| Date de l'avis : 29 juin 2023 | N° de la délibération : 2023-067 | |:------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | N° de demande d'avis : 23000732 |Texte concerné : projet de décret modifiant les dispositions du code de procédure pénale relatives au traitement de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue »| | Thématiques : garde à vue, mesure privative de liberté, registre des systèmes de vidéosurveillance des cellules de garde à vue | Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée | |L'essentiel :
1. Au regard de l'hétérogénéité des mesures privatives de liberté concernées par le traitement, la CNIL estime que les termes « autres mesures privatives de libertés » devraient être complétés pour faire référence à l'ensemble des mesures concernées.
2. Elle rappelle que le traitement qui lui est soumis pour avis est un outil de gestion, qui doit permettre de faciliter la conduite des mesures privatives de liberté, leur suivi sur le territoire national et le contrôle de leur régularité. Il ne constitue ni un fichier d'antécédents judiciaires ni un fichier qui pourrait être utilisé dans le cadre d'enquêtes de police judiciaire.
3. Le projet de décret prévoit une durée de conservation longue en base intermédiaire, justifiée par une hypothèse de contentieux. La CNIL considère que cette durée est en l'état insuffisamment justifiée.| |

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment les 1° et 2° du I et du II de son article 31 ;
Après avoir entendu le rapport de Mme Sophie LAMBREMON, commissaire, et les observations de M. Benjamin TOUZANNE, commissaire du Gouvernement.
Adopte la délibération suivante :

I. - La saisine
A. Le contexte de la saisine

L'évolution du régime de la garde à vue a conduit à la création d'un registre dématérialisé qui permet l'enregistrement d'informations relatives aux mesures de garde à vue.
Le traitement de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » (ci-après « iGAV ») a été créé par le décret n° 2016-1447 du 26 décembre 2016. Les dispositions du décret sont codifiées aux articles R. 15-33-77 à R. 15-33-82 du code de procédure pénale (CPP). Ces dispositions encadrent la tenue de registres dématérialisés pour le déroulement des mesures de garde à vue.
Le recours au traitement iGAV permet une meilleure gestion de ces registres (réduction des risques d'erreurs liées à la transcription manuscrite et harmonisation des pratiques au sein des locaux de police et de gendarmerie). A terme, l'objectif est de permettre une dématérialisation complète du registre, en ayant notamment recours à la signature numérique.

B. L'objet de la saisine

La Commission nationale de l'informatique et des libertés (ci-après « CNIL ») a été saisie par le ministère de l'intérieur d'un projet de décret modifiant les dispositions du code de procédure pénale relatives au traitement iGAV.
Le projet de décret prévoit :

- l'extension du traitement à l'ensemble des mesures privatives de liberté réalisées dans les locaux de police et de gendarmerie. Le traitement est ainsi renommé « Informatisation de la gestion des gardes à vue et autres mesures privatives de liberté » (ci-après « iGAV-MPL ») ;
- l'intégration de certaines données issues du registre des systèmes de vidéosurveillance des cellules de garde à vue et retenue douanière ;
- la collecte de données relatives à la dangerosité ou la vulnérabilité de la personne faisant l'objet d'une mesure de privation de liberté.

II. - L'avis de la CNIL
A. Sur le périmètre du traitement

Le traitement iGAV est étendu pour rendre accessibles toutes les données relatives aux mesures de privation de liberté via cet outil de suivi. Selon le ministère, cette évolution s'inscrit dans une perspective de simplification de la gestion des registres et de leur contrôle.
Le projet de décret ne liste pas les mesures privatives de liberté concernées. L'analyse d'impact relative à la protection des données (AIPD) énumère treize mesures couvertes par le traitement modifié, auxquelles s'ajoute la mesure de garde à vue. Ces mesures, de nature aussi bien pénale qu'administrative, sont notamment :

- la rétention des personnes pour vérification de leur identité ;
- la rétention des personnes faisant l'objet d'un contrôle ou d'une vérification d'identité pour des activités en lien avec le terrorisme ;
- la retenue des mineurs de dix à treize ans suspectés d'avoir commis ou tenté de commettre un crime ou un délit puni d'une peine d'au moins cinq ans d'emprisonnement ;
- la vérification du droit de circuler ou de séjourner en France ;
- les mandat d'amener, mandat d'arrêt et mandat d'arrêt européen ;
- la retenue pour ivresse publique.

