Retour à la section

Avis n°2024-055 du 11 juillet 2024

JORF n°0019 du 23 janvier 2025

| N° de demande d'avis : 24007585. |Thématiques : Coopération internationale - Lutte contre la criminalité
internationale.| |:----------------------------------------------------------------|:---------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de la justice.| Fondement de la saisine : titre III de la loi « Informatique et libertés ». |

L'essentiel :

  1. Le projet de décret dont est saisie la CNIL prévoit la mise en œuvre d'un logiciel d'entraide pénale internationale (LEPI), destiné à optimiser la gestion des dossiers traités par le bureau d'entraide pénale internationale (BEPI). Le volume de ce traitement et les données traitées, notamment des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978, appellent une particulière vigilance dans les mesures de sécurité mises en œuvre ;
  2. Le LEPI contient un module dédié (l'infocentre) pour la réalisation de statistiques qui poursuivront une finalité propre : analyser l'évolution de l'entraide pénale internationale et l'activité des juridictions en la matière. Cette finalité pourrait utilement être explicitée afin d'en encadrer les usages ;
  3. Enfin, le traitement prévoit la possibilité d'une zone de commentaires libres. La CNIL estime que la collecte de données dans ces champs est légitime.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre III et son article 31 ;
Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

La direction des affaires criminelles et des grâces (DACG) du ministère de la justice assure le traitement opérationnel et le suivi des demandes d'entraide pénale internationale. Ces demandes, gérées par le bureau de l'entraide pénale internationale (BEPI), concernent les demandes d'entraide aux fins d'enquête (i.e. les demandes d'entraide pénale internationale), les demandes de remise (i.e. les demandes d'extradition), les mandats d'arrêts européens et les demandes de transfèrement.
Le ministère indique que depuis ces dernières années, l'entraide pénale internationale a pris une place prépondérante dans l'activité judiciaire en France. Ainsi, en 2023, 364 nouvelles procédures en matière extraditionnelle ont été ouvertes, 3 650 demandes d'entraide aux fins d'enquête ont été enregistrées et 1 500 mandats d'arrêt européens ont été traités.
Le BEPI traite dans ses missions une grande variété de données, lesquelles peuvent être sensibles, telles que des données relatives aux opinions politiques. La modernisation de son système d'informations est envisagée en deux étapes : dans un premier temps, la mise en œuvre d'un logiciel métier de l'entraide pénale internationale (LEPI) ; et dans un second temps, conformément aux engagements européens, le ministère de la justice devra envisager la mise en place d'un portail destiné à ses interlocuteurs afin de permettre la dématérialisation de la demande d'entraide.

B. - L'objet de la saisine

La CNIL a été saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Traitement de l'entraide pénale internationale ».
Ce traitement est un applicatif métier visant à permettre une gestion et un suivi optimisés des activités du BEPI. Le traitement comprend, par ailleurs, un module dédié à la réalisation de statistiques : l'infocentre. Ce dernier pourra contenir des données à caractère personnel pseudonymisées.

II. - L'avis de la CNIL
A. - Sur le régime juridique

La CNIL relève que le fondement juridique s'appliquant au traitement est la directive dite « Police-Justice ».
Dans la mesure où le traitement doit permettre la gestion, le suivi et le recensement des demandes d'entraide pénale internationale aux fins d'enquêtes, de remise de personnes et de transfèrement de détenus, il est mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanction pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces conformément au titre III de la loi « informatique et libertés ». Plus précisément, il se fonde sur les articles 87 et suivants de cette loi, et relève de l'article 31 au titre des traitements mis en œuvre pour le compte de l'Etat.

B. - Sur les finalités poursuivies par le traitement

L'article 1er prévoit que ce traitement a pour finalité :

- la gestion, la mise en œuvre et le suivi des demandes d'entraide pénale internationale qui transitent par le bureau de l'entraide pénale internationale de la direction des affaires criminelles et des grâces, en tant qu'autorité centrale pour la France, dans le domaine de la coopération judiciaire internationale en matière pénale ;
- l'exploitation des données du traitement à des fins de pilotage de l'activité de la DACG.

