(DEMANDE D'AVIS NO AV 17004473)

La Commission nationale de l'informatique et des libertés,
Saisie par la ministre de la justice d'une demande d'avis concernant un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif aux défèrements et extractions judiciaires dénommé « TDEX » ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code de procédure pénale ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 26-I (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu l'arrêté du 4 février 2013 portant autorisation de traitements de données à caractère personnel dénommés « gestion du dépôt » ;
Sur la proposition de Mme Sylvie ROBERT, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,
Emet l'avis suivant :
La commission a été saisie par la ministre de la justice d'une demande d'avis portant sur un projet d'arrêté portant création d'un traitement de données à caractère personnel relatif aux défèrements et extractions judiciaires dénommé « TDEX ».
Le traitement projeté doit permettre la gestion, d'une part, des mesures de contrainte nécessaires à l'exercice des poursuites et à la comparution des personnes poursuivies devant les juridictions (défèrements) et, d'autre part, des présentations devant un magistrat des personnes se trouvant dans les locaux de l'administration pénitentiaire (extractions).
Le traitement projeté a ainsi pour objet la poursuite des infractions pénales et l'exécution des condamnations pénales et des mesures de sûreté et doit dès lors être autorisé par un arrêté ministériel pris après avis motivé et publié de la commission, conformément aux dispositions de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée.
Sur les finalités du traitement :
L'article 1er du projet d'arrêté assigne deux finalités au traitement projeté.
Il s'agit en premier lieu de permettre la « gestion de l'activité de défèrements et d'extractions judiciaires d'une juridiction ».
Le code de procédure pénale (CPP) impose la réalisation de diverses diligences lors du défèrement d'une personne à l'issue de sa garde à vue (information des victimes et recours éventuel à une association d'aide aux victimes, enquête sociale, avis obligatoires pour permettre à l'affaire en état d'être jugée, avis à l'avocat, information de l'interprète, etc.), dont le non-respect peut, dans certains cas, être sanctionné d'une nullité. Il est dès lors indispensable, pour les magistrats, de s'assurer de la réalisation effective de ces démarches.
En outre, le défèrement ou l'extraction nécessite d'organiser le pointage (suivi des mouvements entre le dépôt et ses convocations), l'écrou (enregistrement des renseignements relatifs à la procédure judiciaire) et la fouille (inventaire des effets personnels) de la personne concernée.
Ce traitement doit ainsi permettre aux magistrats et aux fonctionnaires chargés de ces opérations de s'assurer du respect des obligations imposées par le CPP lors des défèrements et extractions. Plus précisément, l'informatisation de l'ensemble de ces démarches permettra un partage d'informations entre les acteurs concernés, afin d'améliorer, d'une part, l'organisation pratique par les juridictions des défèrements et des extractions et, d'autre part, la sécurité juridique entourant leur mise en œuvre.
La commission relève que cette première finalité assignée au traitement TDEX est proche de celle poursuivie par les traitements dénommés « GIDEP », autorisés par l'arrêté du 4 février 2013 susvisé, qui visent à « assurer la gestion administrative des personnes déférées ou gardées à vue et placées sous la surveillance des fonctionnaires de la police nationale ou militaires de la gendarmerie nationale dans les dépôts des palais de justice ».
Elle prend néanmoins acte que le périmètre du traitement TDEX est plus large que celui des traitements GIDEP, dans la mesure où il permet la gestion des défèrements mais également des extractions. En outre, les traitements GIDEP sont destinés aux personnels chargés de l'encadrement et de la surveillance des personnes déférées ou gardées à vue dans les dépôts des palais de justice, qui relèvent du ministère de l'intérieur, et le traitement TDEX a quant à lui vocation à permettre aux magistrats de s'assurer du suivi de ces mesures et à assurer une circulation fluide de l'information entre les différents acteurs intervenant lors des défèrements et extractions (avocats, associations d'aide aux victimes, enquêteurs de personnalité).
Enfin, la commission prend acte que le traitement TDEX n'a pas vocation à se substituer au registre spécial mentionné à l'article 803-3 du CPP, relatif aux personnes déférées ne comparaissant devant un magistrat que le jour suivant l'issue de leur garde à vue et retenues à cette fin dans des locaux de la juridiction spécialement aménagés. En effet, si ce registre pourra être édité à partir du traitement TDEX, il restera conservé sur support papier à des fins probatoires pendant la durée des procédures concernées.
