CNIL 2024 & 2021 FICHIERS "POLICE" FAED EMPREINTES DIGITALES

CNIL    Ξ    ACTUALITE DES SANCTIONS DE LA FORMATION RESTREINTE   Ξ  

 

8 janvier 2024 - FAED 1 / CNIL O

Fichier Automatisé des Empreintes Digitales : Pas d'astreinte ! Pas de stress !

Plus de 2 ans après son prononcé, la CNIL clôture la procédure d'injonction qui imposait au Ministère de l'Intérieur de se mettre en conformité avant le 31 octobre 2021 ...

Peut-on se hasarder à considérer, sans crainte, que la CNIL aura fait une fleur au Ministère de l’Intérieur ? Doit-on y déceler une sorte de discrimination positive de la part d’une Autorité de Régulation pourtant très stricte quant au respect des injonctions faites aux Responsables de Traitements de se mettre en conformité dans le délai qu’elle aura décidé? L’exception, le privilège légal dont bénéficie l’Etat dans le fait de ne pouvoir être condamné au paiement d’une astreinte, pourrait vraisemblablement expliquer cela en ces termes… Pas d’astreinte ! Pas de stress !

Si l’on peut comprendre, en effet, que la mise en conformité des manquements concernant la sécurité des données nécessite temps et moyens, si l’on peut admettre que prendre des mesures organisationnelles pour vérifier l’exactitude des données et procéder, le cas échéant, aux effacements corrélatifs puisse être long et contraignant, il est difficilement admissible que le minimum minimorum d’un simple rappel des mentions d’information relatives aux droits d’accès, de rectification… reprises dans une affiche apposée dans les locaux de garde à vue ou ajoutées à la notification des droits du gardé à vue ne puisse être réalisé dans le temps de l’injonction et nécessite au Ministère un délai de plus de 18 mois pour se mettre en conformité 

 

V. modèle d’affiche apposée sur un panneau d’informations générales de la salle d’attente d’un commissariat d’Ile-de-France, perdue au beau milieu d’une multitude d’autres affiches et flyers…

 

CNIL * SAN-2024-001 du 8 janvier 2024

 

EXTRAITS CHOISIS

CNIL    Ξ    ACTUALITE DES SANCTIONS DE LA FORMATION RESTREINTE   Ξ  

 

24 septembre 2021 - FAED 1 / CNIL O

Le Ministère de l'Intérieur se voit sanctionné par la CNIL pour ne pas avoir pris en considération les droits informatique et libertés des justiciables dont les empreintes digitales ont été prises dans le cadre de leur placement en garde à vue

La CNIL sanctionne le Ministère de l’Intérieur, après plusieurs années d’un contrôle initié le 20 décembre 2018, pour avoir gravement manqué à ses obligations dans le traitement des données présentes dans le Fichier Automatisé des Empreintes Digitales (FAED)aka le fichier de police judiciaire d’identification n’étant censé inclure que les empreintes digitales des personnes mises en cause dans le cadre de procédures pénales ou administratives (gardes à vue, rétention administrative d’un étranger en situation irrégulière…) et notamment:

  • => pour n’avoir fourni aux personnes concernées mis en cause aucune information quant à leurs droits – droits d’accès, de rectification, d’effacement, de limitation du traitement de données les concernant,

 

  • => pour avoir conservé un volume important de données — plus de 2 millions de fiches FAED illicites relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite —  après l’expiration du délai légal au-delà même de 25 années pour certaines fiches

 

  • => pour avoir conservé des données supplémentaires de l’enquête pénale ne devant pas figurer au FAED (nom de la victime,  le numéro d’immatriculation d’un véhicule…)

 

La CNIL relève en outre un défaut de sécurité manifeste dans l’accès au fichier FAED, ce qui aggrave d’autant plus les risques de fuite d’informations et d’atteinte à la vie privée concernant des mis en cause précedemment placés en garde à vue et qui auraient obtenu notamment par la suite un avis de classement sans suite, une relaxe, ou un non-lieu à poursuites.

 

Un rappel à l’ordre et une injonction de mettre en conformité avant le 31 octobre 2021 avec les obligations prévues par le RGPD les traitements de données concernés (FAED...) étaient prononcés par la CNIL à l’encontre du Ministère de l’Intérieur.

