Des fichiers créés pour un passage du format papier au format numérisé. Arrêtés du 22 août 2012 du ministre de l’intérieur : traitementS automatiséS de données à caractère personnel (témoins, étrangers, surveillés, détenus)
Le 8 septembre 2012, par Geneviève Koubi,
Le constat de la prolifération de fichiers de police ne fait guère de doute. L’efficacité de l’exploitation de ces fichiers dépend de leur informatisation/numérisation.
Au Journal officiel du 8 septembre 2012, une série d’arrêtés en date du 22 août 2012 du ministre de l’intérieur crée une série de traitements de données à caractère personnel aux finalités diversifiées dont les enjeux éveillent d’étranges échos par rapport aux actualités évènementielles de l’été précédent. Chacun de ces arrêtés ministériels publiés évoquent la création de plusieurs fichiers - sans acronymes.
En voici la liste : Arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel relatif aux procédures d’appel à témoins ; Arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel dénommés "assignation à résidence" ; Arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel dénommés "contrôle judiciaire" ; Arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel relatifs au suivi des permissions de sortir.
.
Les quatre arrêtés du 22 août 2012 sont construits suivant un même modèle, sans explicitations : énoncés DES fichiers créés, finalités, catégories de données enregistrées, durée de conservation des données - qui varie entre un et cinq ans selon les fichiers considérés -, accès aux fichiers. Ces fichiers n’ont pas de finalité statistique. Les arrêtés du 22 août 2012 sont un moyen de régularisation de fichiers existants sous format papier. Ils permettent ainsi, outre leur légitimation ou légalisation, leur transformation sous forme numérisée.
.
Dans l’arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel relatif aux procédures d’appel à témoins, il est annoncé que la finalité de CES traitements de données « est l’enregistrement et l’exploitation des communications reçues dans le cadre de procédures d’appel à témoins ouvertes par les services de la police et les unités de la gendarmerie nationales » (art. 1). Les données enregistrées sont liminaires, conventionnelles.
La lecture de l’avis de la CNIL est indispensable pour comprendre l’institution de ce fichier. La CNIL, dans sa délibération n° 2012-057 du 8 mars 2012 portant avis sur ce projet d’arrêté rappelle que ces fichiers existaient déjà sous forme papier ; les traitements dont il s’agit sont en effet déjà mis en oeuvre au niveau local dans les commissariats et unités territoriales de gendarmerie ; ils font ainsi l’objet "d’une démarche de régularisation et d’informatisation par le ministère de l’intérieur". Ils n’étaient pas véritablement au nombre des fichiers "cachés" (pas plus que ’secrets’).
La CNIL remarque également que l’"enregistrement des informations et données transmises, par tout support, aux services de la police et aux unités de gendarmerie" - qui entrent dans les données relevées aux fichiers - « recouvre à la fois le contenu de l’enregistrement ainsi que l’enregistrement lui-même, que le témoignage soit réalisé par courrier traditionnel, électronique ou par téléphone ». Et que « seuls ces témoignages sont enregistrés et non pas les éventuels procès-verbaux des déclarations des témoins réalisés à l’occasion de leurs auditions ultérieures. »
L’un des principaux intérêts de cet avis de la CNIL est de rendre compte des différentes formes d’appels à témoins et d’en signaler les différents vecteurs médiatiques : presse, radio, télévision, internet, etc. Ainsi, « ces appels à témoins visent à susciter des témoignages afin d’orienter une enquête judiciaire en cours. La notion d’appel à témoin recoupe trois procédures différentes (appel à témoins, alerte enlèvement, alerte attentat). Les "appels à témoins" classiques consistent, à la demande des services enquêteurs et dans le cadre d’une procédure judiciaire, à susciter des témoignages afin d’accélérer la résolution d’une enquête ou d’une information. La procédure "alerte enlèvement" est inspirée du dispositif américain "Amber Alert". Il convient de noter que certains critères, strictement définis et précisés dans une convention élaborée par le ministère de la justice, doivent être réunis afin qu’un tel appel à témoin puisse être déclenché. Cette procédure autorise la communication au public, via les médias, des éléments relatifs à la victime d’un enlèvement en vue de susciter des témoignages et favoriser ainsi la localisation et la libération de la victime. Enfin, la procédure "alerte attentat" a pour objet de collecter des renseignements lorsque des attentats terroristes ont été commis sur le territoire national. »
On notera cependant que deux des recommandations de la CNIL n’ont pas été suivies - comme à l’habitude ? - sur la question de la durée de conservation des données. Ainsi, outre le fait qu’il n’est pas prévu d’effacement automatique alors qu’elle demandait à ce qu’une telle procédure soit mise en place, la CNIL signale que : « Dans le projet d’arrêté soumis à l’examen de la commission, il est prévu que "les données et informations mentionnées à l’article 2 [soient] conservées au maximum un an à compter de leur enregistrement sans préjudice de leur conservation pour les besoins d’une procédure pénale". Le ministère a néanmoins considéré que cette rédaction était ambigüe ; aussi, la commission prend acte qu’il entend reformuler la rédaction de cet article de la manière suivante : "Les données à caractère personnel et informations mentionnées à l’article 2 sont conservées jusqu’à la clôture de l’enquête ou au plus tard jusqu’à la prescription de l’action publique ou l’extinction des voies de recours" ». Or, justement, l’article 3 de l’arrêté du 22 août 2012 en question dispose : « Les données et informations mentionnées à l’article 2 sont conservées au maximum un an à compter de leur enregistrement sans préjudice de leur conservation pour les besoins d’une procédure pénale. » La modification n’a pas eu lieu, l’ambiguïté demeure.
