gravité ; celui des délinquants d’habitude, pour lesquels le parquet demandera parfois l’effacement de certains faits, mais où, en tout état de cause, d’autres infractions resteront inscrites légitimement dans les fichiers. Les responsables des parquets rencontrés ont indiqué qu’ils avaient particulièrement conscience des enjeux en matière d’accès à l’emploi et qu’en conséquence les cas simples, pour lesquels l’effacement de la seule infraction mentionnée dans le fichier est envisageable, sont traités avec une diligence particulière. Il s’agit cependant seulement d’une bonne pratique, récente, et les requérants ne se voient offrir aucune garantie que le traitement de leur demande sera effectué dans des délais raisonnables.
• D’un point de vue pratique, l’installation de terminaux de consultation du STIC et de JUDEX au sein des parquets permettrait de gagner du temps dans le traitement des dossiers (entre un et deux mois).
Par ailleurs, l’article 87-1 du décret du 20 octobre 2005 précité fixe un délai de trois mois aux procureurs de la République pour instruire les demandes de mises à jour, que celles-ci leur aient été directement adressées par les requérants ou qu’elles leur aient été adressées par le responsable du traitement lui-même saisi par la CNIL(104). Il reste que même si la circulaire du ministre de la justice du 31 mai 2007 appelle l’attention sur la nécessité de veiller au respect de ce délai, celui-ci reste simplement indicatif.
Or, une grande rapidité de décision est hautement souhaitable afin de ne pas réduire à néant une chance d’accès à un emploi.
De manière générale, le délai de réponse aux demandes de rectification de données à caractère personnel figurant dans des fichiers d’antécédents judiciaires, dans les cas prévus par l’article 21 de la loi du 18 mars 2003 relative à la sécurité intérieure, devrait être ramené à un mois à compter du dépôt de la demande.
En outre, il convient d’instituer un magistrat référent des fichiers d’antécédents et de le charger du traitement en temps réel des dossiers manifestement urgents. Choisi parmi les magistrats du parquet, il sera à même de bien apprécier le bien fondé des demandes et de faire procéder aux modifications nécessaires en temps réel. Par analogie, on notera que l’article R. 53-17 du code de procédure pénale confie au magistrat référent du FNAEG des pouvoirs importants, puisqu’il peut ordonner l’effacement d’enregistrements illicites.
Proposition n° 36
Réduire à un mois le délai de traitement du dossier en cas de demande de mise à jour émanant d’une personne figurant dans un fichier d’antécédents judiciaires.
Proposition n° 37
Mettre en place une procédure de traitement en temps réel auprès d’un magistrat référent des fichiers d’antécédents afin de répondre aux demandes de mise à jour présentant un degré d’urgence particulièrement élevé.
• Comme l’a indiqué un des avocats auditionnés, normalement, « la relaxe, c’est la relaxe ! ».
Or, la loi offre au procureur de la République de maintenir dans un fichier d’antécédents judiciaires les données personnelles concernant un mis en cause ayant bénéficié d’une décision de relaxe ou d’acquittement devenue définitive.
On peut s’interroger sur l’utilité d’un tel dispositif dérogatoire, permettant de maintenir des données personnelles alors même que l’intéressé est reconnu innocent. En pratique, les témoignages obtenus par vos rapporteurs montrent une diversité certaine des points de vue. D’une part, un responsable du ministère de la Justice a relevé crûment que lorsqu’une personne a été relaxée ou acquittée malgré des charges qui semblaient lourdes au parquet, « dans ces cas-là, on ne lâche pas l’affaire ». En revanche, lors des déplacements de vos rapporteurs auprès des parquets de TGI d’Évry, de Niort et de Bobigny, les procureurs de la République ont indiqué ne jamais faire usage de cette faculté, dans un cas par opposition de principe à la possibilité de contredire une décision favorable d’une juridiction de jugement, dans deux autres, faute de temps et de moyens. Enfin, un autre magistrat du parquet a indiqué qu’« en tant que procureur, je n’ai jamais prescrit le maintien au fichier ».