La CNIL ne remet pas en cause les avantages que peut apporter cette extension. Elle souligne néanmoins que le traitement concerne des mesures privatives de liberté qui ne s'inscrivent pas toutes dans le cadre d'une enquête pénale et qui ont des objets très différents.
La CNIL considère nécessaire que le périmètre du traitement soit davantage précisé. Ainsi, les termes « autres mesures privatives de libertés » devraient être complétés pour faire référence à l'ensemble des mesures concernées.

B. Sur les finalités du traitement

Le projet de décret prévoit que le traitement iGAV permet de :

- faciliter la conduite et la gestion du déroulement des mesures privatives de liberté ;
- permettre le suivi des mesures privatives de liberté et le contrôle de leur régularité pendant leur mise en œuvre.

L'AIPD indique que le traitement doit faciliter la recherche d'informations au sein des registres et permettre aux états-majors des services de police et gendarmerie, et aux magistrats d'avoir une meilleure visibilité sur le nombre de mesures en cours.
Le ministère a précisé que les recherches pouvant être effectuées dans iGAV sont limitées et cloisonnées afin d'éviter tout détournement de finalités. D'autres garanties sont également mises en œuvre :

- iGAV ne donne aucune information sur les suites données à la mesure de contrainte ;
- les journaux de consultation permettront aux chefs de service de s'assurer qu'aucun manquement n'a été commis par leurs subordonnés ;
- un contrôle est opéré par les supérieurs hiérarchiques des agents utilisateurs du traitement ;
- la formation des agents et la doctrine d'emploi rappelleront que le traitement ne peut être utilisé à d'autres fins que celles prévues par le décret.

La CNIL estime que les finalités sont légitimes et déterminées. Elle retient de ces finalités que le fichier ne constituera pas un fichier d'antécédents judiciaires ni un fichier utilisé dans le cadre de la conduite d'enquête de police judiciaire.

C. Sur les catégories de données collectées
a. L'enregistrement de données relatives à la « dangerosité ou vulnérabilité résultant du comportement de la personne »

Le projet de décret autorise l'enregistrement de données relatives à la « dangerosité ou vulnérabilité résultant du comportement de la personne ».
Le ministère a indiqué que les informations collectées dans cette catégorie de données ne peuvent résulter que d'éléments objectifs concernant le mis en cause et constatés par les fonctionnaires de police ou par le médecin (par exemple : violences auto-infligées ou tentative de suicide ; placement de la personne en garde à vue pour des faits d'agression ; lorsque le médecin, après examen, demande une attention particulière ; découverte d'une ordonnance lors de la fouille prescrivant des antidépresseurs ou un traitement pour bipolarité). Cette collecte se fait notamment dans l'intérêt des personnes retenues, que les forces de l'ordre ont l'obligation de protéger durant l'exécution de la mesure.
Le ministère s'est engagé à encadrer la collecte de ces données par :

- la formation dispensée aux personnels de la police nationale habilités à utiliser le traitement iGAV, laquelle viendra rappeler que seuls des éléments objectifs peuvent être mentionnés dans le champ libre ;
- une doctrine d'emploi, diffusée au niveau des services, reprenant les exemples précités et comportant des éléments de langage et doctrinaux ;
- un contrôle hiérarchique mis en œuvre pour encadrer la saisie des données contenues dans le traitement et assurer l'enregistrement d'éléments objectifs et adéquats sur la vulnérabilité et la dangerosité d'une personne ;
- un mécanisme d'alerte en cas de saisie de données dans le champ « observation ».

