| N° de demande d'avis : 24017976. | Thématiques : casier judiciaire national automatisé, délivrance des extraits de casier judiciaire (B1 et B3), empreintes digitales. | |:----------------------------------------------------------------|:------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : ministère de la justice.|Fondement de la saisine : article 779 du code de procédure pénale.|

L'essentiel :
L'application de stockage, de traitement et de restitution des antécédents judiciaires (ASTREA) est le nouvel applicatif du traitement du casier judiciaire national automatisé (CJN). Il permet la gestion des antécédents judiciaires et est géré par le service du casier judiciaire national. Le service du CJN est l'autorité centrale désignée par le règlement (UE) 2019/816 pour interroger, alimenter et actualiser le système européen centralisé permettant d'identifier les Etats membres détenant des informations relatives aux condamnations concernant des ressortissants de pays tiers et des apatrides (ECRIS-TCN).
Depuis l'ordonnance n° 2022-1524 relative au casier judiciaire national automatisé, le CJN enregistre et conserve les empreintes digitales de l'ensemble des personnes condamnées via sa mise en relation avec le fichier automatisé des empreintes digitales (FAED) au moyen de l'identifiant de personne physique (IDPP).
Le projet de texte prévoit la création de mentions spécifiques (« flags ») en cas de condamnation pour infraction terroriste ou certaines infractions graves sur la fiche du CJN aux fins de centralisation dans le traitement ECRIS-TCN.
S'agissant de ces mentions particulièrement sensibles, la CNIL recommande de mettre en œuvre un mécanisme de vérification automatisé du respect des délais d'effacement de ces marqueurs en fonction des infractions auxquelles ils se rattachent.
La CNIL estime l'identifiant de personne physique (IDPP) qui permet de mettre en relation différents fichiers « police-justice » est une donnée à caractère personnel et prend acte de l'engagement du ministère de mentionner l'IDPP dans le projet de décret.

La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :

I. - La saisine
A. - Le contexte

L'application de stockage, de traitement et de restitution des antécédents judiciaires (ASTREA) est le nouvel applicatif du traitement du casier judiciaire national automatisé (CJN). Il a vocation à se substituer au nouveau casier judiciaire (NCJv2). Ces deux applicatifs constituent, ensemble et jusqu'au décommissionnement de NCJv2, la totalité du traitement du CJN qui est un gestionnaire des antécédents judiciaires des personnes physiques au niveau national.
Le traitement CJN vise à enregistrer, à partir d'informations permettant l'identification de la personne, un ensemble de décisions judiciaires énumérées à l'article 768 du code de procédure pénale (CPP), principalement les condamnations pénales et les décisions relatives à leur exécution. Seules ces dernières font l'objet du projet de décret. Ce traitement doit ainsi permettre un rapprochement fiabilisé des identités des personnes ayant été condamnées. Il concourt également à la mise en œuvre du système européen ECRIS-TCN qui permet de centraliser les informations sur les condamnations détenues par les Etats membres de l'Union européenne à l'encontre de ressortissants de pays tiers.

B. - L'objet de la saisine

Le ministère de la justice a saisi la CNIL, d'un projet de décret d'application des articles 771-1, 771-2, 777, 777-3 et 804 du CPP pris en application de l'ordonnance n° 2022-1524 (CNIL, délibération n° 2022-096 du 22 septembre 2022). L'article 779 du CPP prévoit que ce décret est pris après avis de la CNIL. Une analyse d'impact relative à la protection des données (AIPD) relative à ASTREA a également été transmise à la CNIL.
Le projet de décret modifie des dispositions réglementaires du CPP relatives au CJN (articles R. 62 et suivants) et encadre :

- la collecte, la conservation et l'utilisation faite par le CJN des empreintes digitales des personnes condamnées ;
- la possibilité pour certaines autorités compétentes en matière de contrôle des frontières (les unités nationales du système européen d'information et d'autorisation concernant les voyages (ETIAS) et le système d'information sur les visas (VIS) d'interroger ASTREA, lorsque l'existence de condamnations graves à l'encontre de personnes ressortissantes de pays tiers leur auront été signalées, dans le cadre de leur consultation de la base centralisée ECRIS-TCN ;
- les modalités de mises en relation du CJN avec d'autres traitements et en particulier, le système européen ECRIS-TCN pour la transmission des données alphanumériques, biométriques et des mentions de condamnation pour des infractions terroristes ou des infractions graves rattachées à la fiche du casier judiciaire (marqueurs à l'attention des autorités en charge de l'étude des demandes de titres de séjours et des visas).

