La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Philippe-Pierre CABOURDIN, président, M. Vincent LESCLOUS, vice-président, Mmes Isabelle LATOURNARIE-WILLEMS et Laurence FRANCESCHINI, MM. Alain DRU et Bertrand du MARAIS, membres ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;
Vu le décret no 2019-536 du 29 mai 2019 pris pour l'application de la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l'informatique et des libertés ;
Vu la décision no 2022-028C du 19 janvier 2022 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification du " traitement d’antécédents judiciaires " et de tout traitement lié ;
Vu la décision de la présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur devant la formation restreinte, en date du 8 avril 2024 ;
Vu le rapport de Madame Sophie LAMBREMON, commissaire rapporteure, notifié au ministère de l’intérieur et au ministère de la justice le 2 mai 2024 ;
Vu les observations écrites versées par le ministère de la justice le 11 juin 2024 et celles versées par le ministère de l’intérieur et des Outre-Mer le 20 juin 2024 ;
Vu la réponse de la rapporteure à ces observations, notifiée aux ministères le 18 juillet 2024 ;
Vu les observations écrites versées par le ministère de la justice le 2 septembre 2024 et celles versées par le ministère de l’intérieur et des Outre-Mer le 9 septembre 2024 ;
Vu la clôture de l’instruction, notifiée aux ministères le 10 septembre 2024 ;
Vu les observations orales formulées lors de la séance de la formation restreinte, le 26 septembre 2024 ;
Vu les autres pièces du dossier ;
Étaient présents, lors de la séance de la formation restreinte :
- Madame Sophie LAMBREMON, commissaire, entendue en son rapport ;
En qualité de représentants du ministère de l'intérieur et des Outre-Mer :
- […]
En qualité de représentants du ministère de la justice :
- […]
En qualité de commissaire du Gouvernement :
- […]
Les représentants du ministère de l'intérieur et des Outre-Mer et du ministère de la justice ayant eu la parole en dernier ;
La formation restreinte a adopté la décision suivante :
I. Faits et procédure
1. Le " traitement d’antécédents judiciaires " (ci-après " le TAJ ") est un fichier de police judiciaire régi par les articles 230-6 et suivants du code de procédure pénale, ayant pour finalité de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs en fournissant une base d’informations sur tous les antécédents judiciaires d’une personne donnée, que ce soit en qualité de victime ou de mise en cause. Ce fichier est utilisé dans le cadre de certaines enquêtes de renseignement et dans le cadre d’enquêtes administratives, telles l’évaluation du risque ou de l’incompatibilité d’une personne avec certains emplois publics ou sensibles ou encore pour l’examen d’une demande de nationalité française.
2. Conformément à l’article R. 40-23 du code de procédure pénale, le fichier est mis en œuvre par le ministère de l’intérieur et des Outre-Mer (ci- après " le ministère de l’intérieur "). En vertu des dispositions de l’article 230-6 de ce code, les données du TAJ sont recueillies au cours des enquêtes préliminaires ou de flagrance ou des investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que les contraventions les plus graves, ou au cours des procédures de recherche des causes de la mort ou des causes d’une disparition.
3. Le fichier est utilisé par les services de police et de gendarmerie et par les magistrats du parquet pour les besoins d’enquêtes judiciaires et administratives. L’article 230-8 du même code prévoit que le traitement des données est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d'office ou à la demande de la personne concernée, ordonne qu'elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu'elles fassent l'objet d'une mention.
4. L’article R. 40-26 du code de procédure pénale prévoit que le TAJ contient de nombreuses données à caractère personnel relatives aux personnes concernées. S’agissant des personnes mises en cause et des personnes liées à la recherche de la cause suspecte d’un décès ou d’une disparition, les informations recueillies sont l’identité de la personne, surnom, son alias, situation familiale, filiation, nationalité, adresses postales, adresses électroniques, numéros de téléphone, date et lieu de naissance, profession, état de la personne (par exemple, mineur isolé sans domicile fixe), signalement mais également photographies comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face) et autres photographies. S’agissant des personnes victimes, les informations recueillies sont les mêmes, à l’exception des photographies. D’autres données sont également enregistrées, telles que les faits, objets de l’enquête, lieux, dates de l’infraction, modes opératoires, données et images relatives aux objets. Enfin, des données sensibles, par dérogation au I de l’article 8 de la loi du 6 janvier 1978 susvisée, peuvent également être enregistrées, telles que les données résultant de la nature ou des circonstances de l’infraction ou les données se rapportant à des signes physiques particuliers, objectifs et permanents, en tant qu’éléments de signalement des personnes.
5. En décembre 2019, le fichier répertoriait plus de 94 millions d’affaires, dont plus de 600 000 concernant des mineurs mis en cause. En décembre 2021, il répertoriait plus de 103 millions d’affaires et en février 2022, il contenait plus de 24 millions de fiches de personnes physiques mises en cause dont 8 millions étaient anonymisées. A la suite d’une décision d’effacement ou de l’écoulement de la durée de conservation des données, les données à caractère personnel permettant l'identification de la personne sont anonymisées mais certaines informations, comme l'infraction, sont conservées pour les nécessités de la recherche criminelle.
6. La présidente de la Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a, par la décision no 2022-028C du 19 janvier 2022, initié une procédure de contrôle ayant pour objet de vérifier la conformité du TAJ et de tout traitement lié à la loi no 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après " la loi du 6 janvier 1978 " ou " la loi Informatique et Libertés ").
7. Dans le cadre de cette procédure, plusieurs contrôles ont été réalisés. Deux auditions sur convocation ont eu lieu dans les locaux de la CNIL : le 30 mars 2022, […] a été entendue en sa qualité de […] de la Direction Générale de la Police Nationale (ci-après " DGPN ") et le 19 avril 2022, […] a été reçu en sa qualité de […] du ministère de la justice.
8. Enfin le 11 juillet 2022, des questionnaires portant sur les procédures permettant la mise à jour du TAJ et la transmission des informations aux services gestionnaires ont été envoyés au parquet général près la Cour d’appel de Bastia ainsi qu’aux parquets près les tribunaux judiciaires de Bobigny, Nanterre, Saint-Gaudens et Mamoudzou.
9. L’ensemble de ces contrôles a permis de vérifier les modalités de collecte des données du TAJ, leur mise à jour, ainsi que leur devenir après les décisions de justice.