On soulignera que les ministères de l’Intérieur et de la justice ont été interrogés par vos rapporteurs, afin de disposer de données statistiques précises sur cette question. Par un courrier du 18 mars 2009, la garde des Sceaux a indiqué que « les décisions de maintien des données personnelles dans les fichiers de police judiciaire STIC et JUDEX prises par les procureurs de la République ne font pas l’objet de comptabilisation ».
Sur ce point, vos rapporteurs ont exprimé des points de vue différents.
Votre rapporteur considère que dans certains cas bien particuliers, concernant pour l’essentiel des récidivistes, la possibilité de maintenir des informations sur un mis en cause finalement innocenté peut être utile s’il s’agit de pouvoir ultérieurement disposer d’éléments d’information sur le parcours d’un individu. C’est notamment le cas lorsqu’il s’agit d’affaires particulièrement graves d’atteinte aux personnes, et la prudence commande de maintenir un dispositif qui permet, sur décision d’un magistrat du parquet, de garder la trace de soupçons très étayés.
En revanche, votre rapporteure estime cette disposition excessive, inutile et désuète. Le fait que, dans le cas où le procureur de la République prend une telle décision, les données sont radiées du STIC « administratif », mais sont conservées dans le STIC « antécédents judiciaires » ne paraît pas une garantie suffisante. Il convient de souligner que la décision du procureur de la République n’est actuellement susceptible d’aucun recours. Lors des travaux menés dans le cadre du groupe de travail sur les fichiers de police, aussi bien en 2006 qu’en 2008, le ministère de la Justice s’est en effet opposé à l’instauration d’un tel recours au motif « qu’il appartient au seul responsable du traitement […] de prendre ou non la décision d’effacement ou de rectification dans le cadre du droit d’accès indirect […] et ce même lorsqu’il est tenu de suivre la position prise par le procureur de la République »… Quant à l’invocation de la finalité du traitement figurant dans l’article 21 de la loi du 18 mars 2003, elle apparaît peu convaincante. Dans les cas où le maintien est demandé notamment parce que la personne est un récidiviste notoire, les fichiers d’antécédents conservent trace de l’ensemble des autres affaires dans lesquelles il a été impliqué et permettent aux services enquêteurs de disposer de suffisamment d’informations pour, le cas échéant, orienter ultérieurement une enquête ou un interrogatoire en garde à vue.
Proposition n° 38 de votre rapporteur
Maintenir la faculté accordée au procureur de la République de prescrire le maintien dans un fichier d’antécédent judiciaire des données personnelles concernant les personnes mises en cause en cas de décision de relaxe ou d’acquittement devenue définitive.
Proposition n° 38 bis de votre rapporteure
Supprimer la faculté accordée au procureur de la République de prescrire le maintien dans un fichier d’antécédent judiciaire des données personnelles concernant les personnes mises en cause en cas de décision de relaxe ou d’acquittement devenue définitive (modification du III de l’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure).
3. Le contrôle des fichiers d’antécédents judiciaires par les parquets est-il seulement « un concept » ?
Cette appréciation sur le contrôle du STIC par les parquets a été formulée par un policier à l’occasion d’un déplacement. Elle témoigne de manière abrupte de la façon dont les services de police envisagent parfois leurs relations avec le parquet. Il a été clairement indiqué à l’occasion du déplacement auprès du SRDC de Versailles qu’en ce qui concerne la mise à jour du fichier en fonction des suites judiciaires, « les parquets prescrivent des mesures d’effacement, mais en tant que gestionnaires, nous ne sommes pas obligés d’en tenir compte ». Le texte du III de l’article 21 de la loi du 18 mars 2003 déjà cité est pourtant explicite, puisque c’est bien « le traitement des informations nominatives » figurant dans les fichiers d’antécédents judiciaires qui est placé sous le contrôle du procureur de la République. En outre, la possibilité de « prescrire » une action s’applique seulement au cas où le procureur souhaite qu’une décision de relaxe ou d’acquittement devenue définitive, qui emporte normalement effacement du fichier, fasse malgré tout l’objet d’une mention. Dans les cas de décisions de non-lieu et de classement sans suite motivé par une insuffisance de charges, si le procureur souhaite effacer les données, il l’« ordonne » ; le terme est dépourvu d’ambiguïté.
