| Date de l'avis : 15 juin 2023 | N° de la délibération : 2023-055 | |:---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23003555 |Texte concerné : projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé " Système informatisé de suivi de politiques pénales prioritaires " (SISPoPP)| | Thématiques : politiques pénales prioritaires, parquet, coordination | Fondement de la saisine : articles 89 et suivants de la loi du 6 janvier 1978 modifiée | |L'essentiel :
La CNIL estime légitime la création du traitement SISPoPP visant à doter les juridictions d'un outil de suivi de politiques pénales prioritaires.
Le projet de décret permet de créer un outil utile au fonctionnement des parquet et la CNIL estime nécessaire de procéder à cet encadrement réglementaire des échanges d'information pour la conduite des politiques pénales prioritaires. L'instruction a conduit à apporter plusieurs modifications au projet de décret qui permettent de clarifier le périmètre du traitement ainsi que les durées de conservations des données. Si le projet de décret mentionne désormais expressément l'utilisation de SISPoPP pour le partage d'informations dans le cadre des instances de concertation auxquelles participent les procureurs de la République, la CNIL appelle toutefois l'attention du Gouvernement sur la nécessité d'un cadre juridique plus général afin d'encadrer ces échanges d'informations qui n'ont pas seulement lieu en lien avec le suivi d'une politique pénale prioritaire.
S'agissant des modalités concrètes de mise en œuvre du traitement, la solution manuelle actuellement retenue pour la mise à jour des données issues des mises en relation avec d'autres traitements devrait être transitoire : un procédé automatisé de mise à jour des données devrait être mis en place. En outre, il serait nécessaire de prévoir une authentification de même niveau que celle par carte agent pour les utilisateurs amenés à renseigner les données mais ne pouvant à l'heure actuelle bénéficier d'une telle carte.| |

La Commission nationale de l'informatique et des libertés,
Saisie par le ministre de la justice d'une demande d'avis et d'une saisine rectificative concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé " Système informatisé de suivi de politiques pénales prioritaires " (SISPoPP) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 89 et suivants ;
Après avoir entendu le rapport de Mme Christine MAUGÜÉ, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement.
Adopte la deliberation suivante :

I. - La saisine
A. - Contexte de la saisine

Le ministre de la justice conduit la politique pénale déterminée par le Gouvernement et veille à la cohérence de son application sur le territoire de la République. Ainsi, il adresse régulièrement des instructions de politique pénale aux parquets fixant les infractions à l'encontre desquelles une attention particulière doit être portée, et fixe les modalités de mise en œuvre de ces politiques pénales prioritaires qui sont ensuite déclinées localement.
Dans un contexte de renforcement des dispositifs de protection des victimes et de suivi des auteurs de violences conjugales, les juridictions ont besoin de bénéficier d'un outil de pilotage des politiques pénales prioritaires pour centraliser les informations et les pièces de procédures pertinentes au suivi des situations et à la prise de décision, par personne et non exclusivement par procédure. Le ministère précise que, aux termes des rapports des missions d'inspection sur les homicides conjugaux survenus à Mérignac le 4 mai 2021 et à Hayange le 20 mai 2021, a été souligné le besoin d'un renforcement de ces dispositifs.
Par ailleurs, le procureur de la République participe à différentes instances locales de concertation en lien avec la déclinaison de la politique pénale. Ces instances concernent des domaines variés tels que la prévention de la radicalisation (la Cellule de suivi pour la prévention de la radicalisation et d'accompagnement des familles " CPRAF "), la lutte contre les trafics (la Cellule de lutte contre les trafics " CLCT "), la coordination opérationnelle des forces de sécurité intérieure (la Cellule " CCOFSI ") ou encore les Etats-majors de sécurité (" EMS "). L'échange d'informations au cours de ces instances permet aux procureurs de la République de disposer d'une vision globale et transversale de leur ressort mais également de certaines situations, notamment individuelles.
L'enregistrement des informations collectées lors de ces échanges ne fait aujourd'hui l'objet d'aucun encadrement et peut se faire au moyen d'outils locaux non sécurisés. Le traitement projeté vise ainsi à encadrer et sécuriser ces échanges d'informations entre les différents acteurs participant à ces instances partenariales, en prévoyant qu'ils peuvent être destinataires de certaines informations contenues dans SISPoPP. La CNIL appelle à cet égard le Gouvernement à engager une réflexion sur l'encadrement plus général de ces échanges d'informations qui n'ont pas lieu qu'en lien avec le suivi d'une politique pénale prioritaire.