10. Aux fins d’instruction de ces éléments, la présidente de la Commission a, le 8 avril 2024, désigné Madame Sophie LAMBREMON en qualité de rapporteure, sur le fondement de l’article 22 de la loi du 6 janvier 1978 modifiée.
11. À l’issue de son instruction, la rapporteure a, le 2 mai 2024, fait signifier au ministère de l'intérieur et au ministère de la justice un rapport détaillant les manquements à la loi Informatique et Libertés qu’elle estimait constitués en l’espèce. La rapporteure proposait à la formation restreinte de la Commission de prononcer à l’encontre des deux ministères concernés un rappel à l’ordre ainsi qu’une injonction de mettre en conformité le traitement avec les dispositions des articles 97, 104, 105 et 106 de la loi Informatique et Libertés modifiée. Elle proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément les ministères à l’expiration d’un délai de deux ans à compter de sa publication.
12. Le ministère de la justice et le ministère de l’intérieur ont produit des observations respectivement les 11 et 20 juin 2024.
13. La rapporteure a répondu aux observations des ministères le 8 juillet 2024.
14. Le 2 septembre 2024, le ministère de la justice a produit ses deuxièmes observations en réponse. Le ministère de l’intérieur a produit ses deuxièmes observations en réponse le 9 septembre 2024.
15. Le 10 septembre, la rapporteure a, en application du III de l’article 40 du décret du 29 mai 2019 susvisé, informé les ministères et le président de la formation restreinte que l’instruction était close.
16. Les représentants des ministères et la rapporteure ont été entendus lors de la séance de la formation restreinte.
II. Motifs de la décision
A. Sur la loi applicable
17. Le titre III de la loi Informatique et Libertés transpose la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données (ci-après " la directive 2016/680 du 27 avril 2016 " ou " la directive Police-justice "). L’article 87 de cette loi précise que le titre III est applicable " aux traitements de données à caractère personnel mis en œuvre, à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces, par toute autorité publique compétente ou tout autre organisme ou entité à qui a été confié, à ces mêmes fins, l'exercice de l'autorité publique et des prérogatives de puissance publique, ci-après dénommés autorité compétente ".
18. L’article 230-6 du code de procédure pénale énonce les finalités du TAJ. Il dispose que : " Afin de faciliter la constatation des infractions à la loi pénale, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs, les services de la police nationale et de la gendarmerie nationale peuvent mettre en œuvre des traitements automatisés de données à caractère personnel recueillies :
1° Au cours des enquêtes préliminaires ou de flagrance ou des investigations exécutées sur commission rogatoire et concernant tout crime ou délit ainsi que les contraventions de la cinquième classe sanctionnant :
a) Un trouble à la sécurité ou à la tranquillité publiques ;
b) Une atteinte aux personnes, aux biens ou à l'autorité de l'État ; […] ".
19. La formation restreinte considère tout d’abord que dans le cadre de ces finalités, le TAJ est mis en œuvre " à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales ", au sens de l’article 87 de la loi Informatique et Libertés.
20. Ensuite, au regard des dispositions de l’article R. 40-23 du code de procédure pénale, la formation restreinte considère que la mise en œuvre du TAJ par " Le ministre de l'intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale) […] " ainsi que son contrôle et sa mise à jour par l’autorité judiciaire en vertu des articles 230 8 et suivants du code de procédure pénale, sont réalisés par des autorités compétentes au sens de l’article 87 de la loi Informatique et Libertés.
21. En conséquence, la formation restreinte considère que la collecte et le traitement des informations contenues dans le TAJ sont soumis aux articles 87 et suivants de la loi Informatique et Libertés transposant la directive 2016/680 du 27 avril 2016.
B. Sur la compétence
22. Le ministère de la justice soutient que la CNIL n’est pas compétente pour le sanctionner, dans la mesure où les opérations de traitement du TAJ sont mises en œuvre dans l’exercice de sa fonction juridictionnelle.
23. La formation restreinte relève que le V de l’article 19 de la loi Informatique et Libertés dispose que " Dans l'exercice de son pouvoir de contrôle portant sur les traitements relevant du règlement (UE) 2016/679 du 27 avril 2016 et de la présente loi, la Commission nationale de l'informatique et des libertés n'est pas compétente pour contrôler les opérations de traitement effectuées, dans l'exercice de leur fonction juridictionnelle, par les juridictions et leur ministère public. ".
24. La formation restreinte reconnait que le rôle de contrôle du fichier et de mise à jour des données qu’il contient dévolu par le code de procédure pénale aux procureurs de la République et au magistrat référent repose sur leur mission de protection des libertés individuelles et de garantie d’application de la loi, comme l’indique la dépêche du garde des sceaux du 8 décembre 2022 portant sur l’" Evolution des modalités et des outils de mise à jour des fichiers TAJ et FAED, et désignation de magistrats référents pour les fichiers de police judiciaire au sein des parquets et des parquets généraux ".
25. Elle estime toutefois que si les rôles de contrôle et de mise à jour s’inscrivent, dans les fonctions judiciaires des parquets et du magistrat référent, ils ne peuvent, pour autant, être qualifiés de fonctions juridictionnelles. En effet, en premier lieu, la formation restreinte considère, notamment par application du considérant 80 précité, que la nature de fonction juridictionnelle, pour être reconnue, supposerait que soit mise en œuvre, par une juridiction ou par le ministère public aux termes du V de l’article 19 de la loi Informatique et Libertés, une action de qualification juridique de faits.
26. En deuxième lieu, la formation restreinte note que l’article R.40-32 du code de procédure pénale dispose que " Les pouvoirs qui lui [le magistrat référent national] sont confiés s’exercent sans préjudice du contrôle exercé par la Commission nationale de l'informatique et des libertés […] ".
27. La formation restreinte estime que cette règle, générale à l’ensemble des compétences du magistrat référent, trouve également à s’appliquer aux parquets locaux qui jouissent des mêmes prérogatives.
28. En troisième lieu, s’agissant du rôle de contrôle du traitement, la formation restreinte considère, au-delà de l’argument de texte précité, qu’il ne satisfait pas aux critères ci-dessus faute de donner lieu à une procédure close par une décision juridictionnelle.