• Aussi bien la DSDC de la préfecture de police de Paris que le SRDC de Versailles ont indiqué qu’en cas de demande d’effacement émanant du procureur de la République pour les cas de classement sans suite, la procédure initiale est minutieusement consultée afin de vérifier si la décision est effectivement fondée sur un classement 11 ou 21. Si ce n’est pas le cas, la demande d’effacement n’est pas prise en compte (105).
Le caractère extrêmement restrictif des textes en matière d’effacement et la lecture qui en est faite ne sont pas sans poser des problèmes très importants, parfois pour des faits mineurs. L’un des exemples présentés à vos rapporteurs est celui d’un passager de la SNCF qui, risquant de rater son train et perdant son calme en raison de la lenteur du guichetier à lui délivrer un billet, a donné un coup de pied dans la porte vitrée et l’a endommagée. La personne a remboursé les travaux de remplacement et le parquet a, en conséquence, estimé les poursuites inopportunes. Toutefois, le mis en cause demeure dans le fichier d’antécédents et le service gestionnaire refuse de l’en effacer car le cas ne correspond pas strictement aux motifs d’effacement prévus. « Petite cause, grands effets ». Autre exemple : des jeunes quittent un café sans régler l’addition, sont rattrapés par le propriétaire de l’établissement et payent immédiatement, sous les yeux des policiers. Inscrits au STIC, ils y demeurent malgré les demandes du parquet, car les faits sont reconnus et l’infraction caractérisée.
• Un autre type de cas apparaît particulièrement préoccupant. Il s’agit des personnes arrêtées et mises en garde à vue mais jamais déférées à la justice, et pour lesquelles il n’y a eu aucune décision de classement sans suite par le parquet. L’exemple classique est le suivant : une trentaine de personnes sont arrêtées dans le cadre de violences urbaines et mises en garde à vue ; la plupart sont rapidement relâchées après consultation téléphonique du parquet, faute d’éléments permettant de vraiment soutenir une procédure de poursuite ; huit seulement sont poursuivies et six d’entre elles sont condamnées et deux relaxées. Si le parquet peut prescrire l’effacement des fichiers d’antécédents de ces deux dernières, il n’en est pas de même pour celles qui n’ont pas été déférées, car en l’absence de toute décision judiciaire, le gestionnaire du traitement refuse l’effacement. De fait et selon les magistrats du parquet rencontrés, par ce biais, « on inscrit comme auteurs des victimes et des témoins ».
Lorsque le parquet demande l’effacement à la suite d’une requête individuelle dans un cas semblable, il tente de la motiver par un classement 11 ou 21 ; mais le service gestionnaire fait valoir l’absence de mention d’un tel classement dans la procédure. Il s’appuie en outre le plus souvent dans ce type de cas sur le fait que certains éléments conduisent à ses yeux légitimement à une mise en cause, tout particulièrement le fait d’avoir été reconnu par un policier. Dans d’autres cas, plus rares, il peut également arguer du fait que « les faits ont été reconnus par l’intéressé » lors de sa garde à vue et donc que l’infraction est constituée, ce qui peut par exemple apparaître à l’occasion de bagarres, lorsque des coups ont été portés mais qu’ils bénéficient de l’excuse de provocation ou de légitime défense. Le service gestionnaire refuse la suppression de la mention au fichier et en informe même par écrit le procureur. La copie de tels échanges de courriers, pour le moins surprenants, figure en annexe 8 (106). Des personnes qui n’ont jamais été poursuivies demeurent donc dans les fichiers. Dans un des parquets visités, ce type d’affaire représente environ 10 % des requêtes individuelles chaque année, et dans un peu moins de la moitié de ces mêmes cas les services de police refusent l’effacement.