B. - Objet de la saisine

Le traitement SISPoPP sera sous la responsabilité du ministère de la justice (direction des affaires criminelles et des grâces - DACG) et mis en œuvre dans le ressort de chaque tribunal judiciaire et dans le ressort de chaque cour d'appel. Il entend répondre à un besoin exprimé par les juridictions de bénéficier d'un outil leur permettant de disposer d'une vision d'ensemble des affaires et des personnes faisant l'objet d'une politique pénale prioritaire. SISPoPP permettra ainsi aux utilisateurs de disposer d'informations complètes (par exemple, de disposer des procédures civiles rattachées à une personne dans le cadre d'une procédure pénale ou encore de l'ensemble des antécédents judiciaires d'une personne), en leur évitant de consulter systématiquement les différents traitements et documents concernant la personne pour reconstituer sa situation.
Ce traitement vise à :

- faciliter le suivi et le pilotage des situations par personne et par nature de politique pénale prioritaire ;
- recenser des informations relatives aux situations faisant l'objet d'un suivi à ce titre ;
- fluidifier les échanges entre les magistrats et les partenaires habituels du procureur de la République.

Toutes les politiques pénales prioritaires n'ont pas vocation à faire l'objet d'un enregistrement dans le traitement. Le choix de décliner une telle politique dans SISPoPP sera effectué par la DACG.
Le ministère précise que la première politique déployée dans SISPoPP sera celle relative à la lutte contre les violences intrafamiliales. D'autres politiques pénales prioritaires seront ensuite progressivement concernées. Avant la fin de l'année 2023, le ministère souhaite élargir l'utilisation de cet outil aux infractions commises à l'encontre des forces de sécurité intérieure et des élus, à la lutte contre le trafic de stupéfiants ou encore à la prévention de la radicalisation. Dans la perspective des jeux Olympiques de 2024, les infractions commises dans les enceintes sportives ou à leurs abords ainsi que les infractions commises à l'occasion des festivités seront intégrées.
Dans la mesure où le traitement doit permettre de faciliter le suivi des politiques pénales prioritaires au sein des parquets, le traitement relève du champ d'application de la directive (UE) 2016/680 du 27 avril 2016 et doit être examiné au regard des dispositions des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

II. - L'avis de la CNIL
A. - Sur les finalités du traitement

SISPoPP permet de disposer d'une vision des situations et des affaires faisant l'objet d'une politique pénale prioritaire sur l'ensemble de la chaîne pénale, du stade de l'enquête à l'exécution de la peine. La finalité relative au " pilotage des procédures pénales " désigne notamment l'utilisation de SISPoPP dans le cadre des différentes instances de concertation auxquelles participent les parquets (par exemple, le Groupe d'évaluation départemental, la Cellule de suivi pour la prévention de la radicalisation et d'accompagnement des familles ou encore le Comité de pilotage violences intrafamiliales).
La CNIL prend acte de ce que l'article 1er du projet de décret est complété afin d'indiquer que le traitement permet la coordination, l'échange et le partage d'informations strictement nécessaires, dans le respect des dispositions du code de procédure pénale et le cas échéant des textes autorisant ces échanges d'informations, y compris dans le cadre d'instances locales de concertations.