29. En quatrième lieu, s’agissant du rôle de mise à jour des données, la formation considère que ce rôle, qui se cantonne à la transmission de données, ne s’inscrit pas dans la mission juridictionnelle.
30. La formation restreinte note que si l’envoi de fiches navettes renseignées est nécessairement la conséquence de décisions juridictionnelles, qu’elles émanent du procureur de la République ou d’une juridiction, la mise à jour du fichier TAJ ne participe pas intrinsèquement de l’exécution directe de ces décisions qui n’ont pas pour effet nécessaire de la déclencher et dont l’effectivité ne tient pas à cette mise à jour. Elles ne peuvent donc se rattacher à ces procédures.
31. La formation restreinte admet que lorsque le procureur de la République ordonne une mise à jour, il procède à un choix au regard des critères d’inscription au fichier posés par les textes et prend donc une décision après un contrôle de légalité. Pour autant, cette décision reste informelle et ne se déduit que de l’envoi de la fiche navette. Elle n’est pas susceptible de recours et ne s’inscrit pas dans une procédure.
32. La formation restreinte estime que la mise à jour du fichier TAJ, hors requêtes, revêt dès lors la nature d’un acte d’administration du service public de la justice détachable des fonctions juridictionnelles du ministère public.
33. La formation restreinte se reconnaît ainsi compétente pour statuer sur les manquements reprochés au ministère de la justice dans la présente procédure.
C. Sur la responsabilité des ministères dans la mise en œuvre du TAJ
34. L’article 2 de la loi Informatique et Libertés dispose que " sauf dispositions contraires, dans le cadre de la présente loi s'appliquent les définitions de l'article 4 du règlement (UE) 2016/679 du 27 avril 2016 ". Le responsable de traitement est défini, aux termes de l’article 4, point 7, du RGPD, comme " la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ".
35. Le IV de l’article 20 de la même loi dispose que : " Lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut également, le cas échéant après lui avoir adressé l'avertissement prévu au I du présent article ou après avoir prononcé à son encontre une ou plusieurs des mesures correctrices prévues au III, saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures " prévues par cette loi. Il résulte de cet article, lu à la lumière de la directive " Police justice ", et notamment de son article 46 précité, que la formation restreinte dispose d’une compétence pleine et entière pour vérifier le respect de cette loi par le responsable de traitement et ses sous-traitants. S’agissant des traitements de l’Etat, lorsqu’un acte réglementaire le régissant désigne le ou les ministères exerçant la responsabilité de traitement au nom de l’Etat, cela ne fait pas obstacle à la compétence de la CNIL pour contrôler et, le cas échéant, prononcer une injonction à l’égard des autres administrations de l’Etat à qui l’acte réglementaire confie un rôle dans la mise en œuvre de traitement.
36. La rapporteure estime que le ministère de l’intérieur et le ministère de la justice doivent être regardés comme conjointement responsables du traitement en cause, pour l’application de la loi Informatique et Libertés. A titre subsidiaire, elle estime qu’il résulte de la combinaison des articles 20 et suivants de cette loi et des dispositions réglementaires régissant le TAJ citées ci-dessus que la formation restreinte est compétente pour contrôler le respect des règles de protection des données personnelles dans l’utilisation du TAJ tant vis-à-vis des services du ministère de l’intérieur que de ceux du ministère de la justice.
37. En défense, les ministères contestent la responsabilité conjointe du traitement. Ils considèrent que seul le ministère de l’intérieur peut être désigné en tant que responsable dudit traitement puisqu’il est désigné formellement par le code de procédure pénale pour mettre en œuvre le TAJ et que cette désignation n’a par ailleurs pas été remise en question par la formation plénière de la CNIL à l’occasion des avis qu’elle a pu rendre sur ce traitement ; que l’influence factuelle ne doit être recherchée qu’en l’absence de dispositions légales désignant une partie comme responsable de traitement et qu’en tout état de cause, le ministère de la justice n’opère aucune forme d’influence quant à la détermination des finalités ou des moyens du TAJ. C’est en effet le ministère de l’intérieur seul qui a procédé à la détermination des finalités du TAJ, au moyen des finalités reprises dans différents décrets qui sont venus successivement encadrer le TAJ. S’agissant des moyens du traitement, le ministère de la justice soutient qu’il ne participe pas à la détermination des moyens essentiels du traitement, contrairement au ministère de l’intérieur et qu’il n’existe aucune décision convergente avec le ministère de l’intérieur reflétant que le traitement ne serait pas possible sans la participation des deux parties à la détermination des finalités et des moyens. Ils rappellent que le rôle des magistrats du parquet est uniquement la transmission de données actualisées, dont ils disposent grâce à leur traitement CASSIOPEE, aux fins de mise à jour du traitement TAJ en vue de participer à la réalisation de ses finalités. Ils considèrent que l’actualisation des seules suites judiciaires ne constitue qu’une mise en relation entre traitements qui n’est pas une action ayant une influence déterminante sur les moyens et qui ne saurait à elle seule conduire à la qualification d’une responsabilité conjointe.
38. La formation restreinte observe que l’article 230-6 du code de procédure pénale dispose que les services de la police nationale et de la gendarmerie nationale mettent en œuvre le traitement et qu’aux termes de l’article R. 40-23 du code de procédure pénale : " Le ministre de l'intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale) est autorisé à mettre en œuvre un traitement automatisé de données à caractère personnel, dénommé " traitement d'antécédents judiciaires ”, dont les finalités sont celles mentionnées à l'article 230-6. " Il en résulte, selon l’interprétation constante de la CNIL de ces termes, que le ministère de l’intérieur exerce, au sein de l’Etat, la responsabilité du traitement pour l’application de la loi Informatique et Libertés.
39. Par ailleurs, la responsabilité du traitement relevant, in fine, de l’Etat (notamment, selon la jurisprudence du Conseil d’Etat, en cas de condamnations indemnitaires en cas de faute dans la mise en œuvre du traitement), la formation estime qu’elle est compétente pour adresser un rappel aux obligations et une injonction aux administrations de l’Etat qui ne relèvent pas du ministre de l’intérieur auxquelles le code de procédure pénale confie un rôle dans la mise en œuvre du traitement. La formation restreinte souligne que, si une interprétation différente devait être retenue, elle ne disposerait alors d’aucun moyen d’agir, de prévenir ou de remédier à des irrégularités commises par ces autres administrations de l’Etat. Cette situation conduirait à une protection imparfaite des données traitées, d’ailleurs contraire aux objectifs de la directive " Police-justice ".