II. - L'avis de la CNIL
A. - Sur les données traitées

1. Sur les modalités de traitement des empreintes digitales

L'ordonnance n° 2022-1524, prise en application du règlement (UE) 2019/816, prévoit la collecte et l'enregistrement et la conservation des empreintes digitales par le CJN de l'ensemble des personnes condamnées pour un crime ou un délit puni d'une peine d'emprisonnement et ce, indépendamment de leur nationalité (article 771-2 du CPP).
Pour ce faire, l'ordonnance (article 777-3 du CPP) permet l'interconnexion du traitement CJN avec :

- le FAED géré par ministère de l'intérieur (article R. 40-38-7 du CPP) pour la récupération des empreintes digitales ;
- et la base centrale ECRIS-TCN notamment pour la transmission des données alphanumériques et biométriques. Elle permet aux Etats membres de l'Union européenne d'identifier au sein de quels autres Etats membres sont stockées les informations concernant les condamnations antérieures d'un ressortissant de pays tiers ou dont la nationalité est inconnue.

Le projet de décret prévoit la possibilité pour le CJN de :

- collecter et enregistrer les empreintes digitales des personnes condamnées qui sont stockées au fichier automatisé des empreintes digitales (FAED), à la réception d'une fiche de la part de l'autorité judiciaire (projet d'article R. 65-1) ;
- consulter les empreintes digitales du FAED en cas de difficulté d'enregistrement d'une fiche, afin de fiabiliser la vérification de l'identité de la personne concernée (projet d'article R. 66-2). Il s'agirait du cas d'une fiche qui soulèverait une difficulté de rapprochement avec d'anciennes fiches déjà enregistrées dans la base mais sans empreintes, en permettant au service du CJN de vérifier s'il peut rattacher sans risque d'erreur ces empreintes à ces anciennes fiches ;
- permettre à une autorité judiciaire de demander le bulletin n° 1 d'une personne au moyen de ses empreintes digitales, sans les enregistrer, et de les comparer à celles déjà enregistrées au casier judiciaire au titre de l'article R. 65-1 pour vérifier l'identité de l'intéressé (projet d'article R. 76).

La collecte et la consultation des données biométriques d'un large périmètre de personnes nécessitent la mise en œuvre de garanties appropriées et suffisantes.
Le projet de décret prévoit des cas de collecte et de consultation précis, limités et circonstanciés des empreintes digitales, par exemple en cas de difficulté d'enregistrement d'une fiche ou à la demande d'un B1. Ces cas apparaissent justifiés par la nécessité de garantir l'exactitude des données de condamnation enregistrées et au regard des conséquences significatives qu'elles peuvent avoir sur la vie privée des personnes, notamment en cas d'inexactitude des condamnations renseignées.
La CNIL recommande que cette généralisation de l'enregistrement des empreintes digitales fasse l'objet d'un bilan, dans un délai d'un an après la mise en œuvre effective du dispositif, et que celui-ci puisse lui être transmis. Celui-ci permettrait d'apprécier sa contribution aux objectifs invoqués et la proportionnalité des moyens employés au regard de chiffres actualisés de nature à démontrer l'insuffisance d'autres moyens pour fiabiliser les identités.

