Sont en particulier concernées les mises en œuvre du système d’information Schengen (SIS) et du système ECRIS-TCN (pour European Criminal Records Information System – Third Country Nationals, un système centralisé de concordance/non-concordance destiné à compléter la base de données existante des casiers judiciaires de l’UE – ECRIS – sur les ressortissants de pays tiers condamnés dans l’Union européenne).
Comme nous l’avions déjà rapporté, il est prévu que le FAED fasse l’objet d’interconnexions, de rapprochements ou de mises en relation avec plusieurs autres fichiers français et paneuropéens :
La CNIL relève cela dit que, depuis 2015, des exceptions étaient déjà prévues par le décret en vigueur :
Le ministère de l’Intérieur précise qu’à ce jour, l’interconnexion avec le N-SIS ne permet qu’une alimentation manuelle des fiches de signalisation, mais que ce processus sera à l’avenir automatisé. De même, la transmission d’informations dans le TAJ sera réalisée ultérieurement au moyen d’une interconnexion pour automatiser les fusions de dossiers.
La CNIL rappelle que toute mise en relation «
doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés » par leurs actes réglementaires respectifs. De plus, le transfert de données d'une base vers une autre doit, lui aussi, «
concourir aux finalités poursuivies » par les bases associées pour être licite. Après vérification, la CNIL «
estime possibles et légitimes les mises en relation indiquées ».
Eu égard à la sensibilité du fichier, au volume de données traitées et aux durées de conservation particulièrement longues, la CNIL «
recommande vivement » au ministère d'être transparent vis-à-vis du public, et donc d'expliciter l'ensemble des interconnexions sur son site web.
La CNIL rappelle par ailleurs que, compte tenu de la sensibilité des données biométriques et leur vocation à faciliter l'identification d'auteurs d'infractions, «
d'éventuelles erreurs sont susceptibles d'avoir de lourdes conséquences pour les personnes concernées ».
Dès lors, elle insiste pour que toute mise à jour des données contenues dans le FAED soit répercutée dans les autres traitements auxquelles elles ont été transmises.
Le FAED repose sur des briques technologiques « obsolètes »
Compte tenu de la sensibilité des données concernées «
et des risques associés à l'utilisation de briques technologiques obsolètes », la CNIL estime que «
le FAED devrait disposer d'une homologation de sécurité préalablement à toute interconnexion avec d'autres traitements nationaux ou internationaux ».
Et ce, d'autant que la politique de sécurité des systèmes d'information de l'État (
PSSIE) exige que «
tout système d'information de l'État [fasse]
en principe l'objet d'une décision d'homologation avant sa mise en exploitation », et qu'il soit par la suite «
maintenu en condition de sécurité ».
De plus, un
décret de 2022 relatif à la sécurité numérique du système d'information et de communication de l'État précise que les systèmes antérieurs à son entrée en vigueur doivent faire l'objet d'une homologation de sécurité «
dans un délai de deux ans ».
Or, créé en 1987, «
le FAED repose aujourd'hui sur un système d'information ne répondant pas aux exigences actuelles d'une homologation de sécurité ». Et la mise à jour du système «
n'est prévue qu'en 2025 », l'homologation de sécurité ne pouvant avoir lieu qu'après.
Le ministère a répondu à la CNIL que le FAED ne disposera, jusqu'à cette mise à jour, que d'une «
autorisation provisoire d'emploi (APE) ». L'ANSSI précise qu'une APE peut en effet être prononcée pour une courte durée (de trois à six mois), «
si elle est assortie de conditions strictes et d'un plan d'action précis destiné à supprimer les risques trop élevés pour permettre une homologation ».
La CNIL ajoute que les systèmes avec lesquels le FAED sera mis en relation, ainsi que les interconnexions elles-mêmes, devraient faire l'objet d'une homologation de sécurité elles aussi. Mais son avis, pas plus que le décret, ne mentionne ce qu'aurait décidé le ministère en la matière.
Des empreintes conservées jusqu'à 40 ans
Le décret prévoit également un allongement des durées de conservation des empreintes «
recueillies dans un cadre criminel » et des informations associées, qui étaient jusqu'alors conservées pendant 25 ans. Elles pourront désormais être conservées 40 ans, «
ou vingt-cinq ans si elles ont été collectées sur une personne mineure, sauf si le procureur de la République s'y oppose » :
-
- pour les empreintes d'origine inconnue, celles des cadavres ou des personnes découvertes grièvement blessées, non identifiées ou disparues, la durée de conservation ne pouvant être allongée que sur décision du procureur de la République ou du juge d'instruction ;
-
- pour les empreintes des personnes mises en cause dans une procédure pénale et des personnes détenues, cet allongement des durées peut a contrario intervenir « sans la décision du procureur de la République ou du juge d'instruction ».
Le ministère justifie cette modification par :
-
- un alignement sur les durées de conservation du fichier national automatisé des empreintes génétiques (FNAEG) qui peuvent, « dans certaines hypothèses », être conservées pour une durée de 40 ans ;
-
- l'allongement du délai de prescription de l'action publique en matière criminelle, qui est passé de 10 à 20 ans en 2017. Une durée de 40 ans permettrait dès lors de « tenir compte des actes d'enquête et de l'instruction préparatoire qui interrompent le délai de prescription », mais également des points de départ différés pour certaines infractions (« notamment, les infractions sexuelles sur mineur »).