40. En l’espèce, il résulte des article 230-8, 230-9 et R. 40-31 et suivants du code de procédure pénale que le procureur de la République et le magistrat référent national jouent un rôle essentiel dans la mise à jour des données du traitement et son contrôle. Ainsi, les textes régissant le TAJ confient, au sein de l’Etat, au ministère de la justice un rôle pour assurer le respect par le traitement des règles fixées par la loi Informatique et libertés. La formation restreinte estime, dès lors, que, sans qu’il soit besoin de se prononcer sur sa qualité de " responsable conjoint " au sens de cette loi, elle est compétente, le cas échéant, pour prononcer à son encontre un rappel à l’ordre et lui enjoindre de prendre les mesures nécessaires au respect de la réglementation. Elle relève d’ailleurs que, si la formation plénière de la CNIL a rendu plusieurs avis présentant le ministère de l’intérieur comme le responsable du traitement, la présidente de la CNIL avait, dès 2015, mis en demeure les deux ministères de la justice et de l’intérieur de permettre à la CNIL de traiter dans les délais impartis les demandes de droit d’accès indirect concernant le traitement du TAJ (Décision 2015-005 du 2 février 2015). Le ministère de l’intérieur y était présenté comme étant le gestionnaire du TAJ et le ministère de la justice comme l’unique responsable de sa mise à jour et les deux ministères avaient alors répondu à la CNIL dans le cadre de la procédure.
D. Sur les manquements
1. Sur le manquement relatif à l’exactitude des données
41. Aux termes de l’article 97 de la loi Informatique et Libertés, " les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition ".
42. L’article 230-8 du code de procédure pénale prévoit quant à lui que : " Le traitement des données à caractère personnel est opéré sous le contrôle du procureur de la République territorialement compétent, qui, d'office ou à la demande de la personne concernée, ordonne qu'elles soient effacées, complétées ou rectifiées, notamment en cas de requalification judiciaire, ou qu'elles fassent l'objet d'une mention. La rectification pour requalification judiciaire est de droit. […] En cas de décision de relaxe ou d'acquittement devenue définitive, les données à caractère personnel concernant les personnes mises en cause sont effacées, sauf si le procureur de la République en prescrit le maintien, auquel cas elles font l'objet d'une mention. […] En cas de décision de non-lieu ou de classement sans suite, les données à caractère personnel concernant les personnes mises en cause font l'objet d'une mention, sauf si le procureur de la République ordonne l'effacement des données à caractère personnel. […]".
43. L’article 230-9 du code de procédure pénale prévoit également qu’ " Un magistrat, chargé de suivre la mise en œuvre et la mise à jour des traitements automatisés de données à caractère personnel mentionnés à l'article 230-6 et désigné à cet effet par le ministre de la justice, concourt à l'application de l'article 230-8.
Ce magistrat peut agir d'office ou sur requête des particuliers. Il dispose des mêmes pouvoirs d'effacement, de rectification ou de maintien des données personnelles dans les traitements mentionnés au premier alinéa du présent article que le procureur de la République. Lorsque la personne concernée le demande, la rectification pour requalification judiciaire est de droit. Il se prononce sur les suites qu'il convient de donner aux demandes d'effacement ou de rectification dans un délai de deux mois. […]. ".
44. La rapporteure relève que la conformité du TAJ repose sur sa mise à jour régulière consistant en la prise en compte des suites judiciaires transmises par les autorités judiciaires ; que les services gestionnaires du TAJ ne sont pas avertis de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui doivent pourtant entraîner la suppression des fiches correspondantes dans le fichier ou l’inscription d’une mention ; qu’en conséquence, l’exactitude des données contenues dans le fichier n’est pas assurée.
45. En défense, le ministère de l’intérieur confirme que la mise à jour du fichier repose sur le ministère de la justice qui est responsable de l’envoi au ministère de l’intérieur des informations nécessaires à l’effacement des données, à leur rectification ou à l’ajout de mention.
46. Le ministère de la justice fait valoir les mesures mises en œuvre afin d’améliorer la mise à jour du traitement. Il indique qu’une dépêche du garde des sceaux a été diffusée le 8 décembre 2022 afin de rappeler la nécessité pour les parquets de s’assurer de la mise à jour des données contenues dans les fichiers de police lorsqu’elle revêt un caractère obligatoire, et acter la création d’un réseau de référents, sous l’autorité du procureur général ou du procureur de la République, ayant pour mission de veiller au respect des règles d’alimentation et de mise à jour des fichiers de police. Il ajoute que les fiches navettes devant être transmises à la police nationale ou à la gendarmerie en fonction du service ayant procédé à l’inscription des données dans le TAJ ont été modifiées et qu’une fiche focus relative au TAJ a été mise en ligne sur l’intranet de la direction des affaires criminelles et des grâces (DACG) afin d’aborder les différentes thématiques relatives au rôle de l’autorité judiciaire dans la mise à jour des fichiers de police judiciaire. Des trames de fiche navette y figurent et sont régulièrement mises à jour, avec les coordonnées des services auxquels elles doivent être adressées.
47. Les ministères de l’intérieur et de la justice indiquent qu’ils mènent conjointement, depuis 2008, des travaux afin de mettre en place des échanges inter-applicatifs qui permettraient une mise à jour automatisée du fichier. Ils indiquent qu’une expérimentation est en cours depuis février 2024 au sein du tribunal judiciaire de Châteauroux mais précisent que cette mise en œuvre se heurte à des difficultés techniques ne permettant pas d’envisager la généralisation de ces échanges inter-applicatifs.
48. Le ministère de l’intérieur ajoute qu’en tout état de cause, la mise à jour du fichier demeurerait incomplète et non fiable puisqu’il n’est pas envisagé que les nouveaux cas de mise à jour du fichier prévus par l’article 230-8 du code de procédure pénale depuis 2018 soient communiqués lors des échanges inter-applicatifs.