La CNIL relève que le traitement « Entraide pénale internationale » contiendra un module dédié, dit « Infocentre », pour la réalisation de statistiques dont l'exploitation ira au-delà du seul pilotage de l'activité puisqu'elles permettront d'analyser l'évolution de l'entraide internationale et l'activité des juridictions en la matière. La CNIL admet en effet que des statistiques puissent être calculées à partir de données d'un traitement public alors même que l'acte réglementaire qui le régit ne prévoit pas explicitement cette finalité ; elle s'interroge cependant sur la possibilité de définir la seconde finalité dans une rédaction plus large pour mieux marquer que l'exploitation des données, notamment sous forme d'indicateurs statistiques, ne servira pas seulement au pilotage du service. En tout état de cause, la CNIL rappelle que cette finalité devra figurer dans le registre des traitements et, le cas échéant, être prise en compte dans l'AIPD.
Concernant les données versées dans ce traitement depuis l'application LEPI, qui comprennent la quasi-totalité des données structurées à l'exception de toute donnée d'identité et des contenus des champs libres, celles-ci ne peuvent être qualifiées que de pseudonymes. En effet, la présence de champs tels que la date de convocation, le lieu de la convocation, la date d'émission du titre, la date d'interpellation, la nationalité de la personne, l'autorité requérante, etc. rendent aisée la réidentification de la personne même en l'absence de son identité régalienne. En conséquence, la CNIL rappelle que le responsable de traitement devra définir, notamment, une durée de conservation pour ces données. En outre, elle invite le ministère à indiquer à l'article 1er du décret la nature pseudonyme des données versées.
Concernant les données statistiques produites par le LEPI-infocentre, la Commission rappelle que, pour les considérer comme effectivement anonymes, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d'anonymisation respectent les trois critères définis par l'avis du groupe de l'article 29 n° 05/2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

C. - Sur les données collectées

L'article 2 prévoit que des données, notamment d'identification, sont collectées. Elles concernent, d'une part, les personnes mises en cause, mises en examen, prévenues, accusées, ou placées sous le statut de témoin assisté et, d'autre part, les victimes, parties civiles, représentants légaux ou ayants-droit. Toute donnée à caractère personnel susceptible d'apparaitre dans des pièces de procédure (notamment des identités de rédacteurs ou d'intervenants à la procédure, des précisions de fait relatives à ces personnes dans des procès-verbaux, rapports, etc.), listées à l'article 3, font, en outre, partie des données collectées. Les données permettant d'identifier les utilisateurs du traitement, ainsi que les interlocuteurs du BEPI font également partie des données traitées.
La CNIL relève que le traitement est susceptible de contenir des photographies et que l'exclusion d'un dispositif de reconnaissance faciale est prévue explicitement par le projet. Des données à caractère personnel relevant de l'article 6 de la loi « informatique et libertés » peuvent être contenues dans le traitement.
Outre l'ensemble de ces données, peuvent également être enregistrés dans le traitement des commentaires libres. Le ministère indique que ces champs sont indispensables afin de permettre aux agents chargés des dossiers de renseigner s'il y a lieu des informations complémentaires tenant à la conduite à tenir dans un dossier déterminé, c'est-à-dire des diligences accomplies ou des consignes transmises et reçues par un agent. La CNIL estime que la collecte de données dans ces champs libres est légitime. Elle rappelle néanmoins que ces zones de commentaires libres présentent un risque de contenir des informations inappropriées ou non pertinentes. Ces champs devront comporter exclusivement des informations dénuées de toute appréciation d'ordre personnel et limitées à ce qui est strictement nécessaire à l'instruction du dossier.
En outre, le ministère précise qu'à titre tout à fait exceptionnel, de tels champs peuvent nécessiter le traitement de données sensibles. Le ministère a indiqué qu'il pouvait s'agir par exemple d'informations susceptibles de révéler des opinions politiques d'une personne ou son orientation sexuelle. Comme indiqué dans l'AIPD, un message permanent figurera dans le pied-de-page de l'applicatif, précisant que les données sensibles enregistrées dans le champ libre ne doivent être enregistrées qu'en cas de nécessité absolue et que les accès et actions des utilisateurs de LEPI sont tracés et conservés pendant une durée d'un an. La CNIL estime que, compte tenu des finalités et des garanties apportées, la collecte de données sensibles dans les champs libres peut être admise en l'espèce.