2. Sur l'identifiant de personne physique (IDPP)

L'AIPD prévoit l'identifiant de personne physique (IDPP) au titre des données collectées. Cet identifiant fait partie des numéros initialement générés par les logiciels de rédaction des procédures (LRP), sous la responsabilité du ministère de l'intérieur. Il permet de mettre en relation différents fichiers « police-justice ». Dans le cadre de l'interconnexion du CJN avec le FAED, l'IDPP permettra de solliciter la transmission des données biométriques correspondantes stockées au FAED afin de les transférer dans une base de données imbriquée dans ASTREA.
Le projet de décret ne mentionne pas cet IDPP. Le ministère considère qu'il s'agit d'une donnée à caractère personnel bien qu'il ne soit pas rattaché spécifiquement à une personne physique mais à une procédure pénale en cours et à un élément technique de cette procédure (les empreintes digitales).
La CNIL estime que cet identifiant est une donnée à caractère personnel, rattachée aux empreintes digitales d'une personne faisant l'objet d'une procédure pénale et prend acte de l'engagement du ministère de mentionner l'IDPP dans le projet de décret, au titre du traitement des empreintes digitales, comme il figure actuellement à l'article R. 40-38-3 dans le CPP relatif au FAED.
Elle observe que 543 851 condamnations pénales ont été prononcées en 2023, soit un volume conséquent de données auxquelles peut être associé un IDPP. Compte tenu de l'importance de ce chiffre, dont il faut déduire les contraventions, elle souligne en outre que le traitement d'une telle catégorie de donnée, ainsi que la multiplication de ses usages, en particulier pour permettre l'interconnexion des différents fichiers « police-justice », comportent des risques importants pour la vie privée des personnes concernées. Par ailleurs, la création d'interconnexions entre des fichiers utilisant un identifiant commun non reconnu explicitement comme tel dans les textes accroît le risque potentiel de détournement de finalités.

3. Concernant les mentions de condamnation pour des infractions terroristes ou des infractions graves (« flags »)

L'AIPD prévoit l'exploitation, par ASTREA, d'une catégorie de données initialement prévue au règlement (UE) ECRIS-TCN concernant les condamnations pour certaines infractions spécifiques. En effet, le CJN est tenu d'adresser une mention de condamnation spécifique (« flag »), en plus des données d'identités des ressortissants des Etats tiers, vers le système d'information ECRIS-TCN dès lors que ceux-ci ont été condamnés pour des infractions terroristes ou des infractions graves listées dans l'annexe du règlement (UE) 2018/1240. Ces données remontent dans ECRIS-TCN à partir du moment où elles lui sont envoyées par le CJN.
Dans le cadre de l'analyse des demandes de visas ou de titres de séjour, les autorités nationales compétentes en matière de contrôle des frontières consultent ECRIS-TCN. Si une correspondance est établie avec des données signalées par une mention spécifique issues du CJN, les unités nationales ETIAS et VIS seront destinataires des données enregistrées au casier judiciaire correspondant aux seules condamnations mentionnées dans le règlement 2018/1240 précité. Le système centralisé ECRIS-TCN participe ainsi également aux finalités spécifiques des systèmes ETIAS et VIS.
Interrogé sur la pertinence de la conservation de cette mention spécifique dans le traitement du CJN dès lors qu'il remonte à ECRIS-TCN et y est centralisé, le ministère a indiqué que cette configuration permettrait au service du casier judiciaire français de communiquer aux unités nationales ETIAS et VIS, à terme, la ou les condamnations ainsi marquées à l'encontre de personnes ressortissantes de pays tiers. Une mise en relation pourrait être réalisée entre ASTREA et le système exploité par le UN-ETIAS (FR) aux fins de récupération des données de condamnation associées. Selon le ministère, les modalités de cette opération de traitement sont en cours d'étude.
La CNIL s'interroge sur l'absence de contrôle concernant la création automatisée de ces mentions au sein du CJN malgré les lourdes conséquences qu'un tel marqueur peut avoir pour les personnes au regard de leur demande de visa ou de titre de séjour. Le ministère souligne les difficultés matérielles et humaines de mise en œuvre d'un système de contrôle compte tenu du volume des données concernées. La commission prend acte des garanties avancées par le ministère quant à l'absence de risque technique du système de création automatisée des mentions de condamnation sur la base des codes NATINF. Elle constate également que seules les unités nationales ETIAS et VIS pourront avoir accès à ces données et seront par ailleurs en mesure de procéder à une vérification des condamnations au moment de la consultation des bulletins n° 2 des personnes concernées.