B. - Sur le périmètre du traitement

L'article 2 du projet de décret tel que modifié dans le cadre de la saisine rectificative distingue les catégories de personnes qui pourront faire l'objet d'une inscription dans SISPoPP, à savoir :

- les personnes mises en cause, mises en examen, placées sous le statut de témoin assisté, poursuivies et condamnées au titre d'une infraction faisant l'objet d'une politique pénale prioritaire ;
- les personnes désignées dans un signalement porté à l'attention de l'autorité judiciaire ;
- les victimes d'une infraction faisant l'objet d'une politique pénale prioritaire ;
- les agents intervenants dans le cadre de la situation suivie : les personnels du ministère de l'intérieur, du ministère de la justice ou des administrations susceptibles d'exercer des fonctions de police judiciaire ;
- les personnes pouvant apparaître dans les pièces de procédure et autre document inséré dans le traitement qui sont issus d'une procédure civile ou pénale (par exemple, des décisions rendues en matière pénale et notamment concernant les placements sous contrôle judiciaire, en détention provisoire ou de condamnation ou encore des décisions rendues en application des articles 1075 et suivants, 1136-3, 1181 et suivants du code de procédure civile).

S'agissant de la catégorie des " personnes inscrites dans le traitement " présente dans la version initiale du projet de décret, le ministère a précisé que les critères de déclenchement du suivi d'une personne à l'aide du traitement SISPoPP seront déterminés localement et tiendront compte des capacités de suivi effectif de chaque juridiction.
Les " personnes concernées " par une politique pénale prioritaire pourront être enregistrées dans SISPoPP, non seulement lorsqu'une procédure judiciaire sera ouverte, mais également lorsqu'elles font l'objet d'un signalement porté à l'attention de l'autorité judiciaire. A cet égard, le ministère indique que les signalements adressés à l'autorité judiciaire pour dénoncer des infractions potentielles proviennent généralement des administrations (par exemple, de centres hospitaliers, de conseils départementaux, etc.) mais peuvent aussi résulter d'initiatives personnelles (par exemple, travailleurs sociaux, proches, etc.). Il peut aussi s'agir de la présence de signaux faibles de dangerosité insuffisants pour caractériser une infraction pénale justifiant l'ouverture d'une procédure. La notion de signaux faibles renvoie, selon le ministère, aux éléments issus de signalements écrits (mains courantes, procès-verbaux de renseignements judiciaires) ou d'informations partagées entre les participants aux instances de concertation, qui peuvent porter sur des situations individuelles.
Le ministère indique qu'une " accroche judiciaire ", c'est-à-dire une mesure judiciaire, quelle qu'elle soit, de nature pénale ou civile qui justifierait un suivi, devra être identifiée pour permettre une inscription de la personne dans SISPoPP. En l'absence d'un tel lien, le suivi de la situation ne sera pas effectué par la juridiction concernée. Par exemple, dans le cadre des instances dédiées à la prévention de la radicalisation, l'examen d'une situation individuelle nécessite, pour le parquet, de déterminer si cette situation est connue de la justice et, le cas échéant, si une mesure de suivi est en cours. A cette fin, en vue de la préparation de ces instances, le procureur de la République sera destinataire d'une liste avec les identités des personnes concernées, pour lesquelles il va devoir vérifier leur situation. Cette recherche de " l'accroche judiciaire " se fera par une inscription de la personne concernée dans SISPoPP au titre de la politique pénale de prévention de radicalisation, mais si les recherches ne font apparaître aucune accroche judiciaire, cette absence sera actée et le suivi de la situation sera confiée à un autre partenaire.
L'ancienne version du projet de décret distinguait les personnes pouvant faire l'objet d'une inscription dans SISPoPP dont celle relative aux " personnes inscrites dans le traitement " qui était définie de manière très large. Le projet de décret tel que modifié dans le cadre de la saisine rectificative vient préciser cette catégorie relative aux " personnes inscrites dans le traitement ". Les personnes qui pourront faire l'objet d'une inscription dans le traitement seront ainsi :

- les personnes mises en cause, mises en examen, placées sous le statut de témoin assisté, poursuivies et condamnées au titre d'une infraction faisant l'objet d'une politique pénale prioritaire ;
- les personnes désignées dans un signalement porté à l'attention de l'autorité judiciaire.