49. La formation restreinte rappelle que si le fichier TAJ est bien mis en œuvre par la direction générale de la police nationale et la direction générale de la gendarmerie nationale, c’est le ministère de la justice qui est à l’initiative de la mise à jour de la base de données.
50. Il ressort des articles précités que certaines mises à jour sont obligatoires, en fonction de la suite judiciaire donnée. Ainsi, les données à caractère personnel des personnes doivent de droit être rectifiées, lors d’une requalification judiciaire. Par principe, elles doivent être effacées en cas de décision de relaxe ou d’acquittement devenue définitive, à l’exception des cas où le procureur de la République, ou le magistrat référent, en prescrivent le maintien. Dans ce cas, les données feront l’objet d’une mention, empêchant leur consultation dans le cadre d’enquêtes administratives. A l’inverse, en cas de non-lieu ou de classement sans suite, les données à caractère personnel des personnes mises en cause font en principe l’objet d’une mention, sauf si le procureur de la République, ou le magistrat référent, en prescrivent l’effacement. D’autres mises à jour peuvent intervenir sur requête des intéressés auprès du procureur de la République territorialement compétent ou du magistrat référent si l’inscription relève de plusieurs ressorts de tribunaux judiciaires. Ces magistrats doivent se prononcer sur les demandes d’effacement ou de rectification dans un délai de deux mois. Ils peuvent également agir d’office en ordonnant les rectifications, effacements ou ajouts de mentions qui leurs paraissent nécessaires, notamment en cas de requalification judiciaire ou de décision définitive de relaxe ou d’acquittement, sans attendre la saisine sur requête d’une personne intéressée.
51. La formation restreinte relève qu’à défaut de déploiement d’une procédure de mise à jour automatisée, la mise à jour du TAJ est effectuée manuellement : il ressort ainsi des déclarations effectuées par les services du ministère de l'intérieur et du ministère de la justice, que chaque procédure transmise à une juridiction par la police nationale ou la gendarmerie nationale est accompagnée d’une fiche navette. Cette fiche navette permet, à la fin de la procédure, d’informer le service de police, de gendarmerie ou des douanes en charge du TAJ des suites judiciaires apportées, afin que ces dernières soient répercutées dans le fichier. Ainsi, toutes les décisions de relaxe et d’acquittement devenues définitives, de non-lieu ou de classement sans suite doivent faire l’objet d’une remontée d’information par l’autorité judiciaire, afin que les données à caractère personnel soient effacées ou fassent l’objet d’une mention, conformément à l’article 230-8 du code de procédure pénale.
52. La formation restreinte relève que les contrôles réalisés, et plus particulièrement les réponses aux questionnaires envoyés aux juridictions, ont fait apparaître les différences importantes pouvant exister dans les pratiques des tribunaux et cours d’appel. Ainsi, au jour du contrôle, certaines juridictions ne transmettaient aucune décision au TAJ et d’autres n’en transmettaient que certaines. Le service gestionnaire du TAJ n’était donc pas averti de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui doivent entraîner la suppression des fiches correspondantes dans le fichier ou l’inscription d’une mention. La formation restreinte note que le ministère de la justice a indiqué, lors des contrôles, que si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, il ne décompte qu’environ 300 000 décisions de mises à jour prises par an.
53. Ainsi, faute de transmission par l’autorité judiciaire des mises à jour à opérer dans le TAJ, les services gestionnaires ne sont pas en mesure de s’assurer de l’exactitude des données contenues dans le fichier.
54. En outre, la formation restreinte relève que les mesures mises en œuvre par les ministères depuis les contrôles opérés par la CNIL s’avèrent insuffisantes. Notamment, le fait que les fichiers CASSIOPEE et TAJ ne soient toujours pas interconnectés, ce qui aurait pourtant permis une mise à jour automatisée du TAJ. Par ailleurs, s’agissant des mesures prises par le ministère de la justice, la formation restreinte relève que le rapport annuel d’activité relatif au TAJ pour l’année 2021 faisait déjà état d’échanges réguliers entre le magistrat référent et la DACG afin de promouvoir auprès des parquets la systématisation de l’usage des fiches navettes et de leur envoi aux services gestionnaires ainsi que de la mise à jour régulière du modèle des fiches navettes, mais concluait pour autant que la transmission des fiches navettes apparaissait peu fiable, dépendante des parquets et des pratiques d’envoi différentes des juridictions. Ce rapport reprochait également les délais très variables dans lesquels les fiches navettes étaient transmises.
55. Il ressort de l’ensemble de ces éléments que le ministère de l'intérieur et le ministère de la justice n’ont pas mis en œuvre l’ensemble des mesures raisonnables, au sens de l’article 97 de la loi Informatique et Libertés, leur permettant de s’assurer de l’exactitude des données traitées dans le TAJ. La formation restreinte considère donc qu’un manquement à l’article 97 de la loi Informatique et Libertés est constitué.
2. Sur le manquement relatif à l’information des personnes
56. Aux termes de l’article 104 de la loi Informatique et Libertés, " le responsable de traitement met à la disposition de la personne concernée les informations suivantes :
1° l'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;
2° le cas échéant, les coordonnées du délégué à la protection des données ;
3° les finalités poursuivies par le traitement auquel les données sont destinées ;
4° le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;
5° l'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée ".
57. Les articles 230-8 et R. 40-31-1 du code de procédure pénale prévoient par ailleurs que les personnes concernées doivent être informées lors du maintien de leurs données à la suite d’une décision d’acquittement ou de relaxe devenue définitive ou encore à la suite des demandes de requalification ou d’effacement.
58. La rapporteure relève que l’information communiquée n’est pas spécifique au fichier TAJ et peut être lacunaire, selon les services gestionnaires en charge de la collecte des données ou la qualité des personnes, mise en cause ou victime. Elle souligne en outre que certaines juridictions indiquent ne pas informer les personnes à la suite d’une mise à jour du fichier les concernant, en méconnaissance des dispositions des articles 230-8 et R. 40-31-1 du code de procédure pénale. Ensuite, la rapporteure relève qu’une information relative au TAJ est bien dispensée sur les sites web du ministère de l’intérieur et " service public " et qu’une instruction a été diffusée le 30 mai 2023 par la direction générale de la police nationale à l’ensemble de ses services, comportant une affiche informative à apposer dans tous les lieux accessibles au public ainsi que les lieux privatifs de liberté. Or, elle considère qu’une information en ligne n’est pas accessible pour l’ensemble des personnes concernées et que l’affiche envisagée ne permet pas de comprendre les données qui vont être traitées dans le TAJ.
