Réf. : CNIL, 24 septembre 2021, délibération n° SAN-2021-016 (N° Lexbase : X9709CMK)
Lecture: 5 min
N8932BYH
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 01 Octobre 2021
► Le 24 septembre 2021, la formation restreinte de la CNIL a sanctionné le ministère de l'Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED).
Le fichier automatisé des empreintes (FAED) est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales. Ces empreintes sont principalement utilisées par les forces de l’ordre dans le cadre de leurs enquêtes.
À l’issue de contrôles effectués auprès des services de la police technique et scientifique et de juridictions (tribunaux judiciaires et cours d’appel), la formation restreinte de la CNIL a décidé de publiquement rappeler à l’ordre le ministère de l'Intérieur.
Manquements. Cinq manquements concernant la manière dont étaient traitées les données du FAED ont été relevés par la CNIL.
Le décret n° 87-249 du 8 avril 1987 relatif au FAED géré par le ministère de l'Intérieur (N° Lexbase : L3958IPB) dresse la liste limitative des informations qui peuvent figurer dans le fichier. Or, la CNIL a constaté que dans certains cas, le nom d’une victime ou le numéro d’immatriculation d’un véhicule y sont enregistrés, alors que ces informations ne font pas partie de celles pouvant être collectées.
La CNIL a également constaté que malgré la dématérialisation du FAED, amorcée dès 1987, plusieurs millions de fiches de signalisation étaient toujours conservées en format papier au sein d’un « fichier manuel ». Si la CNIL prend acte des importants efforts fournis par le ministère de l’Intérieur pour trier et supprimer ces fiches, elle a néanmoins souligné que le texte qui avait institué le « fichier manuel » avait été abrogé en 2001. Par conséquent, la conservation de ces fiches ne reposait plus sur aucune base légale.
Le décret relatif au FAED prévoit que les fiches de signalisation peuvent, selon les cas, être conservées jusqu’à 15 ans ou 25 ans. Or, la CNIL a constaté que le point de départ des délais de conservation était calculé à compter de la dernière signalisation pour chaque personne concernée et non à compter de l’établissement de chaque fiche relative à cette personne, ce qui avait pour conséquence que chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai pour l’ensemble de ses signalisations. Des travaux ont néanmoins été entrepris par le ministère de l’Intérieur pour mettre le traitement en conformité sur ce point.
Le décret relatif au FAED prévoit que les fiches de signalisation doivent être effacées en cas de relaxe ou d’acquittement définitif. En outre, en cas de décision de non-lieu ou de classement sans suite, les fiches doivent être effacées, sauf en cas de décision motivée du procureur de la République. Or :
- de nombreuses juridictions ne transmettaient pas automatiquement au gestionnaire du FAED les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite, de sorte que les fiches correspondantes n’étaient pas supprimées ;
- en cas de décision de non-lieu ou de classement sans suite, les fiches de signalisation étaient conservées malgré l’absence de décision expresse du procureur de la République. La formation restreinte a donc rappelé dans sa décision que, par principe, les fiches doivent être supprimées.
La CNIL a constaté que les forces de police peuvent accéder au FAED en utilisant un mot de passe composé de huit caractères. Or, compte tenu de la sensibilité des données qui figurent dans le FAED, la CNIL a considéré que ce type de mot de passe n’est pas suffisamment robuste.
La CNIL a relevé que mis à part une communication sur les sites web du ministère de l’Intérieur et le site web « service public », aucune information n’est délivrée individuellement aux personnes dont les empreintes sont prises puis versées au FAED. Ainsi, les personnes concernées sont susceptibles d’ignorer jusqu’à l’existence même de ce fichier.
Injonctions. Bien que le ministère de l’Intérieur ait entamé des travaux sur la plupart des manquements, la formation restreinte a néanmoins considéré les moyens engagés comme insuffisants. En conséquence, elle a enjoint au ministère de l'Intérieur de :
- supprimer les fiches d’un ancien « fichier manuel » qui aurait dû être détruit ;
- effacer les données dont la collecte n’est pas prévue par le décret FAED ;
- supprimer les fiches dont la durée de conservation est atteinte ;
- s’assurer que les décisions de relaxe, d’acquittement et de correctionnalisation (lorsqu’un crime est requalifié en délit) soient répercutées dans le FAED ;
- s’assurer que les décisions de non-lieu et de classement sans suite soient répercutées dans le FAED uniquement en cas de décision expresse du procureur de la République ;
- renforcer la sécurité de la connexion au FAED ;
- délivrer une information aux personnes dont les empreintes sont versées au FAED.
Le ministère doit se mettre en conformité sur ces points au plus tard le 31 décembre 2021, sauf en ce qui concerne la suppression du « fichier manuel » qui devra intervenir le 31 décembre 2022.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:478932