La CNIL considère que, ainsi modifié, le projet de décret précise suffisamment les personnes concernées par le traitement. Elle invite le Gouvernement à des modifications rédactionnelles, d'une part, pour remplacer le " et " par un " ou " dans l'expression " mises en cause, mises en examen, placées sous le statut de témoin assisté, poursuivies et condamnées " ; d'autre part, pour désigner le second cas de figure par l'expression " personnes faisant l'objet d'un signalement porté à l'attention de l'autorité judiciaire ".
Elle invite par ailleurs le ministère à compléter la doctrine d'emploi et l'analyse d'impact relative à la protection des données afin d'apporter des précisions sur les signalements visés.
La CNIL estime aussi indispensable que de mesures de contrôle interne, effectué notamment par les chefs de juridiction, soient mises en place pour vérifier l'existence d'une telle " accroche judiciaire ".

C. - Sur les données collectées

L'article 3 du projet de décret détaille les catégories de données à caractère personnel enregistrées dans SISPoPP.
La nature et l'étendue des données collectées dans le cadre du traitement varieront selon la politique pénale prioritaire visée. Le projet de décret distingue ainsi :

- un socle minimal de données collectées, qui concerne l'ensemble des politiques pénales prioritaires ;
- un socle maximal, qui n'a vocation à concerner que certaines politiques pénales prioritaires. A ce stade, ce socle maximal ne concernera que la lutte contre les violences intrafamiliales et la prévention de la radicalisation. Le ministère le justifie par le fait qu'elles portent sur des infractions sensibles et nécessitent des informations plus précises, en particulier sur la situation personnelle des personnes concernées (situation familiale, professionnelle ou patrimoniale).

La DACG déterminera les données pouvant être recueillies pour chaque politique pénale prioritaire.
La CNIL accueille favorablement la mise en place de cette approche, qui s'inscrit dans le respect du principe de minimisation des données.
Le traitement peut enregistrer des données dites " sensibles " au sens du I de l'article 6 de la loi du 6 janvier 1978 modifiée dans la stricte mesure où cet enregistrement est nécessaire à la finalité qui lui est assignée.
La CNIL recommande de pré-renseigner les champs libres avec une information relative à la manière de les inscrire dans le fichier afin d'éviter notamment la collecte de données sensibles qui ne seraient pas pertinentes au regard des finalités du traitement. Un contrôle strict devra être assuré ; la CNIL prend acte de ce qu'un message relatif à la collecte de données sensibles figurera dans l'applicatif et que la doctrine d'emploi invitera les chefs de juridiction à réaliser un contrôle du traitement deux fois par an.
En outre, selon l'article 4 du projet de décret, des pièces, actes et documents sont susceptibles de figurer dans le traitement, lorsqu'ils sont nécessaires au suivi de la situation ou de la personne. Les pièces jointes permettront de disposer des décisions relatives à la personne concernée, en particulier civiles (ordonnance de protection, décision d'assistance éducative, etc.) mais nécessaires à la compréhension d'une situation. Le contenu de ces pièces ne sera pas inclus dans les fonctionnalités de recherche de SISPoPP.
La CNIL prend acte de ce que le projet de décret est modifié à sa demande afin d'indiquer expressément que les données à caractère personnel susceptibles d'apparaître dans ces pièces de procédure et autres documents, qui pourront être des données sensibles, seront traitées.
Les autres catégories de données à caractère personnel collectées n'appellent pas d'observations.

