Retour à la section

Délibération n°2024-027 du 28 mars 2024

JORF n°0287 du 5 décembre 2024

| N° de demande d'avis : 23015557. |Thématiques : fichier judiciaire national automatisé des auteurs d'infractions sexuelles ou violentes (FIJAIS), ministères de l'agriculture et de la culture, personnes mineures.| |:----------------------------------------------------------------|:--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de la justice.| Fondement de la saisine : Article 31-II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés. |

L'essentiel :
La CNIL considère que la consultation des données par les deux nouveaux accédants envisagés, à savoir les ministères de l'agriculture et de la culture, apparaît justifiée et proportionnée.
Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019 et n'appellent pas d'observations de la CNIL.

La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 87 et suivants ;
Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

Le FIJAIS a été créé par la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. Il est tenu sous le contrôle du magistrat dirigeant le service du casier judiciaire national et est sous la responsabilité du ministère de la justice.
Il a pour finalités la prévention du renouvellement de certaines infractions à caractère sexuel et violent ainsi que l'identification de leurs auteurs. Il doit aussi permettre de faciliter le suivi des auteurs de ces infractions par les autorités judiciaires et les services de police et de gendarmerie. Il permet enfin d'exercer un contrôle de l'accès à certaines professions entraînant un contact avec des personnes mineures.
Ce traitement participant à la prévention des infractions pénales ainsi qu'aux enquêtes en la matière, il relève ainsi de la directive n° 2016/680 du 27 avril 2016 dite directive « Police-Justice » et des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

B. - L'objet de la saisine

Le projet de décret vise à :

- ajouter deux nouveaux accédants au FIJAIS, relevant des ministères de l'agriculture et de la culture ;
- mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec des évolutions législatives intervenues depuis 2019. Celles-ci ont en effet entraîné des modifications des articles 706-53-10, 706-53-2 et 706-53-4 du CPP.

II. - L'avis de la CNIL
A. - Sur l'ajout de deux nouveaux accédants

Le projet de décret complète l'article R. 53-8-24 du CPP afin d'ajouter deux nouveaux accédants au FIJAIS :

- le service des ressources humaines au secrétariat général du ministère chargé de l'agriculture ;
- le service des ressources humaines du ministère chargé de la culture.

La CNIL rappelle qu'elle a estimé que les modalités selon lesquelles il est prévu d'ouvrir le FIJAIS aux administrations doivent faire l'objet d'un encadrement rigoureux (CNIL, SP, 8 novembre 2007, projet de décret modifiant la partie réglementaire du code de procédure pénale et relatif au FIJAIS et au casier judiciaire national automatisé, n° 2007-326, publiée). En effet, la diversité des professions et activités concernées ainsi que la gravité des conséquences qui peuvent résulter de sa consultation à des fins administratives nécessitent une vigilance particulière.
Les modifications envisagées visent à permettre aux ministères concernés de s'assurer que les candidats ou agents à des fonctions impliquant un contact habituel avec des personnes mineures ne font pas l'objet d'une inscription au FIJAIS.
Au regard de ce qui précède, la CNIL considère que la consultation des données par les deux nouveaux accédants mentionnés apparaît justifiée et proportionnée.

B. - Sur les modalités de consultation du FIJAIS

L'article 706-53-7 du CPP indique que les informations contenues dans le FIJAIS sont directement accessibles, par l'intermédiaire d'un système de télécommunication sécurisé, pour les accédants prévus. L'article 706-53-11 du même code prévoit qu'aucun rapprochement ni aucune connexion au sens de l'article 33 de la loi du 6 janvier 1978 modifiée ne peuvent être effectués entre le FIJAIS et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.
Les administrations prévues en tant qu'accédants peuvent interroger les informations contenues dans le FIJAIS par un système de télécommunication sécurisé mis en place par ces ministères (recherche par identité complète uniquement). La CNIL prend acte de ce que les ministères de l'agriculture et de la culture n'ont pas vocation à faire des demandes par liste d'identités compte tenu de la volumétrie des consultations annoncée. Elle constate que ces modalités d'interrogation sont conformes aux articles 706-53-7 et 706-53-11 du CPP.
En tout état de cause, elle rappelle que l'interrogation du FIJAIS par ces nouveaux accédants ne devra pas conduire, conformément à l'article 706-53-11 du CPP, à la mise en œuvre d'un rapprochement.

C. - Sur les autres modifications réalisées

Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019. Le projet de décret vise à modifier :

- les conditions d'inscription au FIJAIS prévues à l'article R. 53-8-12 du CPP, le placement sous contrôle judiciaire n'étant plus une condition d'inscription des personnes en examen au FIJAIS ;
- les catégories de décisions judiciaires enregistrées dans le FIJAIS conformément à l'article R. 53-8-4 du CPP, les décisions de non-lieu, de cessation ou de mainlevée de ce contrôle n'étant plus enregistrées dans le traitement ;
- les conditions d'effacement des données prévues à l'article R. 53-8-36 du CPP dans la mesure où la cessation et la mainlevée du contrôle judiciaire ne sont plus des conditions d'effacement des données ;
- la compétence pour connaître des recours contre les décisions de refus du procureur de la République d'effacement ou de rectification des données, désormais attribuée au président de la chambre de l'instruction de la cour d'appel et non plus au juge des libertés et de la détention.