D. - Sur la durée de conservation des données

Le I de l'article 4 du projet de décret prévoit une durée de conservation des informations et données à caractère personnel enregistrées dans le traitement de douze mois à compter de la clôture du dossier. Cette durée a été appréciée par le BEPI en fonction des délais moyens de traitement des dossiers.
Le II de l'article 4 prévoit qu'à l'issu du délai de douze mois, les données sont archivées selon cinq modalités :

- deux ans pour les demandes de commissions rogatoires internationales, les actes judiciaires et les demandes de transits ;
- trois ans pour les demandes de mandats d'arrêt international ;
- cinq ans pour les demandes d'arrestation provisoire, les demandes de prêt de détenus et les demandes de dénonciations officielles ;
- dix ans pour les demandes de transfèrements ;
- vingt ans pour les demandes d'extradition.

Le ministère justifie de façon pertinente que ces durées se fondent sur l'annexe 1 de la circulaire de tri relative aux impacts de la réforme de la prescription en matière pénale sur les archives des juridictions de l'ordre judiciaire.

E. - Sur les accédants et les destinataires des données

L'article 5 du projet de décret prévoit que seuls peuvent accéder au traitement, à raison de leurs attributions et dans la limite du besoin d'en connaître :

- les magistrats, fonctionnaires et agents de la DACG individuellement désignés et dûment habilités par le chef du bureau de l'entraide pénale internationale de cette direction ;
- les agents du service de la statistique, des études et de la recherche du ministère de la Justice individuellement désignés et dûment habilités par le secrétaire général de ce ministère.

Le ministère a indiqué que la trentaine d'agents qui composent le BEPI sont régulièrement formés aux enjeux de la protection des données. En outre, des mentions relatives à la protection des données seront apparentes sur les interfaces du logiciel.
Cet article prévoit que, outre les agents du ministère de la Justice dûment habilités, peuvent notamment être destinataires des données du traitement, à raison de leurs attributions et dans la limite du besoin d'en connaître les autorités centrales étrangères.
La CNIL relève que les destinataires des données du traitement peuvent être en dehors de l'Union européenne. Les conditions prévues à l'article 112 de la loi « informatique et libertés » sont respectées. Cependant, pour répondre aux exigences du 4° de cet article, l'AIPD rappelle que des décisions d'adéquation ainsi que la convention 108 ont été adoptées. Si le transfert intervient dans un pays non concerné par une décision d'adéquation ou non signataire de la convention 108, des conventions bilatérales prévoient le cadre légal dans lequel intervient ce transfert afin de protéger les données. Enfin, en l'absence d'instrument juridique contraignant, il est prévu qu'une clause de confidentialité puisse être insérée soit dans la demande d'entraide, soit dans le courrier de transmission.
Au regard de ce qui précède, la CNIL estime que les garanties apportées aux données transférées sont satisfaisantes. Les catégories d'accédants et destinataires du traitement n'appellent pas d'autre observation.

F. - Sur les droits des personnes concernées

L'article 6 du projet de décret prévoit que :

- pour les personnes dont les données figurent dans un dossier judiciaire faisant l'objet d'un traitement lors d'une demande d'entraide pénale internationale, l'accès à ces données et leurs conditions de rectification ou d'effacement sont régis par les dispositions du code de procédure pénale, conformément à l'article 111 de la loi Informatique et libertés ;
- pour tous les autres cas, par exemple les pièces traitées mais qui ne figurent pas dans un dossier de procédure, les droits d'accès, de rectification, d'effacement et le droit à la limitation du traitement s'exercent de manière directe auprès de la direction des affaires criminelles et des grâces du ministère de la justice. Toutefois, dans l'hypothèse où ces droits interfèreraient dans des enquêtes ou des recherches d'infractions pénales, conformément aux 1° et 2° du I de l'article 107 de la loi « informatique et libertés », les droits susmentionnés peuvent faire l'objet de restrictions. L'exercice des droits s'effectue alors de manière indirecte auprès de la CNIL.