59. En défense, le ministère de l’intérieur soutient que la mise à disposition des informations relatives au TAJ est assurée par la diffusion au sein du Journal officiel de la publication de l’acte réglementaire autorisant le fichier, ainsi que par la mise à disposition de ces informations sur le site web du ministère et sur le site servicepublic.fr.
Il indique souhaiter néanmoins assurer une meilleure transparence de l’information. S’agissant des personnes mises en cause, la direction générale de la police nationale et la direction générale de la gendarmerie nationale s’engagent à remettre aux personnes concernées, dans le cadre de la garde à vue et de l’audition libre, des formulaires précisant l’ensemble des informations relatives au TAJ prévues à l’article 104 de la loi Informatique et Libertés. Des formulaires similaires, précisant notamment les durées de conservation des données appliquées aux mineurs, seront également remis aux représentants légaux des mineurs qui interviennent nécessairement dans les procédures. La DGGN et la DGPN envisagent également la création d’un support illustré spécialement dédié à leur intention. S’agissant des personnes victimes, la Direction Générale de la Police Nationale s’engage à mettre à jour le récépissé de dépôt de plainte afin d’y ajouter toutes les mentions nécessaires relatives au TAJ. Le ministère de l’intérieur indique que l’ensemble de ces formulaires seront intégrés au plus tard au deuxième semestre 2025.
60. Enfin, le ministère de l’intérieur propose de réaliser une affiche spécifique au TAJ, laquelle reprendrait l’ensemble des mentions prévues par l’article 104 de la loi Informatique et Libertés.
61. La formation restreinte relève à titre liminaire que, si l’article 107 de la loi Informatique et Libertés permet, sous certaines conditions, des restrictions aux droits des personnes et notamment au droit à l’information, ces restrictions doivent être " prévues par l’acte instaurant le traitement ". En l’espèce, aucune disposition ne vient restreindre le droit, pour les personnes concernées, à l’information sur le traitement.
62. La formation restreinte rappelle que dans le champ du titre III de la loi Informatique et Libertés, l’obligation d’information prévue par l’article 104 est interprétée comme autorisant une information générale, et non individuelle, des personnes concernées sur le traitement. La formation restreinte rappelle cependant que la loi Informatique et Libertés impose au responsable de traitement de mettre cette information " à disposition " des personnes, " de façon permanente et sans demande de leur part " (CNIL, SP, 15 septembre 2022, avis sur projet de décret, GSI, n° 2022-094, publié). La formation restreinte rappelle à cet égard que les informations prévues par l’article 104 de la loi précitée doivent être effectivement accessibles aux personnes concernées. Elle relève que la CNIL insiste sur " la nécessité de délivrer une information compréhensible par le plus grand nombre afin de permettre aux [personnes] de prendre conscience des conditions précises dans lesquelles les données à caractères personnel sont susceptibles d’être collectées " (CNIL, SP, 15 décembre 2022, avis sur le projet d’arrêté, " Polygraphe ", n° 2022-125). Enfin, la formation restreinte estime qu’il y a lieu de tenir compte, pour apprécier le caractère suffisamment accessible de l’information mise à disposition du public, des effets concrets du traitement sur les personnes.
63. En l’espèce, la formation restreinte relève que la présence d’une personne dans le TAJ peut entraîner pour elle de lourdes conséquences puisque ce fichier peut être utilisé par les services police, dans le cadre de procédures judiciaires ou encore d’enquêtes administratives. Ainsi, la présence dans le TAJ peut conduire, par exemple, à refuser l’admission à concourir à un emploi public. Si, pour certains fichiers relevant de la directive " Police-Justice ", une information par la publication de l’acte réglementaire au Journal officiel complétée d’une information sur les sites web du ministère de l'intérieur et " service public " peut être suffisante, la formation restreinte considère que, dans le cas du TAJ, cette information ne répond pas à l’obligation posée par l’article 104 de la loi Informatique et Libertés.
64. La formation restreinte relève notamment qu’au moment des contrôles, certaines personnes dont les données sont traitées dans le TAJ pouvaient ignorer jusqu’à l’existence même du traitement puisqu’aucune information spécifique quant à l’existence de ce traitement et l’identité de son responsable n’était communiquée aux personnes mises en cause lors de la collecte de leurs données par la police nationale par exemple. En tout état de cause, la formation restreinte relève que certaines personnes dont les données sont traitées dans le TAJ peuvent n’avoir qu’un accès limité au réseau internet (personnes détenues ou sans domicile, notamment) et que leur droit à l’information se trouve restreint de manière disproportionnée par une information uniquement délivrée par ce biais.
65. En outre, la formation restreinte relève que les données de mineurs peuvent figurer dans le TAJ et rappelle que les mineurs doivent bénéficier d’une information adaptée, conformément au considérant 39 de la directive 2016/680 du 27 avril 2016 précitée qui dispose que les " informations devraient être adaptées aux besoins des personnes vulnérables telles que les enfants ". Ainsi, une attention particulière doit être apportée par le responsable de traitement pour veiller à ce que les mineurs puissent comprendre le traitement mis en œuvre et ses implications, ainsi que les droits dont ils disposent et le moyen de les exercer. Dès lors, la formation restreinte considère qu’une information qui reposerait nécessairement sur une démarche active de leur part n’est pas adaptée en l’espèce (Délibération n° SAN 2021-016 du 24 septembre 2021 prononçant un rappel à l’ordre à l’encontre du ministère de l’intérieur).
66. Les publications au Journal officiel et en ligne n’assurent donc pas une mise à disposition effective de l’information relative au TAJ conforme aux exigences de l’article 104 de la loi Informatique et Libertés.
67. S’agissant deuxièmement de l’information communiquée via l’affiche apposée dans les lieux accessibles au public, la formation restreinte considère qu’elle ne permet pas en l’espèce aux personnes concernées de connaître les données qui seront traitées dans le TAJ puisque seules les photographies des personnes sont indiquées comme étant susceptibles d’être mentionnées dans le fichier. La formation restreinte considère que l’information communiquée par ce biais est incomplète.