Au titre de l’arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel dénommés "assignation à résidence", les données enregistrées dans LES traitements sont : « - l’identité de la personne assignée à résidence : nom, prénom, alias, date et lieu de naissance, nationalité, adresses, profession, numéros de téléphone, lieu de travail ; - l’identité de la personne assurant l’hébergement : nom, prénom, date et lieu de naissance, nationalité, adresses, lieu de travail ; - les informations en rapport avec la décision d’assignation : indication de l’autorité ayant prononcé la mesure d’assignation, motif de l’assignation, modalités de l’assignation à résidence. » (art. 2) Les finalités de CES traitements sont : « - d’assurer le suivi des dossiers des personnes qui, dans le cadre d’une mesure d’assignation à résidence prononcée par ordonnance du juge des libertés et de la détention ou par arrêté préfectoral, doivent se présenter périodiquement aux autorités responsables du traitement ; - de vérifier, pour les besoins des enquêtes pénales dont sont saisis les services de la police et les unités de la gendarmerie nationale, les modalités d’exécution de ces mesures. » (art. 1) Il est aussi précisé qu’« à compter du terme de la mesure d’assignation à résidence, les données ne peuvent être consultées que dans le cadre d’une procédure de police judiciaire. » (art. 3)
Là encore, il s’agit de passer des fichiers papier aux traitements informatisés. Mais, ce qui n’est pas dit explicitement dans cet arrêté et qui est souligné par la CNIL dans sa délibération n° 2012-058 du 8 mars 2012, c’est que « seules les mesures d’assignation à résidence prévues par les dispositions du code de l’entrée et du séjour des étrangers et du droit d’asile (CESEDA) sont concernées » par les traitements automatisés ainsi créés. Certes, dans les visas de l’arrêté est cité le CESEDA : "Vu le code de l’entrée et du séjour des étrangers et du droit d’asile, notamment ses articles L. 513-4, L. 624-4 et R. 513-2", et existe la mention de la "nationalité" dans les données enregistrées. Parce qu’il s’agit d’un arrêté du ministre de l’intérieur en charge de l’immigration, la précision paraît inutile mais...
En fait, les mesures ministérielles, évoquées surtout par voie de circulaires, qui semblaient devoir adoucir la situation des familles avec enfants risquant la rétention administrative s’accompagnent donc de la mise en fiches "automatisées" de chacune des personnes concernées... - quoique l’on peut penser que pour les mineurs en cause le fichage devrait être nuancé.
Comme c’est souvent le cas en matière de création de fichiers, les enseignements à tirer des avis de la CNIL sont substantiels. Ainsi, à propos de ces traitements automatisés de données à caractère personnel visant les assignations à résidence - des étrangers -, la CNIL s’interroge sur la deuxième finalité qui leur est assignée : « En effet, les dispositions du code de procédure pénale relatives aux réquisitions judiciaires et le II de l’article 3 de la loi du 6 janvier 1978 modifiée permettent déjà à l’autorité judiciaire d’avoir communication, à des fins d’enquête dans le cadre d’une procédure judiciaire, des données issues de tout traitement de données à caractère personnel, sans qu’il soit nécessaire de lui assigner une telle finalité. » Elle remarque aussi que les doublons amplifient la stratégie du flicage/fichage : « les informations relatives aux mesures d’assignation à résidence décidées en application des dispositions du CESEDA sont enregistrées dans d’autres traitements, par exemple le traitement AGDREF 2 créé par le décret no 2011-638 susvisé, et sont donc à la disposition des services enquêteurs sur simple réquisition. » Estimant que "la justification avancée par le ministère n’est pas suffisamment convaincante", elle a ainsi émis quelques réserves qui n’ont pas été prises en considération par le ministère.