La CNIL estime que la collecte de ces données, qui vise à éviter des incidents susceptibles de porter atteinte à l'intégrité physique de la personne ou celle d'autrui, est légitime. Toutefois, la CNIL relève que les termes utilisés pour définir cette catégorie de données autorisent une interprétation extensive. Le projet de décret devrait être rédigé avec des termes plus précis permettant de mieux délimiter ce que recoupe cette catégorie.
La CNIL rappelle par ailleurs que :

- la mention de ces informations revêt un caractère sensible et appelle à une vigilance renforcée, en particulier, lorsque ces informations résultent du constat d'officiers de police judiciaire, dépourvus des compétences d'un professionnel de santé ;
- si le ministère considère nécessaire, dans certains cas, de procéder à des diagnostics médicaux et que les forces de l'ordre puissent en prendre connaissance, la CNIL rappelle que ces informations seront couvertes par le secret médical. Les personnels non médicaux chargés d'assurer la mesure privative de liberté ne pourront y accéder que si la personne concernée a directement transmis ces informations, ou sur le fondement d'une dérogation au secret qui doit être prévue ou résulter nécessairement d'une loi.

b. L'intégration du registre des systèmes de vidéosurveillance des cellules de garde à vue et retenue douanière

L'article L. 256-4 du code de sécurité intérieure (« CSI ») impose la mise en œuvre d'un registre des systèmes de vidéosurveillance déployé dans les lieux de privation de liberté.
Le projet de décret prévoit d'intégrer dans iGAV le registre des systèmes de vidéosurveillance des cellules de garde à vue et de retenue douanière, en autorisant l'enregistrement :

- concernant la personne faisant l'objet d'une mesure de privative de liberté : des « date et heure de début et de fin du placement sous vidéosurveillance » ;
- concernant les personnels de police et de gendarmerie : des « nom, prénom, identifiants, unité d'appartenance des personnels visionnant, y compris en temps réel, les images de vidéosurveillance […] ».

La CNIL prend acte de ce que les images et vidéos n'ont pas vocation à intégrer le traitement iGAV et qu'à ce jour seules les informations relatives aux mesures de garde à vue seront concernées. Le ministère indique par ailleurs que l'intégration du registre dans le traitement iGAV permettra de collecter sous format dématérialisé les données prévues par le CSI.

D. Sur les durées de conservation des données
a. S'agissant de la durée de conservation des mesures en base active

Le traitement est étendu à différents types de mesures de nature soit pénale soit administrative.
Les mesures pénales et administratives sont conservées un an en base active.
Les données relatives à la mesure de rétention pour vérification d'identité et de vérification du droit de séjour sont automatiquement effacées à l'issue du contrôle si aucune procédure d'enquête ou d'exécution n'est adressée à l'autorité judiciaire. A l'exception de ces deux mesures, le ministère n'a pas souhaité distinguer le régime de conservation des données pour les autres mesures de nature administrative. Ainsi, les données relatives à l'ensemble des mesures privatives de liberté sont conservées en base active pour une durée d'un an.
La CNIL estime que ces différentes durées sont justifiées.

b. La durée de conservation des données en base intermédiaire

L'article 5 du projet de décret prévoit une durée de conservation des données de neuf ans en base intermédiaire, limitée à des profils restreints.
Le ministère justifie la durée de conservation en base intermédiaire au regard de la durée d'utilité administrative des registres à des fins probatoires ou de gestion des archives. En effet, le ministère a indiqué que la durée de conservation du traitement iGAV repose sur celle des registres papiers prévue par des circulaires. Celles-ci prévoient une durée de conservation fixée à dix ans, qui repose sur une hypothèse de contestation ultérieure d'une mesure de contrainte ou des objets retirés puis restitués lors de la fouille. Il s'agit de conserver une trace du passage de la personne dans un local de police en cas d'ouverture d'un contentieux.
La CNIL estime que la nécessité de devoir établir les faits relatifs à l'exécution d'une mesure privative de liberté en cas de procédure juridictionnelle justifie cette conservation. Elle accueille favorablement la mise en œuvre d'une conservation en base intermédiaire et le fait que celle-ci soit prévue et encadrée par le décret réglementant le traitement. Elle considère en revanche que la durée fixée à neuf ans n'est pas justifiée en l'état des éléments transmis. Celle-ci devrait par exemple prendre en compte le délai de prescription permettant de contester le déroulement d'une mesure.