Ces modifications n'appellent pas d'observations de la part de la CNIL.
Les autres dispositions du projet de décret n'appellent pas non plus d'observations de la part de la CNIL.

D. - Sur les mesures de sécurité

L'extension du traitement aux deux ministères prévus par le décret n'appelle pas de mesures de sécurité supplémentaires, mais appelle à accroître la vigilance à porter sur la gestion des accès déployés, en raison de la dispersion et la diversité prévisible des utilisateurs accédant au traitement. Elle rappelle que des procédures d'habilitation doivent être définies par les deux nouveaux ministères accédants avant l'accès au FIJAIS. Compte tenu de la sensibilité particulière des données enregistrées dans ce fichier, des mesures doivent être prises afin d'assurer plus largement la sécurité des accès au FIJAIS et la confidentialité stricte des données consultées. Ces mesures doivent faire l'objet de procédures écrites.
La CNIL relève que l'accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d'en connaître. Pour une partie des utilisateurs, cet accès est conditionné à un mécanisme d'authentification reposant sur l'utilisation d'une carte agent combinée avec un code individuel. Toutefois, la CNIL regrette l'existence de situations dérogatoires d'accès par identifiant et mot de passe.
La CNIL relève également que la politique d'habilitation spécifique existante sur ce traitement sera applicable aux nouveaux accédants. Toutefois, les accédants du ministère de l'agriculture utiliseront une authentification par un certificat cryptographique et les modalités d'authentification des accédants du ministère de la culture sont en cours de définition. Compte tenu de la sensibilité des données collectées, la CNIL recommande fortement de ne permettre l'accès aux données qu'après une authentification forte multi-facteur, comprenant au moins deux facteurs d'authentification différents, pour tous les accédants.
Par ailleurs, la CNIL prend acte du plan d'action de l'analyse d'impact relative à la protection des données (AIPD) visant à réduire la vraisemblance des risques identifiés. Elle regrette toutefois que ce plan d'action ne précise pas de calendrier prévisionnel pour le déploiement des mesures complémentaires. La CNIL encourage donc le ministère à poursuivre les travaux de sécurisation du traitement.
Elle rappelle enfin que les exigences de sécurité prévues à l'article 99 de la loi « informatique et libertés » nécessitent la mise à jour régulière de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

1 version

Historique des versions

Version 1

N° de demande d'avis : 23015557.

Thématiques : fichier judiciaire national automatisé des auteurs d'infractions sexuelles ou violentes (FIJAIS), ministères de l'agriculture et de la culture, personnes mineures.

Organisme(s) à l'origine de la saisine : ministère de la justice.

Fondement de la saisine : Article 31-II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

L'essentiel :

La CNIL considère que la consultation des données par les deux nouveaux accédants envisagés, à savoir les ministères de l'agriculture et de la culture, apparaît justifiée et proportionnée.

Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019 et n'appellent pas d'observations de la CNIL.

La Commission nationale de l'informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 87 et suivants ;

Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

Le FIJAIS a été créé par la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. Il est tenu sous le contrôle du magistrat dirigeant le service du casier judiciaire national et est sous la responsabilité du ministère de la justice.

Il a pour finalités la prévention du renouvellement de certaines infractions à caractère sexuel et violent ainsi que l'identification de leurs auteurs. Il doit aussi permettre de faciliter le suivi des auteurs de ces infractions par les autorités judiciaires et les services de police et de gendarmerie. Il permet enfin d'exercer un contrôle de l'accès à certaines professions entraînant un contact avec des personnes mineures.

Ce traitement participant à la prévention des infractions pénales ainsi qu'aux enquêtes en la matière, il relève ainsi de la directive n° 2016/680 du 27 avril 2016 dite directive « Police-Justice » et des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

B. - L'objet de la saisine

Le projet de décret vise à :

- ajouter deux nouveaux accédants au FIJAIS, relevant des ministères de l'agriculture et de la culture ;

- mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec des évolutions législatives intervenues depuis 2019. Celles-ci ont en effet entraîné des modifications des articles 706-53-10, 706-53-2 et 706-53-4 du CPP.

II. - L'avis de la CNIL

A. - Sur l'ajout de deux nouveaux accédants

Le projet de décret complète l'article R. 53-8-24 du CPP afin d'ajouter deux nouveaux accédants au FIJAIS :

- le service des ressources humaines au secrétariat général du ministère chargé de l'agriculture ;

- le service des ressources humaines du ministère chargé de la culture.

La CNIL rappelle qu'elle a estimé que les modalités selon lesquelles il est prévu d'ouvrir le FIJAIS aux administrations doivent faire l'objet d'un encadrement rigoureux (CNIL, SP, 8 novembre 2007, projet de décret modifiant la partie réglementaire du code de procédure pénale et relatif au FIJAIS et au casier judiciaire national automatisé, n° 2007-326, publiée). En effet, la diversité des professions et activités concernées ainsi que la gravité des conséquences qui peuvent résulter de sa consultation à des fins administratives nécessitent une vigilance particulière.