D. - Sur les mises en relation projetées

Plusieurs mises en relation de SISPoPP avec d'autres traitements sont détaillées dans l'analyse d'impact relative à la protection des données (AIPD). La CNIL considère que ces mises en relation sont légitimes.
En l'état des textes en vigueur, il apparaît néanmoins que des accédants à SISPoPP ne sont pas accédants ou destinataires de certains de ces traitements (c'est notamment le cas pour " CASSIOPEE " (Chaîne applicative supportant le système d'information oriente procédure pénale et enfants), le dispositif " Téléphone grave danger ", le traitement relatif au bracelet anti-rapprochement ou encore le traitement de gestion nationale des personnes détenues en établissement pénitentiaire (GENESIS)). Par ailleurs, certaines des dispositions relatives à ces traitements ne permettent pas la transmission d'informations à SISPoPP (les dispositions encadrant ces traitements ne le permettant pas en l'état actuel au regard des finalités déterminées ou encore de dispositions prévoyant des restrictions expresses quant aux mises en relation pouvant être réalisées).
La CNIL rappelle que les textes encadrant ces différents traitements devront être modifiés afin de permettre leur mise en relation avec SISPoPP (notamment, par exemple, pour mettre en cohérence les textes quant aux finalités poursuivies ou encore quant aux accédants qui auront vocation à alimenter SISPoPP). Les mises en relation, qui permettront l'alimentation de SISPoPP, ne pourront commencer qu'après la mise en cohérence des différents textes lorsqu'elle est nécessaire.
En outre, si des documents issus de certains des traitements mis en relation avec SISPoPP pourront être enregistrés, il est essentiel que les fichiers concernés ne soient pas intégralement dupliqués dans SISPoPP par une intégration en pièces jointes (par exemple, que le dossier de procédure figurant dans le " dossier pénal numérique " ne soit pas joint dans son entier au traitement SISPoPP). La CNIL prend acte de ce que le ministère précisera ce point dans la doctrine d'emploi, particulièrement s'agissant du " dossier pénal numérique ".
Par ailleurs, les données collectées au moyen de ces mises en relation étant intégrées manuellement à SISPoPP, il est prévu qu'elles fassent l'objet de mises à jour manuelles par les utilisateurs lors de la consultation des fiches.
Le responsable de traitement doit prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition. La CNIL estime que la solution manuelle retenue devrait être transitoire et qu'un procédé automatisé de mise à jour des données enregistrées dans SISPoPP qui proviennent d'autres fichiers devrait être mis en place. Dans l'attente de l'automatisation du procédé de mise à jour, il pourrait s'avérer utile que soient apposées les dates de dernière mise à jour des champs, unitairement ou par catégorie. Ceci permettant a minima de connaître l'antériorité de l'information concernée (les suites de la procédure d'une personne mise en cause par exemple). A cet égard, le ministère indique que la mention de la date de mise à jour sera précisée sur certains champs (l'adresse) et qu'un mécanisme d'alertes calendaires est prévu au sein du dispositif (notamment s'agissant de la date de fin d'une mesure ou de la date d'une audience).

E. - Sur la durée de conservation des données

Le projet de décret tel que modifié prévoit que les données à caractère personnel et les informations enregistrées dans le traitement sont conservées :

- pendant un délai maximal de trois mois pour les personnes faisant l'objet d'un signalement à l'autorité judiciaire et à l'encontre desquelles aucune procédure judiciaire n'est ouverte ;
- pendant un délai de trois ans à compter de la dernière actualisation réalisée sur la fiche de suivi pour les personnes mises en cause, mises en examen, placées sous le statut de témoin assisté, poursuivies et condamnées au titre d'une infraction faisant l'objet d'une politique pénale prioritaire ou les victimes d'une infraction faisant l'objet d'une politique pénale prioritaire ;
- les données relatives aux agents intervenants dans le cadre de la situation suivie ou aux personnes pouvant apparaître dans les pièces de procédure et autres documents insérés dans le traitement sont conservées selon les règles applicables à la fiche de suivi au titre de laquelle elles sont enregistrées.