Bien que non signé aussi par le ministre de la justice, un arrêté du 22 août 2012 autorise la création de traitements de données à caractère personnel dénommés "contrôle judiciaire". Les finalités de CES traitements sont : « - d’assurer le respect, par les personnes soumises à un contrôle judiciaire par décision d’un juge d’instruction ou de toute autre juridiction, de l’obligation de se présenter périodiquement à un service de police ou une unité de gendarmerie prévue par le 5° de l’article 138 du code de procédure pénale et, le cas échéant, des autres obligations ou interdictions prévues par cet article et dont le contrôle ou la mise en œuvre sont confiés au service ou à l’unité ; - d’assurer le respect, par les personnes soumises à une assignation à résidence avec surveillance électronique par décision d’un juge d’instruction ou de toute autre juridiction répressive, des obligations mentionnées à l’alinéa précédent lorsqu’elles sont mises à leur charge en application du dernier alinéa de l’article 142-5 du code de procédure pénale ; - de vérifier, pour les besoins des enquêtes pénales dont sont saisis les services de la police et les unités de la gendarmerie nationales, les modalités d’exécution de ces mesures. » (art. 1) Les catégories de données à caractère personnel enregistrées dans CES traitements, conservées 3 ans, sont : « - concernant la personne soumise au contrôle judiciaire : nom, prénom, date et lieu de naissance, nationalité, adresse, profession, numéros de téléphone, lieu de travail ; - les données relatives à la procédure judiciaire : autorité judiciaire mandante, infraction reprochée à la personne poursuivie, date de la décision ordonnant le contrôle judiciaire, nature et modalités d’exécution des obligations et interdictions dont le contrôle ou la mise en œuvre sont confiés au service de police ou à l’unité de gendarmerie. » (art. 2)
Le passage du format papier au format automatisé exige qu’un acte réglementaire soit édicté. Pour colmater la brèche qui aurait pu être ouverte par le fait que la signature de l’arrêté est du seul ministre de l’intérieur, les traitements dénommés "contrôle judiciaire" s’inscrivent dans le cadre de l’exécution de mesures de sûreté et non dans celui de l’utilisation des données à des fins d’enquête judiciaire. La CNIL, en sa délibération n° 2012-059 du 8 mars 2012 portant avis sur le projet d’arrêté relatif aux fichiers sur le contrôle judiciaire, relève que deux des finalités de ces traitements automatisés concernent non le suivi de la personne en lui même mais « le suivi du respect, par les personnes soumises à un contrôle judiciaire en application des articles 138 et 142-5 du code de procédure pénale, de l’obligation de se présenter périodiquement aux forces de police ainsi que des autres obligations ou interdictions prévues par l’article 138 et dont le contrôle ou la mise en oeuvre sont confiés au service de police ou à l’unité de gendarmerie, d’une part, et la vérification, par ces services ou unités pour les besoins d’une enquête pénale, des modalités d’exécution de la mesure, d’autre part. » La finalité de suivi du respect de leurs obligations par les personnes soumises à un contrôle judiciaire est ainsi clairement retenue.
Cependant, les croisements inévitables avec d’autres fichiers l’intriguent : « En effet, les dispositions du code de procédure pénale relatives aux réquisitions judiciaires et le II de l’article 3 de la loi du 6 janvier 1978 modifiée permettent déjà à l’autorité judiciaire d’avoir communication, à des fins d’enquête dans le cadre d’une procédure judiciaire, des données issues de tout traitement de données à caractère personnel, sans qu’il soit nécessaire de lui assigner une telle finalité. » Une certaine inquiétude transparaît implicitement quant à ce mécanisme progressif qui fait en sorte que les domaines d’intervention du ministère de l’intérieur s’emparent peu à peu de certaines des attributions dévolues au ministère de la justice, à travers des traitements automatisés de données à caractère personnel.