 

 

EMPREINTES DIGITALES – 08 JANVIER 2024 – La CNIL clôture l’injonction qu’elle avait prononcée en 2021 pour défaut de conformité du FAED

11. Sur l’information des personnes, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur qu’une instruction a été diffusée le 30 mai 2023 par la direction générale de la police nationale à l’ensemble de ses services, comportant une affiche informative à apposer dans tous les lieux accessibles au public et en particulier les lieux privatifs de liberté. La formation restreinte relève que si cette affiche reprend bien les informations figurant à l’article 104 de la loi du 6 janvier 1987 relative à l’informatique, aux fichiers et aux libertés, elle renvoie cependant à la consultation d’une rubrique intitulée ” rubrique protection des données “, inexistante sur le site web du ministère de l’intérieur. La formation restreinte relève néanmoins l’existence, sur ce site web, d’une rubrique intitulée ” Politique de confidentialité ” dont le contenu porte sur la protection des données. La formation restreinte invite donc le ministère de l’intérieur à modifier l’intitulé de la rubrique relative à la protection des données visée par l’affiche informative afin qu’elle corresponde à celui mentionné sur le site internet www.interieur.gouv.fr. Sous réserve de cette modification, la formation restreinte considère que le ministère de l’intérieur s’est conformé à l’injonction sur ce point.

“7. Sur la licéité du traitement, la formation restreinte relève d’abord qu’il ressort des éléments fournis par le ministère de l’intérieur que la modification du décret du 8 avril 1987 portant création du FAED et l’analyse d’impact relative à la protection des données correspondantes sont en cours d’instruction et de finalisation. La formation restreinte relève que le ministère de l’intérieur indique que la nouvelle version du décret prévoira expressément la collecte du nom et du prénom de la victime, du numéro d’immatriculation, de la marque et du type de véhicule sur lequel l’empreinte digitale ou palmaire a été prélevée. La formation restreinte relève que la CNIL a été saisie d’une demande d’avis relative à la nouvelle version du décret et considère que la régularisation du traitement est en cours. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur que l’effacement de l’ensemble des fiches de signalisation papier était réalisé au 24 avril 2023. La formation restreinte considère que les mesures énoncées permettent de considérer que le ministère de l’intérieur s’est conformé à l’injonction sur ce point”.

8. Sur la durée de conservation des données, la formation restreinte relève que le ministère de l’intérieur indique avoir mis en place un apurement semi-automatisé hebdomadaire des données dont la date de conservation est dépassée et que ce délai court désormais à compter de l’établissement de chaque fiche de signalisation. La formation restreinte relève également qu’il ressort des éléments fournis par le ministère de l’intérieur que l’ensemble des signalisations dont la date d’expiration est dépassée seront supprimées à partir de la fin du troisième trimestre 2023. Elle considère que ces mesures permettent de considérer que les données à caractère personnel sont conservées uniquement pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.

9. Sur l’exactitude des données traitées, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur qu’un nouveau modèle de ” fiche navette ” a été mis en place depuis une dépêche n° DP 2022/0037/H18 en date du 8 décembre 2022 permettant au ministère de l’intérieur d’être correctement informé des décisions prises par les autorités judiciaires afin de les répercuter dans le FAED et que la création d’un réseau de référents dédiés dans les parquets est prévue. Elle considère que ces mesures permettent de garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour, soient effacées ou rectifiées sans tarder.

10. Sur la sécurité des données traitées, la formation restreinte relève d’abord qu’il ressort des éléments fournis par le ministère de l’intérieur que, depuis octobre 2021, il est imposé que l’accès au FAED soit fait au moyen de la carte agent associée à un code PIN […]. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur que des instructions ont été communiquées par le service national de police scientifique, préconisant la suppression des clichés de signalisation conservés en format papier ou informatique en dehors du FAED ainsi que des relevés signalétiques conservés en dehors du FAED. La formation restreinte considère que ces mesures permettent de garantir un niveau de sécurité adapté au risque“.

12. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le ministère de l’intérieur a satisfait aux injonctions.”

CNIL * Délibération n° SAN-2024-001 du 8 janvier 2024

FICHIER AUTOMATISE DES EMPREINTES DIGITALES – Finalités et Durée de Conservation des données inscrites au FAED (Décret n°87-249 du 8 avril 1987)

 Mis en œuvre par le SNPS (service national de police scientifique) du Ministère de l’Intérieur, le FAED enregistre les traces relevées dans le cadre d’une enquête pour crime ou délit flagrant, d’une enquête préliminaire, d’une commission rogatoire, d’une enquête ou d’une information pour recherche des causes de la mort ou d’une disparition, d’une enquête consécutive à la découverte d’une personne grièvement blessée, lorsque la cause de ses blessures est inconnue ou suspecte, et de l’exécution d’un ordre de recherche délivré par une autorité judiciaire.

