Au Journal Officiel, création des « Fichiers des objectifs judiciaires »

Alors que la présidence de François Hollande se termine, le très fourni Journal Officiel en date du 11 mai nous apprend la création de nouveaux « Fichiers des objectifs judiciaires ».

Ces deux derniers jours ont été plutôt chargés pour les équipes du Journal Officiel, de nombreux décrets et autres arrêtés devant être publiés avant la passation de pouvoir ce dimanche. Ainsi, c'est seulement dans la soirée que l'édition du 11 mai a été diffusée, avec plus de 400 références.

Des fichiers mis en place en cas de procédure judiciaire

Parmi elles, on trouve un arrêté en date du 5mai portant autorisation de traitements automatisés de données à caractère personnel. Il s'agit ici de permettre au directeur général de la police nationale, au directeur général de la gendarmerie nationale et au préfet de police de mettre en place des « Fichiers des objectifs judiciaires » (FOJ) qui ont fait l'objet d'une délibération de la CNIL (n° 2016-321) en date du 13 octobre 2016.

Ils peuvent en effet contenir de nombreuses informations :

• nom, prénom, surnom, alias ;
• sexe ;
• date et lieu de naissance ;
• adresses ;
• adresses électroniques ;
• numéros de téléphone ;
• numéros d'identification du ou des téléphones (IMEI) ;
• moyens de transport utilisés (marque, immatriculation) ;
• numéro identifiant de l'objectif.

Sont concernées les personnes faisant l'objet d'une procédure judiciaire, une liste de celles qui sont concernées devant être précisée. L'article 7 nous apprend que la mise en œuvre de ces fichiers  est subordonnée à l'envoi préalable à la CNIL « d'un engagement de conformité faisant référence aux dispositions du présent arrêté. Cet engagement de conformité est accompagné d'un dossier de présentation du traitement mentionnant expressément les services et la liste des infractions concernés ». Nous n'en saurons donc pas plus pour le moment.

L'objectif affiché est de « coordonner l'action des services concourant à la répression des infractions pénales (crimes et délits) en répertoriant les personnes faisant l'objet d'investigations dans le cadre d'une enquête judiciaire pour ces mêmes infractions », données qui peuvent être utilisées à des fins statistiques. Sur ce point, la CNIL indique qu'elle « considère que les finalités des traitements FOJ sont déterminées, explicites et légitimes, conformément à l'article 6-2° de la loi du 6 janvier 1978, modifiée ».

Faciliter les échanges, un cadre annoncé comme limité et local

Les FOJ doivent ainsi faciliter le travail des services et « sont notamment destinés à éviter que plusieurs services enquêtent, de manière redondante, sur une même personne » mais aussi « sécuriser le travail des enquêteurs en évitant que les personnes inscrites [dans le FOJ] soient interpellées dans le cadre d'enquêtes distinctes diligentées par d'autres services » à la manière du Fichier national des objectifs judiciaires en matière de stupéfiants (FNOS), créé en 2012.

Ils utilisent d'ailleurs la même architecture technique du système d'alerte. Ce sont néanmoins des fichiers spécifiques qui ne font pas l'objet d'un traitement national, « le champ infractionnel et le périmètre géographique des FOJ pourront varier ». 

La CNIL donne l'exemple d'un FOJ qui a vocation à être mis en œuvre dans les territoires français des Antilles et de la Guyane (FOJAG). « Ce fichier concernera toutes les personnes à l'encontre desquelles il existe une ou plusieurs raisons de soupçonner qu'elles ont commis ou tenté de commettre, un crime ou un délit puni d'au moins cinq ans d'emprisonnement, un délit à caractère économique et financier ou un des délits du code de l'entrée et du séjour des étrangers et du droit d'asile et faisant dès lors l'objet d'une enquête judiciaire sur les territoires précités ». 

« Ce fichier, dont les périmètres infractionnel et géographique peuvent différer d'autres FOJ, fera l'objet d'un engagement conjoint de conformité à l'acte réglementaire unique créé par le présent projet d'arrêté » précise la Commission, qui relève que « la mise en œuvre de différents traitements adaptés aux besoins locaux et opérationnels peut être opportune ».