On relèvera que ces observations s’appliquent avant tout aux services de la police nationale. Selon les magistrats entendus, la gendarmerie nationale semble appliquer sans restriction les décisions de mise à jour du fichier JUDEX formulées par le parquet.
• Même si le procureur de la République insiste auprès du service gestionnaire pour que soit mis fin à une telle anomalie, il n’a in fine aucun moyen de vérifier que ses demandes ont été suivies d’effets. Alors que le IV de l’article 21 de loi pour la sécurité intérieure prévoit que l’accès aux informations figurant dans les fichiers d’antécédents judiciaires est ouvert aux magistrats du parquet et que la circulaire du 6 juillet 2001 prévoit l’installation à cet effet de terminaux dans les parquets, cette mesure n’a connu aucune application. Selon l’un des magistrats entendus, c’est « sans doute parce que la police n’a pas véritablement envie que nous ayons un regard plus précis sur ses fichiers », tandis qu’un autre a noté que l’un des arguments qui avait été opposé par les gestionnaires de traitements à la mise en place d’un tel accès direct était l’insuffisant degré d’habilitation des personnels travaillant au parquet.
En définitive, le caractère extrêmement limité des cas d’effacement des fichiers en fonction de décision de classement sans suite débouche sur une situation pour le moins absurde. Les fichiers d’antécédents tendent de plus en plus à jouer un rôle de casier judiciaire parallèle, et ce sans contrôle juridictionnel effectif. Ainsi, alors que le juge peut décider de ne pas inscrire une condamnation sur le bulletin n° 2 du casier judiciaire, des mesures d’une portée similaire n’ont pas d’effet pour le STIC ou JUDEX. L’encadré ci-après récapitule pour mémoire les règles applicables au casier judiciaire.
LES RÈGLES RELATIVES À LA DISPENSE D’INSCRIPTION ET À L’EFFACEMENT DU CASIER JUDICIAIRE
• Les règles applicables en matière de dispense d’inscription sont différentes selon le bulletin concerné.
Pour le bulletin n° 1, qui ne peut être transmis qu’aux autorités judiciaires, l’article 768 du code de procédure pénale dispose qu’y sont inscrites notamment les condamnations pour crime, délit ou contravention de la cinquième classe, ainsi que les déclarations de culpabilité assorties d’une dispense de peine ou d’un ajournement du prononcé de la peine, sauf si la mention de ces décisions a été expressément exclue en application de l’article 132-59 du code pénal. Ce dernier permet au juge d’accorder une telle dispense « lorsqu’il apparaît que le reclassement du coupable est acquis, que le dommage causé est réparé et que le trouble résultant de l’infraction a cessé ».
S’agissant du bulletin n° 2, l’article 775-1 du code de procédure pénale prévoit que le tribunal qui prononce une condamnation peut exclure expressément sa mention au bulletin n° 2 soit dans le jugement de condamnation, soit par jugement rendu postérieurement sur la requête du condamné. L’article 777-1 du code de procédure pénale dispose que ces règles s’appliquent également à l’exclusion de la mention d’une condamnation du bulletin n° 3.
• Des règles particulières sont prévues en faveur des mineurs par l’article 770 du code de procédure pénale.
Lorsque, à la suite d’une décision prise à l’égard d’un mineur de dix-huit ans, la rééducation de ce mineur apparaît comme acquise, le tribunal pour enfants peut, après l’expiration d’un délai de trois ans à compter de ladite décision et même si le mineur a atteint sa majorité, décider, à sa requête, à celle du ministère public ou d’office, la suppression du casier judiciaire de la fiche concernant la décision dont il s’agit.