La notion de " dernière actualisation réalisée sur la fiche de suivi " renvoie à la modification (ou à l'ajout) de données, et à leur enregistrement dans la fiche visée, par tout utilisateur disposant de droits en écriture du traitement. La simple consultation d'une fiche ne pourra pas faire repartir le délai de conservation des données. Le ministère précise que cette durée de conservation permet d'assurer un suivi des personnes concernées par une politique pénale prioritaire. Elle permet notamment de consulter la fiche en cas de commission de nouveaux faits ou de nouveaux signalements après extinction d'une mesure de suivi et ainsi d'analyser l'évolution de la situation.
Les durées de conservation ainsi précisées apparaissent satisfaisantes. Le projet de décret prévoit que lorsqu'une politique pénale prioritaire ne fera plus l'objet d'un suivi dans SISPoPP, les données collectées seront supprimées manuellement à la demande de la DACG. La CNIL considère qu'il conviendrait de clarifier la rédaction pour prévoir que c'est lorsqu'une politique pénale ne sera plus prioritaire que les données seront supprimées dans la mesure où celle-ci fera tout de même l'objet d'un suivi. Elle estime par ailleurs que les modalités pratiques de suppression des données n'ont pas à être précisées dans le texte.
En outre, les fiches pourront être supprimées manuellement, avant l'expiration du délai de conservation, lorsque le suivi de la personne sera considéré comme n'étant plus pertinent. Cette possibilité de suppression anticipée sera déterminée à l'échelon local.
S'agissant des personnes faisant l'objet d'un signalement à l'autorité judiciaire et à l'encontre desquelles aucune procédure judiciaire n'est ouverte, la CNIL accueille favorablement la modification apportée au projet de décret afin de préciser que, pour ces personnes, les données seront conservées pour un délai maximal de trois mois.
Enfin, elle recommande la mise en œuvre de garanties particulières pour les personnes mineures, notamment afin d'adapter les durées de conservation des données les concernant (voir en ce sens CNIL, P, 1er octobre 2020, avis, délibération n° 2020-101 portant avis sur un projet de décret portant création d'un traitement de données à caractère personnel dénommé " Recensement des affaires terroristes " (RECAT) et CNIL, P, 20 octobre 2022, avis, délibération n° 2022-105 portant avis sur un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé " Système Informatisé de Recoupement, d'Orientation et de Coordination des procédures de Criminalité Organisée " (SIROCCO)).

F. - Sur les accédants et les destinataires

L'article 6 du projet de décret liste les personnes qui accèdent au traitement et celles qui sont destinataires.
La CNIL comprend du projet de décret que les personnes mentionnées comme " accédants " ne seront pas seulement chargées d'accéder aux données mais pourront enregistrer des données dans le traitement, contrairement à ce qu'indique le projet de décret. La CNIL invite dès lors le ministère, pour éviter toute ambiguïté, à indiquer dans le projet de décret que ces accédants pourront de façon plus générale accéder " au traitement ", c'est-à-dire avoir accès aux données mais également enregistrer certaines données.
La CNIL rappelle qu'un accédant à un traitement est la personne qui réalise sur le traitement des opérations (consultation, enregistrement, modification, etc.) contribuant à sa finalité, pour le compte du responsable ou du coresponsable du traitement. Un destinataire est la personne qui accède par le responsable du traitement aux données (en consultation uniquement) pour une autre finalité que celle initiale, et qui peut les traiter ensuite pour son compte. Elle estime ainsi que ces notions doivent être distinguées des modalités physiques selon lesquelles les personnes accèdent aux données.
Les associations de réinsertion et de contrôle judiciaire assurant le suivi des mis en cause, prévenus ou auteurs d'infractions ciblées par une politique pénale prioritaire, sont prévues dans les catégories d'accédants. Or, elles disposeront uniquement de droit en lecture et ne relèvent pas du garde des sceaux, responsable de traitement. En effet, s'il est prévu que les personnels des associations d'aide aux victimes disposent de la possibilité de modifier certains champs dans SISPoPP afin de les actualiser, une telle évolution pourrait être envisagée seulement dans un second temps pour les associations de réinsertion et de contrôle judiciaire.
Dans ces conditions, la CNIL estime que ces associations devraient être mentionnées en tant que destinataires dans le projet de décret et non en tant qu'accédants.
La CNIL relève que les magistrats du siège et du parquet sont à la fois accédants et destinataires du traitement : ils l'utilisent en tant qu'accédant pour le traitement des signalements et procédures correspondants aux politiques pénales prioritaires mais peuvent également consulter le fichier, en tant que de besoin et au cas par cas, pour le traitement d'autres procédures : dès lors qu'ils agissent en dehors des finalités du traitement, ils sont alors considérés comme destinataires des données et vont traiter les données pour une finalité autre que la finalité initiale de SISPoPP. La CNIL suggère que le 1° et le 3° du III du décret qui prévoit cette qualité de destinataires des magistrats précise davantage qu'elle est circonscrite au traitement de données pour d'autres finalités que celles poursuivies par SISPoPP. Elle prend acte de ce qu'une correction formelle sera apportée au projet de décret afin de faire référence aux magistrats (du siège et du parquet) uniquement dans le 3° du III et non dans le 1°.
Par ailleurs, la CNIL prend acte de ce qu'il est apparu nécessaire de prévoir la DACG en qualité de destinataire de données non pseudonymisées dans la mesure où de nombreuses informations lui sont remontées dans le cadre de ses attributions sur des affaires individuelles, distinctes des finalités du traitement.