Elle émet néanmoins quelques réserves et prévient qu'elle ne tolèrera pas d'abus : « Cette possibilité ne doit pas conduire à la création de traitements dont la proportionnalité ne serait pas établie, comme par exemple un fichier au périmètre géographique très étendu et ne concernant que des délits mineurs ».

Un dispositif d'alerte en cas d'informations similaires

Dans le détail de sa délibération, on en apprend un peu plus sur le fonctionnement de ces fichiers et les « objectifs judiciaires », des personnes qui « dans le cadre d'une enquête judiciaire, font l'objet d'investigations dès lors qu'il existe à leur encontre une ou plusieurs raisons de soupçonner qu'elles ont commis ou tenté de commettre une infraction ».

En pratique, les FOJ sont constitués de fiches relatives à ces personnes et accompagnés d'un outil « générant automatiquement des alertes en cas de détection d'éléments communs entre une fiche nouvellement créée et les fiches déjà existantes, au sein du même traitement. Lorsqu'une concordance entre des fiches est identifiée, un message d'alerte est envoyé aux différents enquêteurs ayant créé et validé lesdites fiches » précise la CNIL.

Une alerte peut être lancée dans deux cas : 

• Lorsqu'une similitude entre deux fiches (ou plus) est détectée sur l'un ou l'autre des champs suivants : le numéro de téléphone, l'adresse électronique, l'adresse postale complète, le numéro d'immatriculation du véhicule, et le numéro IMEI du téléphone portable
• Si au moins deux des informations suivantes sont identiques : nom, prénom, date et lieu de naissance

Les FOJ ne permettent par contre pas à ses utilisateurs de « procéder à une recherche sur une personne identifiée et visent uniquement à générer une alerte lorsque deux fiches, renseignées par des services différents, comportent un certain nombre d'éléments communs ». La Commission prend aussi acte « que les différents FOJ ne seront pas mis en relation entre eux ni avec aucun autre fichier ».

Une tracabilité et quelques réserves

L'arrêté précise que des informations complémentaires seront enregistrées, afin d'assurer une tracabilité, comme l'identité des enquêteurs (services, coordonnées), l'identité des magistrats et tribunaux de grande instance d'appartenance, le numéro de procédure et nature des infractions et le cadre juridique.

Ces données « sont nécessaires pour générer une alerte et permettre la mise en relation avec les services concernés par une concordance entre des fiches » indique la CNIL. Une alerte contient ainsi « entre autres les coordonnées des services d'enquête concernés par la concordance, afin que ceux-ci puissent se mettre en contact ».

La Commission précise que « les informations relatives à la procédure doivent permettre, notamment aux supérieurs hiérarchiques de l'agent créant une fiche, de s'assurer que la création de celle-ci respecte bien la finalité du traitement et le champ infractionnel qui aura été défini par les services utilisateurs ».

Elle rappelle néanmoins que le traitement étant réalisé au niveau local, « il demeure indispensable de s'assurer que seuls les agents dûment habilités des services de police nationale ou de gendarmerie nationale, au sein desquels un traitement FOJ est mis en œuvre, accèdent effectivement aux données qu'il contient ».

Des données conservées pour un ou deux ans

Toutes ces données seront conservées un à deux ans à compter de leur enregistrement. Il en va de même lorsque les personnes concernées ne font plus l'objet d'une procédure judiciaire.

Plus précisément, indique la CNIL, « la durée de conservation des données enregistrées dans chaque fiche est d'un an à compter de la validation de cette dernière. Si la fiche est modifiée, un nouveau délai d'un an court à compter d'une telle modification, sans toutefois que le délai total de conservation d'une fiche ne puisse excéder deux ans à compter de sa validation initiale ». Elle estime au passage que l'arrêté aurait pu « être précisé sur ce point ».