La suppression de la fiche relative à une condamnation prononcée pour des faits commis par une personne âgée de dix-huit à vingt et un ans peut également, si le reclassement du condamné paraît acquis, être prononcée à l’expiration d’un délai de trois ans à compter de la condamnation. Cette suppression ne peut cependant intervenir qu’après que les peines privatives de liberté ont été exécutées et que les amendes ont été payées et, si des peines complémentaires ont été prononcées pour une durée déterminée, après l’expiration de cette durée.
• L’article 769 du code de procédure pénale prévoit que sont retirées du casier judiciaire les fiches relatives à des condamnations effacées par une amnistie. Le sont également :
- les condamnations prononcées depuis plus de quarante ans et qui n’ont pas été suivies d’une nouvelle condamnation à une peine criminelle ou correctionnelle ;
- les dispenses de peines et les condamnations pour contravention, à l’expiration d’un délai de trois ans à compter du jour où elles sont devenues définitives ;
- les mentions relatives à la composition pénale, à l’expiration d’un délai de trois ans à compter du jour où l’exécution de la mesure a été constatée, si la personne n’a pas, pendant ce délai, soit subi de condamnation à une peine criminelle ou correctionnelle, soit exécuté une nouvelle composition pénale.
Or, l’utilisation des fichiers d’antécédents à des fins administratives leur confère une influence considérable sur certains destins individuels. Il est donc nécessaire de modifier la loi de 2003 afin d’élargir le champ des motifs emportant l’effacement des fichiers d’antécédents à certains motifs d’inopportunité des poursuites, tout particulièrement les classements pour désistement du plaignant (classement 42), dus au comportement de la victime (classement 45) et pour régularisation d’office (classement 47). De plus, il faut envisager de mieux prendre en compte certaines procédures alternatives mises en œuvre par les parquets, comme la réparation (classement 51), la médiation (classement 52) et le rappel à la loi ou l’avertissement (classement 56) (107). En effet, de manière assez paradoxale le système actuel faisant de la reconnaissance des faits un motif de maintien dans les fichiers constitue pour les mis en cause une incitation à nier et à ne pas s’engager dans la voie de procédures alternatives.
Par ailleurs, l’installation de terminaux STIC et JUDEX au sein des parquets apparaît comme une nécessité au regard de l’exigence d’un contrôle effectif des fichiers d’antécédents.
Proposition n° 39
Élargir le nombre de cas dans lesquels le procureur de la République peut ordonner l’effacement des données personnelles en modifiant le III de l’article 21 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure.
Proposition n° 40
Installer au plus vite dans les parquets des TGI des terminaux permettant l’accès direct aux données figurant dans les traitements STIC et JUDEX, afin d’assurer un véritable contrôle par le procureur de la République et d’accélérer le traitement des mises à jour en fonction des suites judiciaires.
D. L’ULTIME RECOURS DU DROIT D’ACCÈS INDIRECT
L’article 41 de la loi du 6 janvier 1978, modifiée par la loi du 6 août 2004, dispose que, « Par dérogation aux articles 39 [droit d’accès] et 40 [droit de rectification], lorsqu’un traitement intéresse la sûreté de l’État, la défense ou la sécurité publique, le droit d’accès s’exerce dans les conditions prévues par le présent article pour l’ensemble des informations qu’il contient. » Le droit d’accès à ces fichiers s’effectue donc de manière indirecte. Toute personne souhaitant l’exercer doit s’adresser à la CNIL, qui désigne l’un de ses membres, appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes pour mener toutes investigations utiles. Ce commissaire exerce, en lieu et place du requérant, le droit d’accès et le droit de rectification ou d’effacement des données soit inexactes, soit collectées ou conservées en contradiction avec la loi.
Dans la pratique, l’exercice de ce droit est rendu plus difficile par des délais de réponse très longs. En outre, l’encadrement de la communication des données au requérant est significativement différent selon qu’il s’agit de fichiers d’antécédents judiciaires ou de fichiers de renseignement.
