La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Sophie LAMBREMON, commissaire, et après avoir entendu les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
Le traitement d'antécédents judiciaires (ci-après « TAJ ») peut être consulté, par certains services, dans le cadre de missions de renseignement.
En premier lieu, la loi n° 2015-912 du 24 juillet 2015 relative au renseignement a consacré la possibilité, pour ces services, de consulter les traitements d'antécédents judiciaires pour la protection des intérêts fondamentaux de la Nation mentionnés aux 1°, 4° et 5° de l'article L. 811-3 du code de la sécurité intérieure (CSI).
Ces finalités correspondent à la protection de « l'indépendance nationale, l'intégrité du territoire et la défense nationale », à la « prévention du terrorisme », ainsi qu'à la prévention « des atteintes à la forme républicaine des institutions », « des actions tendant au maintien ou à la reconstitution de groupements dissous », et « des violences collectives de nature à porter gravement atteinte à la paix publique ».
L'article R. 234-3 du CSI énumère les services de renseignement des premier et second cercles qui disposent d'un accès en consultation aux données du TAJ (à l'exclusion de celles relatives aux victimes) au titre de chacun de ces intérêts.
Les services du premier cercle correspondent aux six services spécialisés de renseignement pouvant mettre en œuvre des techniques de renseignement pour la défense et la promotion des intérêts fondamentaux de la Nation. Les services du second cercle correspondent aux « services, autres que les services spécialisés de renseignement », qui peuvent être autorisés à mettre en œuvre certaines techniques de renseignement pour des finalités s'inscrivant dans le cadre de leurs missions (v. les articles L. 811-2 et s. du CSI).
La CNIL s'est plusieurs fois prononcée sur l'accès de ces services au TAJ (v. CNIL, SP, 7 mai 2015, avis sur projet de décret, TAJ, n° 2015-136, publié ; CNIL, SP, 10 décembre 2015, avis sur projet de décret, TAJ, n° 2015-429, publié ; CNIL, SP, 15 juin 2017, avis sur projet de décret, TAJ, n° 2017-180, publié).
En second lieu, la loi n° 2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur (LOPMI) a étendu la liste des finalités pour lesquelles les traitements d'antécédents judiciaires peuvent être consultés.
Les nouvelles finalités correspondent à la protection des intérêts énumérés aux 2°, 3° et 6° de l'article L. 811-1 du CSI (« les intérêts majeurs de la politique étrangère, l'exécution des engagements européens et internationaux de la France et la prévention de toute forme d'ingérence étrangère », « les intérêts économiques, industriels et scientifiques majeurs de la France », et « la prévention de la criminalité et de la délinquance organisées »).
B. - L'objet de la saisine
Le ministère de l'intérieur a saisi la CNIL d'un projet de décret modifiant la liste des services autorisés à accéder aux traitements automatisés de données à caractère personnel prévus à l'article 230-6 du code de procédure pénale mentionnés à l'article R. 234-3 du code de la sécurité intérieure.
Ce projet énumère les services concernés par la nouvelle possibilité de consultation au titre de la protection des intérêts fondamentaux de la Nation visés aux 2°, 3° et 6° de l'article L. 811-3 du CSI.
En outre, il étend la liste des services pouvant consulter les traitements d'antécédents judiciaires pour la protection des intérêts mentionnés aux 1°, 4° et 5° du même article.
II. - L'avis de la CNIL
S'il ne lui appartient pas de se prononcer sur les finalités fixées par le législateur, la CNIL considère que chaque nouvel accès doit être justifié au regard des missions des services concernés. Elle estime, par ailleurs, que l'élargissement du périmètre des services pouvant accéder au TAJ doit être assorti de garanties appropriées.
A. - Sur l'extension de la liste des services pouvant consulter les traitements pour la protection des intérêts fondamentaux de la Nation
Les services concernés par la nouvelle possibilité de consultation (au titre de la protection des intérêts visés aux 2°, 3° et 6° de l'article L. 811-3 du CSI) comprennent des services de renseignement du premier cercle (pour toutes les nouvelles finalités) et du second cercle (pour les seuls besoins de la prévention de la criminalité et de la délinquance organisées).
Par ailleurs, les nouveaux services accédant aux traitements pour les finalités mentionnées aux 1°, 4° et 5° de l'article L. 811-3 du CSI correspondent aux services du second cercle qui peuvent mettre en œuvre des techniques de renseignement au titre de ces mêmes finalités (v. l'article R. 811-2 du CSI).
La CNIL prend acte de ce que ces nouvelles consultations :
- s'inscriront dans le cadre des missions confiées aux différents services énumérés par le projet de décret ; et
- permettront, dans ces conditions, de disposer d'informations complémentaires aux éléments directement recueillis par ces services (mise en œuvre de techniques de renseignement, consultation d'autres fichiers, etc.).
Au regard des éléments communiqués par le ministère, le projet de décret n'appelle pas d'autre observation.
B. - Sur les garanties entourant cette consultation
L'extension projetée entrainera une multiplication des cadres de consultation du TAJ, une augmentation du nombre d'accès au traitement, ainsi qu'un accroissement du volume des personnes concernées par le traitement de leurs données. Ainsi, des garanties particulières devront être mises en place pour limiter l'atteinte à la vie privée de ces personnes.
En premier lieu, les opérations de consultation feront l'objet d'une journalisation, conformément à l'article R. 40-30 du CPP.
La CNIL souligne que la mise en œuvre d'un mécanisme automatique de contrôle des données de traçabilité permettrait d'améliorer la sécurité du traitement par la génération d'alertes en temps réel.
D'autres mesures devront être prises pour garantir que, dans chaque administration concernée :
- seuls les agents des services limitativement énumérés par l'article R. 234-4 du CSI peuvent consulter le TAJ ;
- les accès sont accordés en fonction du besoin d'en connaître des agents concernés, au regard de leurs missions ;
- chaque consultation s'effectue dans le respect des finalités au titre desquelles ces agents peuvent accéder au TAJ.
En deuxième lieu, les accès au traitement se limitent à une consultation simple. Selon les précisions apportées, cette consultation n'entrainera aucune interconnexion avec d'autres traitements.
En troisième lieu, la consultation de données inexactes serait de nature à nuire au bon exercice des missions des services disposant d'un accès.
Les données ainsi consultées devront être traitées avec la plus grande prudence. Les agents des services de renseignement concernés devront être sensibilisés sur ce point.
En dernier lieu, l'analyse d'impact relative à la protection des données du TAJ devra être mise à jour pour prendre en compte l'extension de la liste des services de renseignement disposant d'un accès.