Ces modalités d'exercice des droits n'appellent pas d'observation.
Par ailleurs, les utilisateurs du LEPI seront informés lors de leur première connexion de l'ensemble des informations relatives à leurs données personnelles collectées. L'information des personnes concernées par le traitement du fait de leur présence dans des pièces de procédure pénale est sans objet conformément à l'article 111 de la loi « informatique et libertés » qui prévoit que seul le code de procédure pénale peut régir l'accès aux données et les conditions de leur effacement ou de leur rectification.

G. - Sur les mesures de sécurité

La CNIL considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité, notamment en ce qui concerne les bases actives et les communications réseaux, sauf à ce que le ministère puisse justifier l'incompatibilité du chiffrement avec des nécessités techniques du traitement.
La CNIL prend acte du projet du ministère de mettre en œuvre une plateforme permettant de sécuriser les échanges de fichiers avec l'ensemble des autorités coopérant avec le BEPI. En attendant la mise en œuvre de cette plateforme, elle invite cependant le ministère à rendre systématique le chiffrement de tout document émis par le BEPI vers des tiers, avec des procédures de gestion des clés conformes à l'annexe B2 du référentiel général de sécurité.
La CNIL prend acte de la mise en place d'une journalisation pour une durée d'une année et stockée de manière cloisonnée par rapport au traitement LEPI. Elle rappelle que, pour effectivement contribuer à la sécurité du traitement, des analyses proactives des données de journalisation devraient être prévues, que ce soit par la génération automatique d'alerte ou bien par des mesures organisationnelles (par exemple une revue régulière des données par la hiérarchie pour les composantes les plus sensibles du traitement).
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.

1 version

Historique des versions

Version 1

N° de demande d'avis : 24007585.

Thématiques : Coopération internationale - Lutte contre la criminalité

internationale.

Organisme(s) à l'origine de la saisine : ministère de la justice.

Fondement de la saisine : titre III de la loi « Informatique et libertés ».

L'essentiel :

1. Le projet de décret dont est saisie la CNIL prévoit la mise en œuvre d'un logiciel d'entraide pénale internationale (LEPI), destiné à optimiser la gestion des dossiers traités par le bureau d'entraide pénale internationale (BEPI). Le volume de ce traitement et les données traitées, notamment des données sensibles au sens de l'article 6 de la loi du 6 janvier 1978, appellent une particulière vigilance dans les mesures de sécurité mises en œuvre ;

2. Le LEPI contient un module dédié (l'infocentre) pour la réalisation de statistiques qui poursuivront une finalité propre : analyser l'évolution de l'entraide pénale internationale et l'activité des juridictions en la matière. Cette finalité pourrait utilement être explicitée afin d'en encadrer les usages ;

3. Enfin, le traitement prévoit la possibilité d'une zone de commentaires libres. La CNIL estime que la collecte de données dans ces champs est légitime.

La Commission nationale de l'informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre III et son article 31 ;

Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et après avoir entendu les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. - La saisine

A. - Le contexte

La direction des affaires criminelles et des grâces (DACG) du ministère de la justice assure le traitement opérationnel et le suivi des demandes d'entraide pénale internationale. Ces demandes, gérées par le bureau de l'entraide pénale internationale (BEPI), concernent les demandes d'entraide aux fins d'enquête (i.e. les demandes d'entraide pénale internationale), les demandes de remise (i.e. les demandes d'extradition), les mandats d'arrêts européens et les demandes de transfèrement.

Le ministère indique que depuis ces dernières années, l'entraide pénale internationale a pris une place prépondérante dans l'activité judiciaire en France. Ainsi, en 2023, 364 nouvelles procédures en matière extraditionnelle ont été ouvertes, 3 650 demandes d'entraide aux fins d'enquête ont été enregistrées et 1 500 mandats d'arrêt européens ont été traités.