Les opérations de création, validation, modification et suppression qui font l'objet d'un enregistrement comprenant l'identification de leur auteur, la date, l'heure et la nature de l'opération sont conservées pendant trois ans. Un système de purge automatique est prévu.

L'arrêté précise que « les droits d'information et d'opposition prévus respectivement aux articles 32 et 38 de la loi du 6 janvier 1978 susvisée ne s'appliquent pas aux présents traitements. Conformément aux dispositions des articles 41 et 42 de la même loi, les droits d'accès et de rectification s'exercent de manière indirecte auprès de la Commission nationale de l'informatique et des libertés ». Compte tenu de la finalité poursuivie par les FOJ la Commission « considère que ces dispositions n'appellent pas d'observation particulière ».

Droit d'accès et organisation hierarchique

L'arrêté (article 4) nous apprend qu'« à raison de leurs attributions et dans la limite du besoin d'en connaître », peuvent accéder à ces données et informations :

• Les officiers de police judiciaire affectés à la direction centrale de la police judiciaire individuellement désignés et habilités par le directeur central de la police judiciaire ;
• Les officiers de police judiciaire affectés à la direction centrale de la sécurité publique, individuellement désignés et habilités par le chef de la division des activités judiciaires de la sous-direction des missions de sécurité ;
• Les officiers de police judiciaire affectés à la direction centrale de la police aux frontières, individuellement désignés et habilités par le directeur dont ils relèvent ;
• Les officiers de police judiciaire affectés dans les directions et services actifs de la préfecture de police, individuellement désignés et habilités par le directeur dont ils relèvent ;
• Les officiers de police judiciaire affectés dans les unités de la gendarmerie nationale, individuellement désignés et habilités par le sous-directeur de la police judiciaire.

La CNIL indique que l'accès « est subordonné à la désignation et à l'habilitation individuelles de l'agent concerné par voie hiérarchique. La commission rappelle néanmoins que, dans la mesure où les traitements FOJ sont mis en œuvre localement, il demeure indispensable de s'assurer que seuls les agents dûment habilités des services de police nationale ou de gendarmerie nationale, au sein desquels un traitement FOJ est mis en œuvre, accèdent effectivement aux données qu'il contient ».

Ainsi, « chaque utilisateur dispose d'habilitations individuelles liées à son profil fonctionnel, correspondant à son rôle ainsi qu'à ses missions. Des profils spécifiques sont ainsi créés ». Trois types sont évoqués :

• l'opérateur de saisie, qui peut créer des fiches et recevoir des alertes ;
• le valideur des fiches, qui peut notamment avoir une vision de l'ensemble des fiches soumises à sa validation et recevoir des alertes sur ces fiches ;
• le gestionnaire qui gère les habilitations, en attribuant les profils d'« opérateur de saisie » ou de « valideur ».

Ce dernier cas concerne des personnes disposant d'un niveau hiérarchique élevé, qui « implique qu'il dispose d'une visibilité renforcée sur l'activité des agents utilisateurs du FOJ ».

L'accès s'effectue à travers CHEOPS NG (portail permettant l'accès à des fichiers de police) et PROXIMA (portail permettant l'accès à des fichiers de gendarmerie) au moyen d'un login et d'un mot de passe. La CNIL rappelle que dans le cas de CHEOPS-NG, « il revient au ministère de s'assurer que l'accès aux données via ce portail fait l'objet de mesures de sécurité suffisamment robustes. En particulier, les fonctionnaires de la police nationale doivent se connecter en priorité à ce portail avec leur carte agent et la saisie d'un code PIN de quatre caractères et, à défaut, avec un mot de passe suffisamment robuste, conforme aux recommandations de la commission en la matière ».

De manière plus générale, la Commission « estime que les mesures de sécurité mises en œuvre sont satisfaisantes au regard des obligations de l'article 34 de la loi du 6 janvier 1978 modifiée. Elle rappelle toutefois que cette obligation nécessite une réévaluation régulière des risques et la mise à jour des mesures de sécurité en tant que de besoin ».