Le 24 septembre dernier, la CNIL[1] a rappelé à l’ordre le ministère de l’Intérieur en raison de ses multiples manquements aux règles relatives à la protection des données dans la mise en œuvre du « FAED ».
[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.
[2] L’article 4 du décret n°87-249 du 8 avril 1987 portant création du Fichier Automatisé des Empreintes Digitales modifié liste de façon exhaustive les données pouvant être collectées lors de la prise d’une empreinte digitale.
Créé en 1987, le [2]« Fichier Automatisé des Empreintes Digitales » vise à faciliter la recherche des auteurs de crimes et de délits, ainsi que des personnes disparues, décédées ou grièvement blessées.
Pour atteindre cet objectif, ce logiciel centralise et met en relation les enregistrements des empreintes digitales et palmaires des individus mis en cause dans une procédure pénale, ou relevées sur les lieux d’infractions.
La gestion de ce FAED n’est pas anecdotique puisqu’il contient des données biométriques ayant vocation à identifier une personne physique de manière unique, autrement dit des données sensibles. Des informations exploitées qui plus est à grande échelle, puisque le nombre de suspects inscrits ne se compte pas sur les doigts d’une main. En décembre 2018, près de 6,3 millions d’empreintes y étaient ainsi consignées.
- Pourquoi le ministère de l’Intérieur s’est-il fait taper sur le bout des doigts par l’autorité de contrôle ?
Cinq violations du Règlement Général sur la Protection des Données (RGPD) lui sont reprochées.
La conservation de données non prévues par les textes
D’une part, la CNIL a découvert que des informations autres que celles strictement autorisées par la loi sont traitées au sein du FAED. L’autorité régulatrice révèle que certaines données ne devant en principe pas apparaître dans les fiches de signalisation y figurent pourtant illicitement, telles que le nom des victimes ou le numéro d’immatriculation des véhicules impliqués dans l’affaire.
D’autre part, l’enquête démontre que le ministère de l’Intérieur possède encore un « fichier manuel » au sein duquel sont conservées en format papier plus de 7 millions d’anciens dossiers.
Or le fondement juridique ayant institué ce fichier manuel a été abrogé en 2001. Seul un traitement automatisé des empreintes digitales recueillies est aujourd’hui possible.
En l’absence de tout texte légitimant cette pratique, la conservation des éléments compris dans ce fichier manuscrit est dès lors dépourvue de base légale.
Si la CNIL reconnaît que la destruction complète de cette version « manuelle » du FAED ne peut se faire en un claquement de doigt, elle reproche au ministère de l’Intérieur son inaction depuis plus de 20 ans et l’absence de calendrier précis pour atteindre ce but.
La loi exige l’effacement du FAED des fiches des personnes ayant fait l’objet d’un jugement de relaxe, d’acquittement, de non-lieu ou classement sans-suite. Toutefois, la CNIL observe que ces suppressions ne sont opérées que de manière largement lacunaire.
Le ministère de l’Intérieur impute cette négligence aux pratiques des différents tribunaux et cours d’appel, qui ne transmettraient pas systématiquement leurs décisions au service gestionnaire du FAED.
La CNIL considère toutefois qu’il revient au ministère de l’Intérieur, en sa qualité de responsable de traitement, de prendre toutes les mesures raisonnables pour garantir que les données personnelles erronées, incomplètes ou n’étant plus à jour soient effacées sans tarder.
Il lui incombe de veiller au doigt et à l’œil à la rigueur des juridictions quant au transfert des informations nécessaires à l’actualisation du fichier FAED. L’autorité régulatrice préconise par exemple l’édition de modalités opérationnelles précises ou l’attribution de moyens humains ou techniques dédiés aux magistrats.
Si les textes concevaient initialement que l’intégralité des données contenues dans le FAED puissent y être archivées durant 25 ans, un décret de 2015 est venu préciser ces standards. La réglementation nouvelle prévoit ainsi une durée de conservation s’échelonnant de 10 à 25 années, variant cette fois selon la gravité de l’infraction, la qualité de la personne concernée (mineure/majeure) et l’ampleur de l’affaire (nationale/internationale).
L’autorité de contrôle rapporte cependant que le ministère de l’Intérieur ne tient en pratique pas compte de cette réforme, et continue d’appliquer uniformément l’ancienne durée de conservation de 25 ans.
L’insuffisance des mesures de sécurité adoptées
Conformément aux dispositions du RGPD, il incombe au responsable d’un traitement de données de prendre « les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ». Cette obligation de protection est accrue en présence de données sensibles.
La CNIL estime que le ministère de l’Intérieur n’a pas répondu aux exigences auxquelles il est tenu à cet égard, notamment compte tenu du fait :
- Que la méthode d’authentification au FAED est inappropriée. En effet, les forces de l’ordre peuvent s’y connecter par la simple combinaison d’un identifiant et d’un mot de passe et non via une carte-agent ;
- Que certaines informations sont stockées en dehors de la plateforme (au sein de tableurs Excel dans les locaux de garde-à-vue, des appareils permettant la réalisation des clichés d’identification…) ;
- Que l’accès aux locaux dans lesquels se trouvent les terminaux permettant de se rendre sur le portail du FAED n’est pas suffisamment restreint, des tiers étant susceptibles d’y transiter (avocats, médecins...) ;
- Que les professionnels habilités à consulter le logiciel n’ont pas été convenablement sensibilisés aux enjeux liés à la protection des données personnelles.
Le manque d’information des personnes concernées
Le RGPD impose que les personnes concernées soient à minima informées de l’existence du traitement de données, de ses principales caractéristiques, ainsi que des droits dont elles disposent pour conserver la maitrise de leurs données.
Or, aucune indication n’est donnée directement aux individus dont les empreintes sont prélevées : ni au moment de la collecte de leurs données, ni à celui du prononcé d’une décision judiciaire à leur encontre.
Le ministère de l’Intérieur se défend en indiquant qu’une communication sur les conditions de mise en œuvre du Fichier FAED est disponible sur sa page Internet ainsi que sur le site web « service public ».
La CNIL considère ces publications comme trop généralistes. Les renseignements en ligne du ministère ne satisfont pas les règles imposées par la législation en vigueur en matière de protection des données, qui ordonnent une délivrance individuelle des informations aux personnes visées.
Conclusions
Après avoir mis le doigt sur ces nombreux manquements, la CNIL a prononcé un rappel à la loi contre le ministère de l’Intérieur et l’a enjoint de se mettre en conformité d’ici le 31 octobre 2021.
Si cette sanction n’est pas des plus sévères pouvant être adoptées par la CNIL, elle n’en demeure pas moins symbolique : même les plus hautes instances de l’État ne sont pas à l’abri des investigations de l’autorité régulatrice et de ses éventuelles condamnations.
Il serait sans doute temps pour les instances de l’État de mettre le petit doigt sur la couture du pantalon devant la CNIL et les institutions. Celles croyant pouvoir y échapper pourraient bien un jour s’en mordre les doigts…
Outre l’impact financier de ces contrôles, la publication des sanctions prises par la CNIL affecte la réputation de votre entreprise.
L.H
Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.