Le BEPI traite dans ses missions une grande variété de données, lesquelles peuvent être sensibles, telles que des données relatives aux opinions politiques. La modernisation de son système d'informations est envisagée en deux étapes : dans un premier temps, la mise en œuvre d'un logiciel métier de l'entraide pénale internationale (LEPI) ; et dans un second temps, conformément aux engagements européens, le ministère de la justice devra envisager la mise en place d'un portail destiné à ses interlocuteurs afin de permettre la dématérialisation de la demande d'entraide.

B. - L'objet de la saisine

La CNIL a été saisie par le ministère de la justice d'une demande d'avis concernant un projet de décret portant création d'un traitement automatisé de données à caractère personnel dénommé « Traitement de l'entraide pénale internationale ».

Ce traitement est un applicatif métier visant à permettre une gestion et un suivi optimisés des activités du BEPI. Le traitement comprend, par ailleurs, un module dédié à la réalisation de statistiques : l'infocentre. Ce dernier pourra contenir des données à caractère personnel pseudonymisées.

II. - L'avis de la CNIL

A. - Sur le régime juridique

La CNIL relève que le fondement juridique s'appliquant au traitement est la directive dite « Police-Justice ».

Dans la mesure où le traitement doit permettre la gestion, le suivi et le recensement des demandes d'entraide pénale internationale aux fins d'enquêtes, de remise de personnes et de transfèrement de détenus, il est mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanction pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces conformément au titre III de la loi « informatique et libertés ». Plus précisément, il se fonde sur les articles 87 et suivants de cette loi, et relève de l'article 31 au titre des traitements mis en œuvre pour le compte de l'Etat.

B. - Sur les finalités poursuivies par le traitement

L'article 1er prévoit que ce traitement a pour finalité :

- la gestion, la mise en œuvre et le suivi des demandes d'entraide pénale internationale qui transitent par le bureau de l'entraide pénale internationale de la direction des affaires criminelles et des grâces, en tant qu'autorité centrale pour la France, dans le domaine de la coopération judiciaire internationale en matière pénale ;

- l'exploitation des données du traitement à des fins de pilotage de l'activité de la DACG.

La CNIL relève que le traitement « Entraide pénale internationale » contiendra un module dédié, dit « Infocentre », pour la réalisation de statistiques dont l'exploitation ira au-delà du seul pilotage de l'activité puisqu'elles permettront d'analyser l'évolution de l'entraide internationale et l'activité des juridictions en la matière. La CNIL admet en effet que des statistiques puissent être calculées à partir de données d'un traitement public alors même que l'acte réglementaire qui le régit ne prévoit pas explicitement cette finalité ; elle s'interroge cependant sur la possibilité de définir la seconde finalité dans une rédaction plus large pour mieux marquer que l'exploitation des données, notamment sous forme d'indicateurs statistiques, ne servira pas seulement au pilotage du service. En tout état de cause, la CNIL rappelle que cette finalité devra figurer dans le registre des traitements et, le cas échéant, être prise en compte dans l'AIPD.

Concernant les données versées dans ce traitement depuis l'application LEPI, qui comprennent la quasi-totalité des données structurées à l'exception de toute donnée d'identité et des contenus des champs libres, celles-ci ne peuvent être qualifiées que de pseudonymes. En effet, la présence de champs tels que la date de convocation, le lieu de la convocation, la date d'émission du titre, la date d'interpellation, la nationalité de la personne, l'autorité requérante, etc. rendent aisée la réidentification de la personne même en l'absence de son identité régalienne. En conséquence, la CNIL rappelle que le responsable de traitement devra définir, notamment, une durée de conservation pour ces données. En outre, elle invite le ministère à indiquer à l'article 1er du décret la nature pseudonyme des données versées.

Concernant les données statistiques produites par le LEPI-infocentre, la Commission rappelle que, pour les considérer comme effectivement anonymes, le responsable de traitement doit réaliser une analyse permettant de démontrer que ses processus d'anonymisation respectent les trois critères définis par l'avis du groupe de l'article 29 n° 05/2014. A défaut, si ces trois critères ne peuvent être réunis, une étude des risques de ré-identification doit être menée.