68. S’agissant enfin des mesures annoncées par le ministère de l’intérieur, la formation restreinte relève qu’elles permettront au plus tard au deuxième semestre 2025, un accès à l’information à ces personnes lors de la collecte de leurs données. En outre, la formation restreinte relève que le ministère de l’intérieur s’engage à modifier l’affiche apposée dans les lieux accessibles au public afin qu’elle présente l’ensemble des informations exigées par l’article 104 de la loi Informatique et Libertés. La formation restreinte considère que l’ensemble de ces mesures permette d’assurer le droit à l’information des personnes concernées.
69. Au regard de l’ensemble de ces éléments, la formation restreinte considère donc que les faits précités constituent un manquement à l’article 104 de la loi Informatique et Libertés mais que le ministère de l’intérieur s’est mis en conformité avec les exigences de l’article précité, de sorte qu’il n’y a pas lieu à adresser une injonction sur ce point. La formation restreinte considère néanmoins que le manquement est constitué pour les faits passés.
3. Sur le manquement relatif aux droits d’accès, de rectification et d’effacement des personnes
70. Les articles 105 et 106 de la loi Informatique et Libertés prévoient que la personne concernée a le droit d'obtenir du responsable de traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées et, lorsqu'elles le sont, le droit d'accéder auxdites données et que ces dernières soient rectifiées, complétées ou effacées le cas échéant.
71. L’article R. 40-33 du code de procédure pénale prévoit que les droits d’information, d’accès, de rectification et d’effacement s’exercent directement auprès du responsable du traitement.
72. La rapporteure relève que les services gestionnaires du TAJ éprouvent des difficultés à obtenir des réponses de la part des parquets consultés dans le cadre des demandes de droit d’accès de particuliers et considère qu’ils ne sont donc pas en mesure de prendre en compte les droits d’accès, de rectification et d’effacement des personnes s’agissant de leurs données à caractère personnel présentes dans le TAJ dans le délai de deux mois prévu, en raison du temps de réponse ou de l’absence de réponse des parquets saisis.
73. En défense, le ministère de l’intérieur indique que des mesures de rappel ont été adressés aux juridictions par le garde des sceaux le 8 décembre 2022 et par le magistrat référent en mai 2023. Il confirme néanmoins que les services gestionnaires dédiés aux demandes des droits d’accès rencontrent des difficultés dans la mise en œuvre du traitement du droit d’accès au TAJ dans le délai légal de deux mois en raison de réponses incomplètes, tardives, voire à une absence de réponse de la part des parquets.
74. Le ministère de l’intérieur soutient avoir optimisé son organisation afin d’accélérer le traitement des droits d’accès, notamment avec la création au sein du service central du renseignement criminel de la gendarmerie nationale depuis le 8 février 2024, d’une cellule uniquement dédiée aux demandes des droits d’accès, permettant, lorsque la suite judiciaire est connue, un traitement des demandes allant de trois à dix jours. Une réorganisation du service DATA-I, le département des technologies appliquées à l’investigation, a également été menée, afin de répondre aux obligations légales et réglementaires, aux attentes de la CNIL et aux fortes exigences de qualité attendues : deux officiers encadrent désormais le groupe de traitement des droits d’accès, composé d’onze effectifs.
75. Le ministère de la justice indique quant à lui qu’une dépêche du 31 juillet 2015 a été diffusée à l’ensemble des procureurs généraux et des procureurs de la République, leur rappelant la nécessité de respecter le délai imparti pour se prononcer sur les suites des demandes d’accès. Il indique que la fiche focus relative au TAJ contient également un rappel des délais à tenir en cas de saisine d’une demande par un particulier. Ensuite, il précise que la dépêche diffusée le 8 décembre 2022 par le garde des sceaux aux juridictions contient des trames de décisions-types du procureur de la République afin de faciliter le traitement des requêtes des particuliers. Enfin, il soutient que le stock de demandes restant à traiter est passé de 777 dossiers au 31 décembre 2022 à 511 au 31 décembre 2023.
76. La formation restreinte considère que seul le ministère de la justice peut permettre le traitement des demandes d’accès, de rectification ou d’effacement lorsque les suites judiciaires sont inconnues des services gestionnaires du TAJ au sein de la police, de la gendarmerie nationale et des douanes. Elle constate qu’en raison du temps de réponse des parquets saisis, les services gestionnaires rencontrent toujours des difficultés dans la mise en œuvre des modalités de traitement du droit d’accès au TAJ dans le délai légal de deux mois, imparti pour traiter la demande et répondre au requérant, et cela, malgré l’optimisation de l’organisation des services gestionnaires par le ministère de l’intérieur. Elle relève que lors des contrôles, la délégation a été informée que dans 60 % des cas, les parquets ne répondent pas aux demandes des services gestionnaires saisis de demande d’accès. Elle constate donc qu’un nombre important de demande de suites judiciaires dans le cadre des droits d’accès reste sans réponse de la part des parquets.
77. Elle considère que le fait que 511 demandes de droit d’accès restent à traiter au 31 décembre 2023 démontre la persistance du manquement malgré la communication des trames de décisions-types en décembre 2022 devant faciliter le traitement des requêtes des particuliers.
78. Au regard de ces éléments, la formation restreinte considère que les ministères de la justice et de l’intérieur ne sont pas en mesure de prendre en compte les droits d’accès, de rectification et d’effacement des personnes dont les données figurent dans le TAJ dans les délais prévus et en conséquence que les réponses aux demandes de droits d’accès, d’effacement et de rectification ne peuvent être effectives. Elle considère que les faits précités constituent un manquement aux obligations qui découlent des articles 105 et 106 de la loi Informatique et Libertés.
III. Sur les mesures correctrices et leur publicité
79. Aux termes du III de l’article 20 de la loi du 6 janvier 1978 modifiée : " lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du 27 avril 2016 ou de la présente loi, le président de la Commission nationale de l'informatique et des libertés peut […] saisir la formation restreinte de la commission en vue du prononcé, après procédure contradictoire, de l'une ou de plusieurs des mesures suivantes :
1° Un rappel à l'ordre ;
2° Une injonction de mettre en conformité le traitement avec les obligations résultant […] de la présente loi [..] ".