Les modifications envisagées visent à permettre aux ministères concernés de s'assurer que les candidats ou agents à des fonctions impliquant un contact habituel avec des personnes mineures ne font pas l'objet d'une inscription au FIJAIS.

Au regard de ce qui précède, la CNIL considère que la consultation des données par les deux nouveaux accédants mentionnés apparaît justifiée et proportionnée.

B. - Sur les modalités de consultation du FIJAIS

L'article 706-53-7 du CPP indique que les informations contenues dans le FIJAIS sont directement accessibles, par l'intermédiaire d'un système de télécommunication sécurisé, pour les accédants prévus. L'article 706-53-11 du même code prévoit qu'aucun rapprochement ni aucune connexion au sens de l'article 33 de la loi du 6 janvier 1978 modifiée ne peuvent être effectués entre le FIJAIS et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l'Etat ne dépendant pas du ministère de la justice.

Les administrations prévues en tant qu'accédants peuvent interroger les informations contenues dans le FIJAIS par un système de télécommunication sécurisé mis en place par ces ministères (recherche par identité complète uniquement). La CNIL prend acte de ce que les ministères de l'agriculture et de la culture n'ont pas vocation à faire des demandes par liste d'identités compte tenu de la volumétrie des consultations annoncée. Elle constate que ces modalités d'interrogation sont conformes aux articles 706-53-7 et 706-53-11 du CPP.

En tout état de cause, elle rappelle que l'interrogation du FIJAIS par ces nouveaux accédants ne devra pas conduire, conformément à l'article 706-53-11 du CPP, à la mise en œuvre d'un rapprochement.

C. - Sur les autres modifications réalisées

Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019. Le projet de décret vise à modifier :

- les conditions d'inscription au FIJAIS prévues à l'article R. 53-8-12 du CPP, le placement sous contrôle judiciaire n'étant plus une condition d'inscription des personnes en examen au FIJAIS ;

- les catégories de décisions judiciaires enregistrées dans le FIJAIS conformément à l'article R. 53-8-4 du CPP, les décisions de non-lieu, de cessation ou de mainlevée de ce contrôle n'étant plus enregistrées dans le traitement ;

- les conditions d'effacement des données prévues à l'article R. 53-8-36 du CPP dans la mesure où la cessation et la mainlevée du contrôle judiciaire ne sont plus des conditions d'effacement des données ;

- la compétence pour connaître des recours contre les décisions de refus du procureur de la République d'effacement ou de rectification des données, désormais attribuée au président de la chambre de l'instruction de la cour d'appel et non plus au juge des libertés et de la détention.

Ces modifications n'appellent pas d'observations de la part de la CNIL.

Les autres dispositions du projet de décret n'appellent pas non plus d'observations de la part de la CNIL.

D. - Sur les mesures de sécurité

L'extension du traitement aux deux ministères prévus par le décret n'appelle pas de mesures de sécurité supplémentaires, mais appelle à accroître la vigilance à porter sur la gestion des accès déployés, en raison de la dispersion et la diversité prévisible des utilisateurs accédant au traitement. Elle rappelle que des procédures d'habilitation doivent être définies par les deux nouveaux ministères accédants avant l'accès au FIJAIS. Compte tenu de la sensibilité particulière des données enregistrées dans ce fichier, des mesures doivent être prises afin d'assurer plus largement la sécurité des accès au FIJAIS et la confidentialité stricte des données consultées. Ces mesures doivent faire l'objet de procédures écrites.

La CNIL relève que l'accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d'en connaître. Pour une partie des utilisateurs, cet accès est conditionné à un mécanisme d'authentification reposant sur l'utilisation d'une carte agent combinée avec un code individuel. Toutefois, la CNIL regrette l'existence de situations dérogatoires d'accès par identifiant et mot de passe.

La CNIL relève également que la politique d'habilitation spécifique existante sur ce traitement sera applicable aux nouveaux accédants. Toutefois, les accédants du ministère de l'agriculture utiliseront une authentification par un certificat cryptographique et les modalités d'authentification des accédants du ministère de la culture sont en cours de définition. Compte tenu de la sensibilité des données collectées, la CNIL recommande fortement de ne permettre l'accès aux données qu'après une authentification forte multi-facteur, comprenant au moins deux facteurs d'authentification différents, pour tous les accédants.

Par ailleurs, la CNIL prend acte du plan d'action de l'analyse d'impact relative à la protection des données (AIPD) visant à réduire la vraisemblance des risques identifiés. Elle regrette toutefois que ce plan d'action ne précise pas de calendrier prévisionnel pour le déploiement des mesures complémentaires. La CNIL encourage donc le ministère à poursuivre les travaux de sécurisation du traitement.

Elle rappelle enfin que les exigences de sécurité prévues à l'article 99 de la loi « informatique et libertés » nécessitent la mise à jour régulière de l'AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.