Et, de la même manière qu’à l’égard des explications transmises sur les fichiers de l’assignation à résidence, la CNIL note que pour ces fichiers du contrôle judiciaire, "la justification avancée par le ministère n’est pas suffisamment convaincante". Elle estime que « le ministère devrait mettre en place des garanties complémentaires, notamment en termes de durée de conservation des données et de sécurité. Ainsi, les consultations devront faire l’objet d’une traçabilité effective pour permettre à la commission, dans le cadre de ses missions de contrôle diligentées en application de l’article 44 de la loi du 6 janvier 1978 modifiée, d’assurer le nécessaire contrôle de l’utilisation des fichiers concernés à des fins de police judiciaire. » - ce que le ministère a retenu ’a minima’. On pourrait penser de même pour les effacements des données enregistrées. Car, bien que ces données sont enregistrées pour une durée de trois ans, en prenant "acte que dans les cas où l’autorité judiciaire informe les services concernés que la personne a bénéficié d’une décision définitive de non-lieu, de relaxe ou d’acquittement, les données la concernant sont immédiatement supprimées", la CNIL avait recommandé au ministère « de donner des instructions afin que cette transmission d’information soit effective et permette un effacement des données. »
L’arrêté du 22 août 2012 autorisant la création de traitements de données à caractère personnel relatifs au suivi des "permissions de sortir" (des détenus) leur donne comme finalité : « - d’assurer le suivi des informations relatives aux personnes bénéficiant d’une mesure de permission de sortir des établissements pénitentiaires, accordée par le juge de l’application des peines, lorsque le lieu de résidence est situé sur le ressort territorial du responsable du traitement ; - de vérifier, pour les besoins des enquêtes pénales dont sont saisis les services de la police et les unités de la gendarmerie nationales, les modalités d’exécution de ces mesures. » (art. 1) Les catégories de données à caractère personnel enregistrées sont : « - l’identité du bénéficiaire de la mesure : nom, prénom, date et lieu de naissance, lieu de résidence ; - l’identité de l’hébergeant : nom, prénom, date et lieu de naissance, nationalité, adresse et lieu de travail ; - les informations en rapport avec la décision d’exécution de la mesure : centre de détention, infraction, autorité judiciaire concernée, modalité d’exercice de la mesure. » (art. 2)
Là encore, la CNIL s’interroge sur les décalques entre fichiers relevant du ministère de la justice et fichiers relevant du ministère de l’intérieur ; elle reste circonspecte devant les justifications présentées par le ministère de l’intérieur en usant des mêmes termes que ceux énoncés dans les précédents avis relatifs aux autres traitements de données à caractère personnel (sur l’assignation à résidence et sur le contrôle judiciaire) et en émettant les mêmes demandes quant aux précisions indispensables. Toutefois, dans sa délibération n° 2012-060 du 8 mars 2012 portant avis sur le projet d’arrêté autorisant la création de traitements de données à caractère personnel relatifs au suivi des permissions de sortir, elle n’insiste pas sur les implications de la notion de "suivi".
Les principaux concernés sont les détenus. Ces derniers sont nécessairement informés de l’enregistrement de tout un ensemble de données à leur propos. La CNIL note alors que « la collecte et le traitement des données relatives à la date, au lieu de naissance, à la nationalité, à l’adresse et au lieu de travail de l’hébergeant sont nécessaires aux services de police et de gendarmerie "afin de s’assurer de l’effectivité du suivi des permissions de sortir et de pouvoir réagir rapidement" en cas de rupture de ses engagements par la personne bénéficiaire de la mesure. Elle relève que seules des données relatives à la nature de l’infraction seront traitées dans le cadre des fichiers de suivi des permissions de sortir, à l’exclusion de toute information relative à la condamnation prononcée, afin de permettre aux commandants d’unité de gendarmerie ou aux chefs de service de police d’adapter les missions de leurs personnels en fonction de la nature de l’infraction commise. » Mais les "personnes hébergeant les permissionnaires" sont tout aussi concernées, les données à caractère personnel de ces personnes sont également enregistrées dans ces traitements, la commission demande ainsi au ministère de "prévoir une information pour ces personnes".
.
Outre les inquiétudes générées par la prolifération des fichiers automatisés sous l’égide du ministère de l’intérieur, sans aucun doute, les exploitations des traitements automatisés de données à caractère personnel sont plus ’efficaces’ que les utilisations des fichiers sous format papier tant pour les finalités exposées que pour le contrôle de leurs accès. Néanmoins, le contrôle de l’alimentation de ces fichiers ne se voit guère facilité. De plus, il n’en demeure pas moins que l’histoire des fichiers et de leurs usages par les autorités risque d’être considérablement modifiée par la suite. Si l’on prend en considération les différentes études menées à propos des archives policières ou politiques, en France et ailleurs, il est effectivement à craindre que les recherches futures sur ces thèmes, privées de papier, s’en trouvent bousculées...