80. En vertu du 7° du III de l’article 20 de la loi du 6 janvier 1978 modifiée, dans le cas où le traitement de données à caractère personnel est mis en œuvre par l’État, il ne peut être prononcé une amende administrative.
81. La rapporteure propose à la formation restreinte que soient prononcés un rappel à l’ordre ainsi qu’une injonction de mettre le traitement en conformité avec les dispositions la loi Informatique et Libertés. Elle propose également que cette décision soit rendue publique.
82. En défense, les ministères ne répondent pas s’agissant de la mesure proposée par la rapporteure.
83. La formation restreinte considère que les manquements précités justifient que soit prononcé un rappel à l’ordre à l’encontre du ministère de l'intérieur et du ministère de la justice pour les motifs suivants.
84. La formation restreinte relève la sensibilité particulière des données traitées dans le TAJ, qui comprennent à la fois des données directement identifiantes et des données révélant la participation réelle ou supposée à des infractions délictuelles ou criminelles. La formation restreinte rappelle que la présence dans le TAJ peut avoir des conséquences considérables dans la vie des personnes, notamment en cas d’infractions, mais aussi lorsque des enquêtes administratives sont opérées en cas de demande d’acquisition de la nationalité française, participation à un concours ou encore avant l’attribution d’un emploi dont l’accès est règlementé. Le maintien de mentions inexactes dans le fichier est de nature à porter gravement atteinte, et de façon potentiellement irréversible, aux droits fondamentaux des personnes qui font l’objet de ces enquêtes.
85. La formation restreinte relève également qu’un très grand nombre de personnes est concerné par ce fichier qui répertoriait plus de 103 millions d’affaires en décembre 2021. Elle note aussi que ce traitement concerne des mineurs, pour lesquels une attention particulière doit être portée, par le responsable de traitement, au respect de l’ensemble de leurs droits.
86. La formation restreinte rappelle que les données sont conservées pour des durées allant de cinq à 40 ans pour les infractions les plus graves. Or elle relève que, malgré la sensibilité du fichier, de nombreuses données y sont conservées en raison d’un défaut de mise à jour du TAJ.
87. Elle relève les efforts déployés par le ministère de l’intérieur et le ministère de la justice depuis 2008 pour rendre efficiente la mise à jour du TAJ mais constate que les travaux d’interconnexion des fichiers CASSIOPEE et TAJ n’ont pas abouti et qu’ils se heurtent toujours à des difficultés techniques. Elle considère que l’exercice des droits n’est pas garanti en raison de l’absence de mise à jour efficace du fichier.
88. Elle relève également que les carences relatives à l’information des personnes quant à leur inscription dans le TAJ et à leurs droits, comme la nécessaire connaissance spécifique du nom du fichier TAJ, empêchaient nécessairement que les personnes concernées exercent de manière effective et efficace, leurs droits auprès de l’administration. Elle relève cependant la volonté du ministère de l’intérieur d’améliorer la transparence de l’information par la transmission de formulaires aux personnes concernées, ainsi que par l’apposition d’une affiche dans les locaux de signalisation, présentant l’ensemble des informations prévues à l’article 104 de la Loi Informatique et Libertés.
89. Elle considère également que l’exercice des droits des personnes n’est pas non plus garanti en raison des délais dans lesquels les demandes sont traitées.
90. Enfin, la formation restreinte rappelle que la CNIL évoquait le TAJ dans son rapport d’activité de 2018 et y formulait plusieurs points d’attention sur le nouveau dispositif d’exercice direct des droits, de sorte que la problématique relevée lors des contrôles de 2022 n’est pas nouvelle.
91. Si la formation restreinte est consciente des contraintes, financières, techniques et organisationnelles, pesant sur les ministères, elle estime néanmoins que ces derniers n’ont pas engagé les moyens suffisants à la mise en conformité du fichier, malgré la nécessité de s’assurer que les données qu’ils traitent sont exactes et tenues à jour et que l’information et les droits des personnes sont respectés.
92. La formation restreinte estime que les éléments précités rendent également nécessaire qu’une injonction soit prononcée.
93. Enfin, et pour les mêmes raisons, la formation restreinte estime nécessaire que sa décision soit rendue publique. Elle relève, sur ce point, l’ancienneté de la problématique concernant un fichier mis en œuvre par des acteurs publics, ayant notamment pour objet la constatation des infractions. Enfin, le nombre important de personnes concernées et la sensibilité du traitement dès lors que sont intégrées au fichier des données en lien avec l’identité des personnes, mises en cause et victimes, notamment les informations sur leur état civil, leur adresse, leur profession ainsi que leur photographie. Enfin la formation restreinte relève que le fichier traite également les données des personnes mineures. Les durées de conservation de ces données ainsi que les conséquences de la consultation du fichier sur la vie privée des personnes sont également des éléments justifiant la publicité de la mesure.
PAR CES MOTIFS
La formation restreinte de la CNIL, après en avoir délibéré, décide de :
• prononcer un rappel à l’ordre à l’encontre du ministère de l’intérieur au regard des manquements constitués aux articles 97, 104, 105 et 106 de la loi Informatique et Libertés ;
• prononcer un rappel à l’ordre à l’encontre du ministère de la justice, au regard des manquements constitués aux articles 97, 104, 105 et 106 de la loi Informatique et Libertés ;
• prononcer à l’encontre du ministère de l'intérieur et à l’encontre du ministère de la justice, une injonction de mettre en conformité les traitements visés avec les obligations résultant de l’article 97, 105 et 106 de la loi Informatique et Libertés, et en particulier :
- s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont pas à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le TAJ ;
- s’agissant du manquement relatif à l’exercice des droits des personnes, prendre toutes les mesures raisonnables pour garantir que les droits d’accès, de rectification et d’effacement soient assurés, par exemple en mettant en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce qu’une réponse soit systématiquement apportée dans les deux mois aux services gestionnaires du TAJ à la suite d’une demande d’accès, de rectification et d’effacement.
• assortir les injonctions d’un délai de mise en conformité expirant le 31/10/2026, les justificatifs de la mise en conformité devant être adressés à la formation restreinte;
• rendre publique, sur le site de la CNIL et sur le site de Légifrance, sa délibération, qui n’identifiera plus nommément les ministères à l’expiration d’un délai de deux ans à compter de sa publication.
Le président
Philippe-Pierre CABOURDIN
Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.