B. - Sur la mise jour et l'effacement des données

Concernant la mise à jour et l'effacement des données biométriques du CJN :

- le projet de décret prévoit l'effacement automatique des empreintes digitales collectées et enregistrées par le service du CJN dès lors que la fiche du casier judiciaire associée à ces empreintes digitales est supprimée ;
- l'AIPD précise que cet effacement automatique a également lieu à l'échéance du délai de conservation de quarante ans de la condamnation mentionnée sur la fiche et lorsque celle-ci n'a pas été suivie d'une nouvelle condamnation à une peine criminelle ou correctionnelle.

La CNIL accueille favorablement la mise en œuvre de ce système automatisé permettant l'effacement automatique au sein du CJN de données sensibles ou d'une nature particulière :

- à l'expiration des durées prévues par le CPP pour les données biométriques, en garantissant le respect des durées de conservation ;
- ou de manière anticipée, à l'effacement d'une fiche du casier judiciaire pour les données biométriques et les mentions de condamnation.

Ce dispositif permet également de répercuter les mises à jour des fiches du casier judiciaire sur les données enregistrées à la fois dans le CJN et ECRIS-TCN, conformément au principe d'exactitude des données.
S'agissant des mentions de condamnation spécifiques pour des infractions terroristes ou des infractions graves (« flags »), l'AIPD indique que ces données sont conservées pour une durée de quinze à vingt-cinq ans selon l'infraction concernée. Le ministère précise qu'en cas d'effacement anticipé de la fiche de condamnation du CJN, le traitement ECRIS-TCN reçoit cette information pour qu'il la répercute manuellement dans sa base centralisée, en procédant à l'effacement concomitant de la mention. Toutefois, le projet de décret ne prévoit pas de procédure d'effacement des mentions en dehors des cas d'effacement anticipé de la fiche de condamnation du CJN.
S'agissant des mentions spécifiques de condamnation (« flags »), la CNIL recommande de mettre en œuvre un mécanisme de vérification automatisé du respect des délais d'effacement des marqueurs en fonction des infractions auxquelles ils se rattachent. Sur ce point, elle prend acte de l'engagement du ministère de programmer cette fonctionnalité d'ici l'année 2026.

C. - Sur les mises en relations avec d'autres traitements

Conformément au règlement (UE) 2019/816, l'AIPD prévoit qu'ASTREA fait l'objet de mises en relation avec les traitements suivants :

- le traitement FAED ;
- à terme, la chaîne applicative supportant le système d'information orienté procédure pénale et enfants (CASSIOPEE) pour la récupération des fiches de condamnations ;
- le système européen ECRIS-TCN pour la transmission des données alphanumériques, biométriques et des mentions de condamnation ;
- les traitements qui seront réalisés par les autorités nationales ETIAS et VIS, mais les modalités de la mise en relation pour la communication par le CJN de la condamnation sont en cours d'étude ;
- le traitement de données à caractère personnel relatif à la gestion nationale des personnes détenues en établissement pénitentiaire (GENESIS).

Lorsque des traitements sont encadrés par des actes réglementaires, leur mise en relation doit respecter les dispositions régissant chacun des traitements concernés. En particulier, l'opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés. La liste des mises en relation effectuées n'a pas à être autorisée par les actes réglementaires des traitements, mais doit figurer dans l'AIPD (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
En l'espèce, la CNIL estime légitimes les mises en relation indiquées, sous réserve des modifications réglementaires préalables du traitement GENESIS concernant ses finalités, les catégories de données traitées et la liste des accédants et destinataires. La CNIL prend acte de l'engagement du ministère d'effectuer ces modifications et de les lui soumettre pour avis.
La mise en relation projetée avec le traitement GENESIS vise à concourir à la reprise de l'historique du CJN par ECRIS-TCN (article 15 du projet de décret). Cette reprise concerne les ressortissants des Etats tiers condamnés et enregistrés dans la base de données du CJN avant l'entrée en service du système d'information ECRIS-TCN. Pour le service du CJN, il ne s'agit donc que des identités alphanumériques. Ils ne peuvent ensuite associer ces données aux empreintes digitales que si ces dernières concordent parfaitement.
Les opérations que le service du CJN est autorisé à mettre en place pour tenter de remplir cet objectif de moyen sont prévues au projet de décret :