C. - Sur les données collectées

L'article 2 prévoit que des données, notamment d'identification, sont collectées. Elles concernent, d'une part, les personnes mises en cause, mises en examen, prévenues, accusées, ou placées sous le statut de témoin assisté et, d'autre part, les victimes, parties civiles, représentants légaux ou ayants-droit. Toute donnée à caractère personnel susceptible d'apparaitre dans des pièces de procédure (notamment des identités de rédacteurs ou d'intervenants à la procédure, des précisions de fait relatives à ces personnes dans des procès-verbaux, rapports, etc.), listées à l'article 3, font, en outre, partie des données collectées. Les données permettant d'identifier les utilisateurs du traitement, ainsi que les interlocuteurs du BEPI font également partie des données traitées.

La CNIL relève que le traitement est susceptible de contenir des photographies et que l'exclusion d'un dispositif de reconnaissance faciale est prévue explicitement par le projet. Des données à caractère personnel relevant de l'article 6 de la loi « informatique et libertés » peuvent être contenues dans le traitement.

Outre l'ensemble de ces données, peuvent également être enregistrés dans le traitement des commentaires libres. Le ministère indique que ces champs sont indispensables afin de permettre aux agents chargés des dossiers de renseigner s'il y a lieu des informations complémentaires tenant à la conduite à tenir dans un dossier déterminé, c'est-à-dire des diligences accomplies ou des consignes transmises et reçues par un agent. La CNIL estime que la collecte de données dans ces champs libres est légitime. Elle rappelle néanmoins que ces zones de commentaires libres présentent un risque de contenir des informations inappropriées ou non pertinentes. Ces champs devront comporter exclusivement des informations dénuées de toute appréciation d'ordre personnel et limitées à ce qui est strictement nécessaire à l'instruction du dossier.

En outre, le ministère précise qu'à titre tout à fait exceptionnel, de tels champs peuvent nécessiter le traitement de données sensibles. Le ministère a indiqué qu'il pouvait s'agir par exemple d'informations susceptibles de révéler des opinions politiques d'une personne ou son orientation sexuelle. Comme indiqué dans l'AIPD, un message permanent figurera dans le pied-de-page de l'applicatif, précisant que les données sensibles enregistrées dans le champ libre ne doivent être enregistrées qu'en cas de nécessité absolue et que les accès et actions des utilisateurs de LEPI sont tracés et conservés pendant une durée d'un an. La CNIL estime que, compte tenu des finalités et des garanties apportées, la collecte de données sensibles dans les champs libres peut être admise en l'espèce.

D. - Sur la durée de conservation des données

Le I de l'article 4 du projet de décret prévoit une durée de conservation des informations et données à caractère personnel enregistrées dans le traitement de douze mois à compter de la clôture du dossier. Cette durée a été appréciée par le BEPI en fonction des délais moyens de traitement des dossiers.

Le II de l'article 4 prévoit qu'à l'issu du délai de douze mois, les données sont archivées selon cinq modalités :

- deux ans pour les demandes de commissions rogatoires internationales, les actes judiciaires et les demandes de transits ;

- trois ans pour les demandes de mandats d'arrêt international ;

- cinq ans pour les demandes d'arrestation provisoire, les demandes de prêt de détenus et les demandes de dénonciations officielles ;

- dix ans pour les demandes de transfèrements ;

- vingt ans pour les demandes d'extradition.

Le ministère justifie de façon pertinente que ces durées se fondent sur l'annexe 1 de la circulaire de tri relative aux impacts de la réforme de la prescription en matière pénale sur les archives des juridictions de l'ordre judiciaire.

E. - Sur les accédants et les destinataires des données

L'article 5 du projet de décret prévoit que seuls peuvent accéder au traitement, à raison de leurs attributions et dans la limite du besoin d'en connaître :

- les magistrats, fonctionnaires et agents de la DACG individuellement désignés et dûment habilités par le chef du bureau de l'entraide pénale internationale de cette direction ;

- les agents du service de la statistique, des études et de la recherche du ministère de la Justice individuellement désignés et dûment habilités par le secrétaire général de ce ministère.