E. Sur le droit à l'information

Il est prévu que, conformément à l'article 104 de la loi du 6 janvier 1978 modifiée, l'information soit mise à la disposition des personnes concernées. L'information générale des personnes est assurée par la publication du décret, le site web du ministère, ainsi que par voie d'affichage dans les locaux de privation de liberté.
Le traitement est susceptible d'avoir des conséquences pour les personnes du fait de la conservation et de la centralisation de leurs données. Compte tenu de ces éléments, la CNIL estime qu'une information individuelle devrait être assurée au moment de l'inscription dans iGAV.
Par ailleurs, l'article 3 du projet de décret prévoit l'enregistrement de l'identité de l'avocat intervenant à la procédure pour assister la personne faisant l'objet d'une mesure privative de liberté. Cet enregistrement de données concerne également le médecin et l'interprète, les personnes prévenues, la personne autorisée à communiquer avec la personne privée de liberté, les personnes contactées ou le cas échéant, les personnes accompagnantes (proche, curateur, tuteur, mandataire spécial, employeur).
En conséquence, la CNIL estime que les personnes concernées, à l'exception des professionnels et auxiliaires de justice, devraient être informées individuellement du traitement de leurs données.

F. Sur les droits d'accès, de rectification, d'effacement

Le projet de décret ne précise pas « le service auprès duquel s'exerce le droit d'accès‍ », contrairement à ce que prévoit l'article 35 de la loi « informatique et libertés ».
La CNIL estime dès lors nécessaire que le projet de décret soit modifié afin de permettre aux personnes concernées d'identifier le service auquel elles doivent s'adresser pour exercer leurs droits. Le décret pourrait désigner un service comme unique interlocuteur. A défaut, il devrait désigner chacun des services auprès desquels s'exerce le droit d'accès de manière claire, en indiquant en particulier les critères permettant de déterminer la répartition des compétences de chaque service.

G. Sur les mises en relation avec d'autres traitements

Il ressort de l'AIPD que le traitement est actuellement interconnecté au logiciel de rédaction des procédures de la police nationale (LRPPN) et a vocation à faire l'objet d'une interconnexion avec le logiciel de rédaction des procédures de la gendarmerie nationale (LRPGN).
Cela n'appelle pas d'observations de la part de la CNIL.
Le ministère a indiqué que le traitement iGAV ne fait actuellement l'objet d'aucune forme de mise en relation avec le traitement LRPGN. Il n'y a pas non plus d'interconnexion avec d'autres traitements de la DGGN.
La CNIL considère que l'AIPD devrait être modifiée pour prendre en compte l'unique interconnexion effective avec le LRPPN.

H. Sur les mesures de sécurité

La CNIL prend acte de ce que le traitement iGAV-MPL n'est accessible qu'aux utilisateurs de l'application, identifiés et habilités. L'application est accessible uniquement par authentification forte pour les utilisateurs métier de la police nationale, de la gendarmerie nationale et du ministère de la justice.
La CNIL prend acte de ce que des processus de suppression automatisés seront mis en œuvre pour assurer le respect de des durées de conservation définies.
S'agissant de la traçabilité, l'article 6 du projet de décret prévoit que « les opérations de collecte, de modification, de consultation, de communication, d'interconnexion et d'effacement des données à caractère personnel et informations font l'objet d'un enregistrement. Les journaux des opérations de consultation et de communication permettent d'établir le motif, la date et l'heure et d'identifier les personnes qui consultent ou communiquent les données et les destinataires de celles-ci ». Il est précisé que « ces informations sont conservées pendant un délai de trois ans‍ ».
La CNIL considère ce délai de trois ans comme justifié en vue de permettre aux inspections générales de la police nationale, de la gendarmerie nationale, du ministère de la justice et aux autorités hiérarchiques des accédants au traitement iGAV-MPL d'accéder auxdites traces.
En revanche, s'agissant de l'analyses des traces, la CNIL considère que la mise en œuvre complémentaire d'un mécanisme automatique de contrôle de ces données serait de nature à améliorer la sécurité du traitement par la génération d'alertes en temps réel.