Au regard de ces éléments, la commission estime que cette finalité est déterminée, explicite et légitime, conformément aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Il en est de même de la seconde finalité assignée au traitement, à savoir l'exploitation des données et informations à des fins statistiques. Chaque juridiction aura ainsi connaissance de statistiques anonymisées portant sur le nombre de défèrements et d'extractions organisés, en fonction de l'âge et du sexe des personnes concernées, des orientations du ministère public et des décisions judiciaires.
Sur la nature des données traitées et leur durée de conservation :
L'article 2 du projet d'arrêté énumère les personnes concernées et les catégories de données collectées.
Ces données concernent les personnes faisant l'objet du défèrement ou de l'extraction, les victimes, les avocats et les interprètes. S'agissant de ces trois dernières catégories de personnes concernées, seules les données d'état civil et les coordonnées seront enregistrées, ce qui n'appelle pas d'observation particulière de la part de la commission.
S'agissant des personnes faisant l'objet d'un défèrement ou d'une extraction, les données relatives aux faits, condamnations et mesures de sûreté sont relatives au service enquêteur, aux différentes étapes de la procédure (garde à vue, nature des faits et qualification de l'infraction, orientation décidée par le parquet), aux différents intervenants (avis à l'avocat, information de l'interprète), aux diverses diligences à accomplir (information de la caisse primaire d'assurance maladie ou de l'agent judiciaire de l'Etat, recours à un enquêteur de personnalité, information des représentants légaux, information de la victime et recours éventuel à une association d'aide aux victimes, etc.) ou lors de la retenue dans les locaux de la juridiction spécialement aménagés, notamment concernant l'exercice des droits de la personne déférée (repas, appel téléphonique à un proche, examen par un médecin, entretien avec un avocat).
A cet égard, la commission relève qu'aucune donnée relevant de l'article 8 de la loi du 6 janvier 1978 modifiée ne sera collectée. En effet, aucune donnée relative à un constat ou diagnostic médical ne sera enregistré, seule l'information portant sur la réalisation d'un examen médical étant enregistrée. Il en est de même pour la distribution d'un repas au dépôt : aucune information susceptible de faire apparaître les opinions religieuses des personnes concernées ne sera enregistrée, seule la distribution d'un repas étant mentionnée dans le traitement projeté.
La commission estime que ces données sont adéquates, pertinentes et non excessives au regard des finalités assignées au traitement TDEX, conformément à l'article 6 (3°) de la loi du 6 janvier 1978 modifiée.
L'article 3 du projet d'arrêté prévoit que la durée de conservation de ces données est de deux ans à compter de la date du défèrement ou de l'extraction judiciaire, l'effacement ayant lieu de manière automatique.
Le ministère précise que cette durée de conservation permet d'assurer la mémoire des services, de gérer les éventuels contentieux, la situation pénale de la personne concernée n'étant définitive qu'à l'issue de la procédure, et d'exploiter de manière statistique les données.
La commission estime que cette durée de conservation est conforme aux dispositions de l'article 6 (5°) de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
Les articles 4 et 5 du projet d'arrêté énumèrent les destinataires, en distinguant les personnels habilités à accéder directement aux données enregistrées dans le traitement TDEX de ceux habilités à en recevoir communication.
S'agissant des premiers, il s'agit des magistrats du siège ou du parquet, des agents du greffe ou des personnels habilités à les assister, des avocats, pour l'organisation de la permanence et la préparation de la défense des personnes concernées, des agents des services de la police nationale, des militaires de la gendarmerie nationale et des agents de l'administration pénitentiaire, des représentants des associations d'aide aux victimes et des enquêteurs de personnalité. S'agissant des seconds, il s'agit des seuls services d'enquête, dans la limite de leur ressort.
Les magistrats accéderont à l'ensemble des données enregistrées par les magistrats, le greffe et le dépôt, afin d'être informés en amont de la conduite prochaine d'une personne devant eux.
Des restrictions seront mises en œuvre, afin de garantir que les personnels habilités accèdent aux seules données nécessaires à l'exercice de leurs missions. Ainsi, seuls les dossiers enregistrés par un cabinet d'instruction seront accessibles audit cabinet. L'accès des avocats, aux seules données relatives aux prévenus dont ils assurent la défense, sera autorisé par le magistrat en charge de la procédure. De même, les enquêteurs de personnalité n'auront accès qu'au nombre de défèrements et d'extractions prévus, aux comptes rendus d'enquête ainsi qu'aux données relatives aux prévenus dont ils doivent vérifier la situation matérielle, familiale et sociale.