Le ministère a indiqué que la trentaine d'agents qui composent le BEPI sont régulièrement formés aux enjeux de la protection des données. En outre, des mentions relatives à la protection des données seront apparentes sur les interfaces du logiciel.

Cet article prévoit que, outre les agents du ministère de la Justice dûment habilités, peuvent notamment être destinataires des données du traitement, à raison de leurs attributions et dans la limite du besoin d'en connaître les autorités centrales étrangères.

La CNIL relève que les destinataires des données du traitement peuvent être en dehors de l'Union européenne. Les conditions prévues à l'article 112 de la loi « informatique et libertés » sont respectées. Cependant, pour répondre aux exigences du 4° de cet article, l'AIPD rappelle que des décisions d'adéquation ainsi que la convention 108 ont été adoptées. Si le transfert intervient dans un pays non concerné par une décision d'adéquation ou non signataire de la convention 108, des conventions bilatérales prévoient le cadre légal dans lequel intervient ce transfert afin de protéger les données. Enfin, en l'absence d'instrument juridique contraignant, il est prévu qu'une clause de confidentialité puisse être insérée soit dans la demande d'entraide, soit dans le courrier de transmission.

Au regard de ce qui précède, la CNIL estime que les garanties apportées aux données transférées sont satisfaisantes. Les catégories d'accédants et destinataires du traitement n'appellent pas d'autre observation.

F. - Sur les droits des personnes concernées

L'article 6 du projet de décret prévoit que :

- pour les personnes dont les données figurent dans un dossier judiciaire faisant l'objet d'un traitement lors d'une demande d'entraide pénale internationale, l'accès à ces données et leurs conditions de rectification ou d'effacement sont régis par les dispositions du code de procédure pénale, conformément à l'article 111 de la loi Informatique et libertés ;

- pour tous les autres cas, par exemple les pièces traitées mais qui ne figurent pas dans un dossier de procédure, les droits d'accès, de rectification, d'effacement et le droit à la limitation du traitement s'exercent de manière directe auprès de la direction des affaires criminelles et des grâces du ministère de la justice. Toutefois, dans l'hypothèse où ces droits interfèreraient dans des enquêtes ou des recherches d'infractions pénales, conformément aux 1° et 2° du I de l'article 107 de la loi « informatique et libertés », les droits susmentionnés peuvent faire l'objet de restrictions. L'exercice des droits s'effectue alors de manière indirecte auprès de la CNIL.

Ces modalités d'exercice des droits n'appellent pas d'observation.

Par ailleurs, les utilisateurs du LEPI seront informés lors de leur première connexion de l'ensemble des informations relatives à leurs données personnelles collectées. L'information des personnes concernées par le traitement du fait de leur présence dans des pièces de procédure pénale est sans objet conformément à l'article 111 de la loi « informatique et libertés » qui prévoit que seul le code de procédure pénale peut régir l'accès aux données et les conditions de leur effacement ou de leur rectification.

G. - Sur les mesures de sécurité

La CNIL considère que la nature des données exige que celles-ci fassent l'objet de mesures de chiffrement conformes à l'annexe B1 du référentiel général de sécurité, notamment en ce qui concerne les bases actives et les communications réseaux, sauf à ce que le ministère puisse justifier l'incompatibilité du chiffrement avec des nécessités techniques du traitement.

La CNIL prend acte du projet du ministère de mettre en œuvre une plateforme permettant de sécuriser les échanges de fichiers avec l'ensemble des autorités coopérant avec le BEPI. En attendant la mise en œuvre de cette plateforme, elle invite cependant le ministère à rendre systématique le chiffrement de tout document émis par le BEPI vers des tiers, avec des procédures de gestion des clés conformes à l'annexe B2 du référentiel général de sécurité.

La CNIL prend acte de la mise en place d'une journalisation pour une durée d'une année et stockée de manière cloisonnée par rapport au traitement LEPI. Elle rappelle que, pour effectivement contribuer à la sécurité du traitement, des analyses proactives des données de journalisation devraient être prévues, que ce soit par la génération automatique d'alerte ou bien par des mesures organisationnelles (par exemple une revue régulière des données par la hiérarchie pour les composantes les plus sensibles du traitement).

Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.