1. Les difficultés rencontrées pour faire face à la croissance des demandes
a) Un volume croissant de demandes adressées à la CNIL et des délais très longs
• Les flux de demandes d’accès indirect aux fichiers de police, et plus particulièrement au fichier des renseignements généraux (FRG) ont connu une augmentation considérable depuis 2002, puisqu’ils sont passés d’environ 1 000 demandes par an à cette date à 2 660 en 2007 (dont 1 607 visant exclusivement le FRG). De 2006 à 2007, la progression des demandes s’établit à 67 %. De fait, cette augmentation est corrélée à la communication accrue sur les possibilités de recours à la suite d’« affaires » particulièrement médiatisées, comme celle de la fiche RG de Bruno Rebelle durant la campagne pour les élections présidentielles, ou comme la polémique sur le fichier EDVIGE. À la suite de ces derniers débats, un grand nombre de requêtes a été enregistré (709 entre le 1er juillet et le mois d’octobre), ce qui laisse présager qu’un nouveau record sera établi en 2008.
• Face à cette explosion de la demande, les complexes procédures d’instruction des dossiers restent assurées par un nombre limité de personnels. En ce qui concerne le STIC, c’est à la division des études, des liaisons et de la formation (DELF) du service central de documentation criminelle, situé à Écully, que revient la charge de collecter les informations et d’instruire le dossier en vue de son examen par la CNIL. Cette division est composée d’une dizaine d’agents, dont six sont occupés à temps plein par le droit d’accès indirect. En ce qui concerne le FRG, l’essentiel des personnels affectés à l’instruction des dossiers appartient à la sous-direction de l’information générale (sept personnes à temps plein), tandis que deux personnes sont chargées du droit d’accès indirect à la direction du renseignement de la préfecture de police de Paris, sans qu’il s’agisse pour autant d’une tâche à temps plein.
Surtout, au sein de la CNIL, si l’on fait abstraction des sept commissaires auxquels est confiée par roulement la mission d’exercice du droit d’accès indirect, la cellule administrative « droit d’accès indirect » se limite à sa responsable, épaulée par une assistante. Or, la tâche d’instruction et de suivi des dossiers s’avère de plus en plus lourde.
En témoignent des délais de réponse particulièrement longs. S’agissant des demandes d’accès au STIC, il faut compter entre douze et dix-huit mois si le requérant est inscrit dans le fichier. Pour le FRG, le délai est encore plus long : lors du déplacement effectué par vos rapporteurs en décembre 2008, la CNIL traitait les demandes déposées au cours du premier semestre 2007, soit un retard de près de deux ans.
L’augmentation des moyens de la CNIL apparaît donc éminemment nécessaire pour garantir des conditions réelles d’exercice du droit d’accès indirect à la hauteur de l’enjeu en termes de libertés publiques.
Proposition n° 41
Prévoir l’engagement de personnels contractuels ponctuellement nécessaires à la CNIL pour traiter le stock des recours accumulé et garantir ainsi des délais convenables d’exercice du droit d’accès indirect.
b) Une procédure complexe : l’exemple du droit d’accès indirect pour les fichiers d’antécédents judiciaires
• Le requérant adresse sa demande par écrit à la CNIL. Si cette demande ne doit pas être nécessairement motivée, elle doit toutefois être accompagnée des justificatifs d’identité, de la copie des éventuels refus d’agrément ou de refus de visa, ainsi que de tout document prouvant une suite judiciaire favorable. Dès la réception de la demande de droit d’accès indirect, la CNIL adresse systématiquement un courrier au requérant pour l’informer des modalités de la procédure. Le ou les commissaires chargés de procéder aux vérifications sont désignés par un ordre de mission signé par le président de la CNIL.
Lorsque la demande est transmise par la CNIL aux gestionnaires des fichiers pour lesquels l’accès indirect a été demandé par le requérant, trois cas de figure peuvent se présenter.
Si la personne est inconnue dans les fichiers, après accord des gestionnaires concernés mentionnés sur la fiche remise lors de l’examen du dossier, le président de la CNIL informe le requérant de l’absence de signalement.