- dans le FAED : collecter les impressions simultanées et roulées des empreintes digitales de chaque doigt de ces personnes condamnées ;
- dans GENESIS : collecter la liste des personnes définitivement condamnées pouvant entrer dans le champ d'application du règlement (UE) 2019/816 ECRIS-TCN, ainsi que le nom du dernier établissement où elles ont été ou sont détenues, la date prévisible de leur libération et les références des décisions au titre desquelles elles ont été ou sont détenues. Cette collecte d'informations permettra de récupérer les empreintes qui ne sont pas enregistrées au FAED parmi les personnes détenues.

Les moyens pouvant être mis en œuvre par le CJN via le FAED et GENESIS pour collecter les empreintes digitales afférentes à des condamnations déjà enregistrées dans le cadre de la reprise de l'historique du CJN par ECRIS-TCN apparaissent déterminés et proportionnés au but poursuivi. Ils ne pourront être employés que sur une période limitée à deux ans après la mise en service d'ECRIS-TCN. Dès lors, la CNIL considère que cette mise en relation avec GENESIS ne s'étendra pas au-delà de ce délai de récupération.
Elle prend également acte de l'engagement du ministère de ce que les informations sur la vie carcérale des personnes condamnées enregistrées dans GENESIS ne seront pas collectées par le CJN, conformément au principe de minimisation. En effet, celles-ci ne sont pas strictement nécessaires aux finalités du CJN.

D. - Sur l'exercice des droits des personnes concernées

Le projet de décret prévoit d'ajouter dans la partie réglementaire du CPP un chapitre VIII relatif à l'application des droits des personnes vis-à-vis des traitements de données à caractère personnel gérés par le service du CJN dans le but de compléter et de clarifier les droits des personnes concernées antérieurement prévus par la loi et exercés dans le cadre de la procédure pénale.
La CNIL accueille favorablement la démarche du ministère consistant à préciser l'exercice des droits des personnes en créant des dispositions spécifiques « informatique et libertés » distinctes de celles relevant de la procédure pénale.

E. - Sur les mesures de sécurité

S'agissant de la qualité des données et de la couverture des risques de pertes d'intégrité et de cohérence entre les systèmes, la CNIL salue les efforts déployés par le CJN pour limiter ceux-ci. En effet, durant la phase de décommissionnement de NCJV2, la mise en œuvre de contrôles de cohérence et d'intégrité permettent d'assurer une réponse opérationnelle aux enjeux de qualité des données, durant toute la phase de développement d'ASTREA.
Les besoins de traçabilité sont couverts au sein du traitement projeté. S'agissant des durées de conservation des traces, le projet de décret précise que les informations enregistrées dans le journal seront effacées au bout de trois ans si elles ne sont plus nécessaires à une procédure de contrôle déjà engagée. La CNIL considère justifiée cette durée de conservation des traces qui apparait cohérente avec l'ampleur et la sensibilité des données traitées.
La CNIL retient également la volonté du ministère de la justice de déployer une nouvelle brique de centralisation des logs avec de la remontée d'alertes automatisées. Cette démarche offrira les capacités de détection nécessaires en cas d'actions malveillantes, notamment en cas d'exfiltration de données en masse, ce qui est une amélioration positive du traitement projeté du fait des données traitées.
Enfin, concernant la couverture des risques de perte d'intégrité et de confidentialité des données biométriques, la CNIL relève qu'un chiffrement à réception des données extraites du FAED et avant envoi dans ECRIS-TCN sera mis en œuvre pour limiter ces risques.