La CNIL précise qu'il peut aussi s'agir de la résolution d'affaires anciennes non élucidées (dites « cold cases »). Le ministère souligne que cela permettra en outre l'identification des cadavres plusieurs années après leur découverte ou l'identification ultérieure d'auteurs d'infractions en cas de récidive.
En l'espèce, la CNIL estime que cette durée de conservation allongée est «
proportionnée » et «
justifiée par les besoins de la procédure pénale ». Seuls la relaxe ou l'acquittement, comme pour toutes les empreintes, conduiront d'autre part à l'effacement anticipé du fichier.
Immatriculation des véhicules, identité des victimes
Le décret prévoit en outre la collecte de nouvelles informations, précise la CNIL :
-
- l'immatriculation, la marque, le type de véhicule « faisant l'objet de relevés d'empreintes d'origine inconnue » ;
-
- les nom et prénom de la victime de l'infraction « lorsque les nécessités de l'enquête ou de l'information le justifient ».
Afin d'encadrer leur usage, le ministère indique mettre en œuvre les garanties suivantes :
-
- aucune de ces informations ne pourra faire l'objet d'une requête dans le FAED ;
-
- la collecte des nom et prénoms de la victime ne sera pas systématique, n'interviendra que si elle est nécessaire (« par exemple si l'adresse de la victime ne suffit pas »), et « n'est prévue que pour les seules empreintes digitales et palmaires d'origine inconnue collectées dans le cadre judiciaire ».
Le ministère précise qu'il s'agit de se repérer sur la scène d'infraction, «
par exemple, lors d'une série de cambriolages dans plusieurs appartements, avec différentes victimes sans numéro de porte pour les distinguer autrement que par le numéro d'étage ».
La CNIL «
reconnaît l'utilité de la collecte de ces nouvelles données », et prend acte de ce que le ministère «
présente des garanties afin d'éviter tout détournement de finalités » et «
notamment, qu'aucune recherche de personnes n'est possible sur ces champs ».
Collecte et identification de la nationalité
Le décret prévoit aussi le recueil de la nationalité des personnes dont les empreintes sont collectées et traitées. Le ministère précise que cette donnée «
n'est pas enregistrée en base active du FAED », mais stockée directement dans la base d'archivage, qui n'est accessible qu'à un nombre restreint de personnes.
De plus, la nationalité ne sera dès lors ni «
consultable » ni «
requêtable », ni directement «
exploitable » par les utilisateurs du FAED. Elle ne sera relevée que pour être transmise au casier judiciaire national, qui est lui-même «
nécessaire au fonctionnement du traitement européen ECRIS-TCN ». Une collecte qualifiée de «
légitime » par la CNIL.
Le décret prévoit par ailleurs que les empreintes collectées dans le cadre d'une vérification d'identité, ou pour permettre l'identification d'un étranger, «
peuvent être comparées avec celles des personnes mises en cause, détenues, disparues et collectées » dans le cadre judiciaire ou transmises dans le cadre de la coopération judiciaire internationale, «
sans toutefois que ces empreintes ne puissent être conservées » dans le FAED.
La CNIL accueille «
favorablement » cette garantie qu'il ne s'agit que d'une comparaison avec les empreintes digitales et palmaires ne pouvant pas donner lieu à un enregistrement des empreintes dans le FAED. Le résultat de cette consultation sera présenté «
sous forme de rapport de rapprochement qui ne contient pas d'empreintes ».
Des données effacées automatiquement ou manuellement
La CNIL relève enfin que l'analyse d'impact relative à la protection des données (
AIPD) fournie par le ministère précise que les données contenues dans le FAED font l'objet d'un «
effacement automatique quotidien » à l'issue des délais réglementaires de conservation, «
sauf pour les empreintes d'origine inconnue », pour lesquelles le système propose une liste d'affaires qui arrivent à expiration et que l'opérateur doit valider manuellement.
FAED peut aussi faire l'objet d'un «
effacement manuel anticipé » :
-
- en cas d'identification de la personne à laquelle elles se rapportent (auteur d'infraction, personne grièvement blessée ou décédée, etc.) ;
-
- à réception de l'avis de la découverte de la personne disparue, sur instruction du procureur de la République ou du juge d'instruction ou, à leur demande, de l'officier de police judiciaire si la prescription de l'action publique est acquise ;
-
- dès réception d'une information émanant du procureur général ou du procureur de la République (en cas de décision de relaxe ou d'acquittement devenue définitive, de classement sans suite ou de non-lieu sur ordonnance du juge d'instruction) sauf si l'autorité judiciaire en prescrit le maintien ;
-
- ou à la demande du magistrat chargé du contrôle du fichier ou de l'intéressé, lorsque l'autorité judiciaire estime que la conservation n'apparaît plus nécessaire.
Pour rappel, la CNIL avait par ailleurs
sanctionné le ministère de l'Intérieur en 2021 pour avoir, notamment, conservé plus de 2 millions de fiches au-delà de la durée de conservation maximale de 25 ans (dont certaines datant de… 1962), mais également 7 millions de fiches au format papier, sans base légale, alors qu'elles auraient dû être détruites.