Dans le cas où le requérant est connu comme victime, les services gestionnaires des fichiers éditent sa fiche STIC ou JUDEX et saisissent le ou les procureurs de la République compétents, afin que ceux-ci puissent donner leur accord à la communication des informations.
Enfin, quand la personne est connue comme mis en cause, il est également procédé à l’édition de sa fiche mais sont aussi collectés les divers éléments de procédure référencés. Les parquets compétents sont également saisis afin d’actualiser le dossier au vu des suites judiciaires.
• Dans ces deux derniers cas, il appartient ensuite au magistrat de la CNIL saisi de la requête de vérifier l’ensemble des documents collectés. Les services gestionnaires des fichiers lui présentent également les demandes de mises à jour ou de suppressions transmises par l’autorité judiciaire, ainsi que son accord ou son refus de communication. Dans le cas d’une demande de suppression ou de mise à jour formulée par le procureur de la République, le gestionnaire du fichier fournit au commissaire de la CNIL l’ancienne version et la nouvelle version de la fiche concernée.
À la suite de la séance d’examen, si les informations s’avèrent inexactes, incomplètes ou périmées, ou si l’enregistrement n’est pas conforme aux conditions de fonctionnement du fichier fixées par les textes les instituant, le président de la CNIL, sur proposition du commissaire, peut demander la suppression ou la mise à jour des informations.
Une lettre de notification est ensuite adressée au requérant lui indiquant la fin des vérifications. À cette occasion, sous réserve de l’accord du procureur de la République, une fiche récapitulative des informations enregistrées dans les fichiers d’antécédents lui est transmise, tandis que sont indiquées les suppressions éventuelles survenues à la suite des démarches de la CNIL.
Afin de mieux comprendre les réalités des contrôles effectués, l’encadré ci-après fournit quelques informations sur des cas pratiques assez représentatifs qui ont pu être portés à la connaissance de vos rapporteurs à l’occasion de leur participation à une séance d’examen du STIC par un commissaire de la CNIL, à Écully.
EXEMPLES DE DOSSIERS EXAMINÉS DANS LE CADRE DE L’EXERCICE DU DROIT D’ACCÈS INDIRECT
Le dossier n° 1 concernait une personne mise en cause en avril 2004 pour trafic de stupéfiants. Or, le parquet concerné a requalifié l’infraction en « détention pour usage personnel ». Ainsi le délai de conservation des données dans le STIC passe de 20 à 5 ans. Ce délai de 5 ans étant expiré à la date d’examen du dossier, il a été décidé l’effacement des données. La fiche d’investigation, signée par le magistrat de la CNIL récapitule l’ensemble des décisions prises lors de l’examen de ce dossier : requalification de l’infraction et effacement des données périmées. La demande de droit d’accès indirect avait été formulée en décembre 2007 et n’a été instruite qu’en novembre 2008, soit un délai d’instruction de près d’un an.
Le dossier n° 2 concernait une personne mise en cause en octobre 2002 pour violence sur agent de la force publique. Au regard des documents rassemblés, le magistrat de la CNIL a jugé que l’enquête n’a pas permis de mettre en cause totalement la personne visée, le dossier ne comportant qu’une simple garde à vue. Aussi a-t-il été décidé l’effacement des données, la personne impliquée ne répondant pas à la définition de mis en cause. Elle avait adressé à la CNIL sa demande de droit d’accès indirect en octobre 2007, à la suite d’un refus d’agrément pour la profession d’agent de sécurité.
Le dossier n° 3 concernait une personne mise en cause dans deux affaires : l’une d’atteinte aux personnes, l’autre d’escroquerie. Compte tenu de la nature de ces infractions, le délai de conservation des données est de 40 ans. Le procureur de la République compétent, saisi afin de transmettre les suites judiciaires, avait indiqué que le dossier avait fait l’objet d’un classement sans suite après régularisation à la demande du parquet (motif numéro 55 dans la nomenclature du ministère de la Justice). Ce motif ne pouvant donner lieu à effacement du STIC, le magistrat de la CNIL a décidé que les données concernant la personne mise en cause seraient conservées.