Le FAED contient les empreintes digitales et palmaires relevées dans le cadre d’une procédure pénale concernant des personnes à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient pu participer, comme auteur ou comme complice, à la commission d’un crime ou d’un délit, ou des personnes mises en cause dans une procédure criminelle ou délictuelle, dont l’identification certaine s’avère nécessaire.

Le FAED enregistre des données à caractère personnel de personnes dont la signalisation a été effectuée:

-en vue de faciliter la recherche et l’identification, par les services de la police nationale et les unités de la gendarmerie nationale ainsi que par le service national de la douane judiciaire, des auteurs de crimes et de délits et de faciliter la poursuite, l’instruction et le jugement des affaires criminelles et délictuelles dont l’autorité judiciaire est saisie
-en vue de faciliter la recherche et la découverte des mineurs et majeurs protégés disparus ainsi que celles des majeurs dont la disparition présente un caractère inquiétant ou suspect eu égard aux circonstances, à l’âge de l’intéressé ou à son état de santé
-en vue de faciliter l’identification dans un cadre judiciaire des personnes décédées ainsi que l’identification des personnes découvertes grièvement blessées dont l’identité n’a pu être établie
-en vue de faciliter l’identification dans un cadre extrajudiciaire des personnes décédées.

Le FAED peut être consulté:

-en vue de permettre l’identification d’un étranger
-en vue de permettre l’identification des personnes dans le cadre de la procédure de vérification d’identité.

La durée de conservation des données biométriques et autres informations qui lui sont liées est de 15 années, par principe, mais elle peut atteindre 25 ans dans des hypothèses particulières (notamment sur décision du Procureur ou lorsque l’identité n’a pu être établie) ou être réduite à 10 années lorsqu’elles les empreintes sont relevées sur des personnes mineures.

Pour le reste, elles doivent être effacées dans les hypothèses visées à l’article 7-1 du décret, et notamment, en cas de décision de relaxe ou d’acquittement devenue définitive, de décision de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu, sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier.

Décret n°87-249 encadrant le traitement de données FAED

EMPREINTES DIGITALES – 24 SEPTEMBRE 2021 – Injonction de la CNIL au Ministère de l’Intérieur de mettre en conformité le FAED

MINISTERE DE L’INTERIEUR – EMPREINTES DIGITALES

Communiqué CNIL 2021

La CNIL faisant injonction au Ministère de l’Intérieur de mettre en conformité le FAED avant le 31 octobre 2021 en relevant les manquements suivants:

“s’agissant du manquement relatif à la licéité du traitement : ne traiter que les informations visées par l’article 4 du décret no 87-249 et uniquement dans le cadre prévu par ce texte, et notamment veiller à l’effacement des données à caractère personnel contenues dans la rubrique ” informations spéciales ” et à la destruction du ” fichier manuel “, à l’exception des fiches pouvant être conservées à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique ;

s’agissant du manquement relatif à la durée de conservation des données, ne conserver des données sous une forme permettant l’identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, par exemple en mettant en œuvre un système automatisé permettant l’effacement des données à l’expiration des durées prévues par l’article 5 du décret no 87-249, en veillant en particulier à ce que ces durées de conservations courent à compter de l’établissement de chaque fiche signalétique et effacer les données dont la durée de conservation est atteinte ;

s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure normalisée et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le FAED, et notamment :

s’agissant de l’effacement de plein droit, s’assurer que l’ensemble des décisions de relaxe, d’acquittement et de correctionnalisation, même partielles, soient répercutées dans le FAED ;

s’agissant de l’effacement de principe, s’assurer que l’ensemble des décisions de non-lieu et de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu soient répercutées dans le FAED, sans décision expresse contraire du procureur de la République compétent ;

s’agissant du manquement relatif à la sécurité des données, mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque : en imposant par exemple que l’accès au FAED nécessite une connexion à l’aide de la carte-agent et d’un code PIN ; en veillant à ne traiter de données à caractère personnel que dans les conditions sécurisées définies pour la mise en œuvre du fichier central du FAED à l’issue des opérations de signalisation, notamment dans les locaux de signalisation, par exemple en donnant des instructions en ce sens aux services en charge de la collecte des données.

s’agissant du manquement relatif à l’information des personnes, s’assurer qu’une information conforme aux exigences de l’article 104 de la loi no 78-17 du 6 janvier 1978 est fournie aux personnes concernées”

CNIL * Délibération SAN-2021-016 du 24 septembre 2021