L'accès des associations d'aide aux victimes doit leur permettre de mieux renseigner, orienter et accompagner les victimes. Seules les associations conventionnées pourront, sur autorisation du procureur de la République, accéder au traitement et elles n'auront accès qu'aux données relatives aux dossiers qu'elles suivent (données relatives à la victime) et pour les seules procédures en cours.
S'agissant des agents de la police et de la gendarmerie nationales et de l'administration pénitentiaire, la commission estime que seuls les agents affectés au dépôt devraient pouvoir accéder aux données enregistrées dans le traitement. Elle prend acte que, à sa demande, le projet d'arrêté sera précisé sur ce point.
Enfin, la commission prend acte que, à l'issue de chaque extraction ou défèrement, seuls les magistrats et les agents du dépôt seront habilités à accéder aux données concernées du traitement TDEX.
Sous réserve que l'accès des agents de la police et de la gendarmerie nationale soit limité aux seuls agents affectés au dépôt, la commission estime que cette liste de destinataires est conforme aux dispositions de l'article 6 (2°) de la loi du 6 janvier 1978 modifiée.
Sur l'information et les droits des personnes :
Il est prévu que le droit d'information ne s'applique pas au traitement TDEX, le ministère de la justice ayant souhaité faire application des dispositions de l'article 32-VI de la loi du 6 janvier 1978 modifiée.
Si la commission prend acte que les utilisateurs de l'application seront informés, par l'intermédiaire d'un message d'information lors de leur accès au traitement, et qu'une information générale est prévue dans les locaux des juridictions, elle estime toutefois que les personnes concernées par ce traitement pourraient, comme cela est le cas pour les traitements dénommés GIDEP, être informés du traitement de leurs données, cette information ne remettant pas en cause les finalités assignées au traitement projeté.
L'article 6 du projet d'arrêté prévoit que les droits d'accès et de rectification s'exerceront de manière directe auprès du procureur de la République ou du procureur général territorialement compétent. L'article 7 prévoit que le droit d'opposition ne s'applique pas au traitement projeté. Ces modalités d'exercice des droits des personnes n'appellent pas d'observation particulière de la part de la commission.
Sur la sécurité des données et la traçabilité des actions :
Le traitement TDEX consiste en une base de données accessible par une interface web via le réseau virtuel de la justice (RPVJ) et le réseau ADER, ou par une messagerie sécurisée. Les équipements sont hébergés directement au sein de l'infrastructure gérée par le ministère.
Les échanges entre les postes client et le serveur sont sécurisés au moyen du protocole SSL.
La messagerie sécurisée sur laquelle s'appuie le traitement prévoit, d'une part, un enregistrement des logs de connexion des expéditeurs et destinataires des messages déposés sur la plate-forme sécurisée et, d'autre part, un chiffrement pour le transport sécurisé de documents dont la sensibilité correspond au niveau « 2 confidentiel » sur l'échelle de la Politique ministérielle de défense et de sécurité (PMDS), étant précisé qu'un chiffrement complémentaire par un outil tiers agréé par le ministère avant envoi permet de transmettre des fichiers dont la confidentialité correspond au niveau « 3 secret ».
Trois modalités d'authentification des utilisateurs sont prévues :

- depuis un compte externe par login/mot de passe pour les représentants des associations d'aide aux victimes, les personnels habilités à accomplir des enquêtes sociales et de personnalité et les avocats ;
- par SSO ou une carte agent du ministère de la justice pour les magistrats et les agents du greffe (login/mot de passe du SSO ou carte agent/mot de passe de la carte) ;
- par SSO ou une carte agent du ministère de l'intérieur pour les agents des services de la police nationale et les militaires des unités de la gendarmerie nationale (login/mot de passe du SSO ou carte agent/mot de passe de la carte).

S'agissant de l'authentification par mot de passe, la commission rappelle qu'elle doit être conforme à l'état de l'art, tel que précisé dans ses recommandations en la matière, et invite dès lors le ministère à procéder aux éventuelles modifications nécessaires de sa politique de mots de passe.
Une sauvegarde de la base de données est prévue.
Enfin, l'article 8 prévoit que des mesures de traçabilité sont mises en œuvre et que les traces générées par les actions de création, de modification, de suppression et de consultation sont conservées deux ans à compter du défèrement de l'extraction.
A cet égard, la commission estime que les autorisations d'accès au traitement délivrées par les magistrats aux avocats et aux associations d'aide aux victimes devront également faire l'objet d'une traçabilité.
Sous réserve des précédentes observations, les mesures de sécurité décrites par le responsable de traitement sont conformes à l'exigence de sécurité prévue par l'article 34 de la loi du 6 janvier 1978 modifiée. La commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.