L’application de la même lourde procédure d’accès indirect aux victimes comme aux mis en cause n’apparaît pas justifiée. Un droit d’accès direct des victimes à leur fiche doit donc être mis en place afin qu’elles puissent beaucoup plus rapidement faire valoir leurs éventuelles demandes de rectification. Cette mesure permettrait de « désengorger » en partie les flux de demandes adressés à la CNIL, accélérant d’autant le traitement des demandes des personnes mises en cause ; elle est en outre d’autant plus souhaitable que les victimes sont désormais mieux informées du fait qu’elles figurent dans les fichiers d’antécédents à l’occasion du dépôt de plainte.
Proposition n° 42
Instituer un droit d’accès direct des victimes aux fichiers d’antécédents judiciaires.
c) Des moyens insuffisants pour des défis toujours plus nombreux : la difficile équation de la CNIL
Dans son avant-propos au rapport d’activité 2006 de la CNIL, intitulé « Orages sur la CNIL ! » (108), le président Alex Türk a mis en exergue la difficile équation que la CNIL doit résoudre : « Avec 570 % d’augmentation de son activité en trois ans (2003 à 2006), plus de 70 000 fichiers déclarés chaque année, la CNIL connaît une croissance spectaculaire. »
Or, de manière générale, la CNIL reste la plus pauvre des autorités de protection des données européennes, notamment en termes d’effectifs. Alors que l’équivalent britannique de la Commission dispose de 270 postes budgétaires, la CNIL n’était dotée en 2008 que de 120 postes budgétaires. En matière de fonctionnement aussi, les comparaisons internationales sont souvent défavorables à la CNIL. À titre d’exemple, l’autorité anglaise dispose d’un budget de communication 30 fois supérieur à celui de la CNIL, soit environ 3 millions d’euros (10 % du budget total) contre 100 000 euros (0,9 % du budget total) pour la CNIL. Si son budget a augmenté de 75,4 % au cours des quatre dernières années (2004-2008), cette hausse est sept fois moins importante que celle enregistrée par l’activité de la CNIL sur la même période.
Évolution des moyens de la CNIL (lois de finances initiales)
|
|
2004
|
2005
|
2006
|
2007
|
2008
|
Évolution (en nombre)
2004-2008
|
Évolution (en %)
|
Postes
|
80
|
85
|
95
|
105
|
120
|
40
|
50,0
|
Crédits (en M€)
Personnels
Fonctionnement
|
6,5
4,2
2,3
|
7,2
4,7
2,5
|
9,0
5,3
3,7
|
9,9
6,1
3,8
|
11,4
7,2
4,2
|
4,9
3,0
1,9
|
75,4
71,4
82,6
|
Source : 28ème rapport d’activité 2007 de la CNIL, p. 96.
Pour 2009, la CNIL sera dotée de 12 954 000 euros en autorisations d’engagement et en crédits de paiement, soit une hausse de 13,2 % par rapport à 2008. Lors de son audition le jeudi 9 octobre 2008 par vos rapporteurs, M. Alex Türk a souligné que l’insuffisance des moyens, dont dispose la CNIL, compromet gravement la reconnaissance accrue des droits fondamentaux des citoyens, garantis, d’une part, par le droit d’accès indirect et, d’autre part, par les contrôles généraux opérés par la CNIL. Ainsi, saisie de 2 000 à 3 000 demandes d’accès indirect par an, la CNIL s’estime incapable de répondre au requérant dans un délai raisonnable. En outre, rapportés à la population française, ses effectifs font également de la CNIL la « dernière du peloton » des autorités de protection des données de l’Union européenne. Ainsi, alors qu’on compte 10 agents de protection des données par million d’habitants en République tchèque et 5 en Suède ainsi qu’aux Pays-Bas, ils ne sont qu’à peine deux pour un million de citoyens en France.
Effectifs des autorités de protection des données en Europe
Autorités de protection des données
|
Malvoyants