G. - Sur les droits des personnes concernées

Les articles 7 et 8 du projet de décret précisent les modalités d'exercice des droits des personnes concernées.
Une information générale des personnes concernées contenant l'ensemble des mentions visées à l'article 104 de la loi du 6 janvier 1978 modifiée est prévue et sera publiée sur le site https://www.justice.fr/.
Pour les utilisateurs du traitement SISPoPP, une infobulle à la première connexion délivrera les informations relatives au traitement de leurs données et précisera les modalités d'exercice de leurs droits.
Conformément aux dispositions de l'article 111 de la loi du 6 janvier 1978 modifiée, les droits d'accès, de rectification et d'effacement sont régis par les dispositions du code de procédure pénale pour les personnes dont les données figurent soit dans une décision judiciaire, soit dans un dossier judiciaire faisant l'objet d'un traitement lors d'une procédure pénale.
La CNIL estime que, à des fins de clarté et dans la mesure du possible, les mentions d'information qui seront diffusées pourraient expliciter les cas dans lesquels l'article 111 de la loi du 6 janvier 1978 modifiée serait applicable, à des fins de transparence pour les personnes concernées.

H. - Sur les mesures de sécurité

L'article 9 du projet de décret prévoit que les consultations, créations, modifications ou suppressions de données font l'objet d'un enregistrement comprenant l'identifiant et la fonction de leur auteur ainsi que la date, l'heure et l'objet de l'opération.
Ces informations de traçabilité sont conservées pendant un délai d'un an, ce qui est cohérent avec la nature du traitement projeté.
Le ministère confirme la volonté de mise en œuvre d'une authentification par carte agent dans une version future. La CNIL estime qu'il serait nécessaire de prévoir une authentification de même niveau pour les utilisateurs amenés à renseigner les données mais ne pouvant bénéficier d'une carte agent et ce, même s'ils ne pourront accéder au traitement que via un poste dédié au sein des juridictions (les associations de victimes par exemple).
La CNIL invite par ailleurs le ministère à compléter le plan d'action détaillé dans l'analyse d'impact relative à la protection des données (AIPD) en précisant les échéances de mise en œuvre des mesures de sécurité projetées. En particulier, elle rappelle l'importance de la mise en œuvre des mesures suivantes :

- utilisation de jeux de données anonymisées pour les tests ;
- un mécanisme d'anonymisation des extractions de données ;
- une alerte calendaire permettant d'alerter l'utilisateur d'une revue de situation d'une personne inscrite dans SISPoPP (par exemple, lorsqu'une mesure d'incarcération en cours est sur le point de prendre fin).

Sur ce point, le ministère indique que les première et troisième mesures sont déjà réalisées. S'agissant du mécanisme d'anonymisation des extractions de données, il sera réalisé au premier trimestre 2024.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.