Fichier des empreintes digitales : pourquoi la CNIL sanctionne le ministère de l'Intérieur

Un doigt d'honneur
Droit 20 min
Fichier des empreintes digitales : pourquoi la CNIL sanctionne le ministère de l'Intérieur
Crédits : NicoElNino/iStock

La CNIL vient de sanctionner le ministère de l'Intérieur pour avoir, notamment, conservé plus de 2 millions de fiches au-delà de la durée de conservation maximale de 25 ans (dont certaines datant de... 1962), mais également 7 millions de fiches au format papier, sans base légale. Autant de données qui auraient du être détruites.

La formation restreinte de la CNIL vient de rendre publique sa décision de sanctionner le ministère de l'Intérieur « pour sa mauvaise gestion » du fichier automatisé des empreintes digitales (FAED), et « décidé de publiquement rappeler à l’ordre le ministère de l'Intérieur ».

Cinq manquements concernant la manière dont étaient traitées les données du FAED ont été relevés par la CNIL :

  1. la conservation, dans le fichier, de données non prévues par les textes ;
  2. la conservation de données pendant une durée excédant celle prévue par les textes ;
  3. la conservation de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite ;
  4. une sécurité des données insuffisante en raison d’un mot de passe peu robuste ;
  5. l’absence d’information des personnes concernées.

« Bien que le ministère de l’Intérieur ait entamé des travaux sur la plupart des manquements », précise la CNIL, la formation restreinte a « néanmoins considéré les moyens engagés comme insuffisants ». En conséquence, elle a également décidé d’adopter plusieurs injonctions à l’encontre du ministère :

  • supprimer les fiches d’un ancien « fichier manuel » qui aurait dû être détruit ;
  • effacer les données dont la collecte n’est pas prévue par le décret FAED ;
  • supprimer les fiches dont la durée de conservation est atteinte ;
  • s’assurer que les décisions de relaxe, d’acquittement et de correctionnalisation (lorsqu’un crime est requalifié en délit) soient répercutées dans le FAED ;
  • s’assurer que les décisions de non-lieu et de classement sans suite soient répercutées dans le FAED uniquement en cas de décision expresse du procureur de la République ;
  • renforcer la sécurité de la connexion au FAED ;
  • délivrer une information aux personnes dont les empreintes sont versées au FAED.

Le ministère doit se mettre en conformité sur ces points au plus tard le 31 décembre 2021, sauf en ce qui concerne la suppression du « fichier manuel » qui devra intervenir le 31 décembre 2022.

Près de 6,3 millions d’empreintes de personnes identifiées

La présidente de la CNIL avait en effet décidé, le 20 décembre 2018, d'initier une procédure de contrôle à l’encontre du ministère de l’Intérieur. Objectif : vérifier le respect du RGPD, de la loi Informatique et Libertés et de la directive européenne police-justice de 2016 dans la mise en œuvre du FAED par le service central de la police technique et scientifique, précise la CNIL dans sa délibération.

Le FAED comprenait alors « près de 6,3 millions d’empreintes digitales et palmaires de personnes identifiées en tant que mises en cause pour crimes et/ou délits, ainsi que 240 000 traces non identifiées », sans que l'on sache combien d'empreintes et traces y figurent en 2021.

Plusieurs contrôles sur pièces et sur place, ainsi que des questionnaires envoyés à plusieurs tribunaux, ont « permis de vérifier les modalités de collecte des données du FAED, leur gestion au quotidien, ainsi que leur devenir après les décisions de justice ».

À l’issue de son instruction, la rapporteure a, le 9 avril 2021, fait signifier au ministère de l'Intérieur un rapport détaillant les manquements à la loi Informatique et Libertés qu’elle estimait constitués.

En premier lieu, la délégation a ainsi constaté que « dans certains cas, le nom d’une victime ou le numéro d’immatriculation d’un véhicule y sont enregistrés, alors que ces informations ne font pas partie de celles pouvant être collectées ».

La formation restreinte note cela dit que « ces informations sont enregistrées sous forme d’image et ne peuvent donc pas faire l’objet d’une recherche ».

Dans sa réponse, le ministère de l'Intérieur précise en outre qu’elles ne sont présentes que dans les fiches « traces » d’empreinte relevées sur les scènes de crime ou de délit, et pas dans les fiches « signalisation » des empreintes digitales et palmaires directement relevées sur les personnes identifiées en tant que mises en cause pour crimes et/ou délits.

La formation restreinte n'en souligne pas moins que « le ministère de l'Intérieur ne conteste pas le caractère illicite de ce traitement puisqu’il annonce une modification du cadre réglementaire afin de lui permettre, à l’avenir, de traiter régulièrement ces données qu’il estime nécessaires ».

430 000 fiches datées de 1962 à 1996, et donc illicites

En second lieu, la délégation a constaté qu’« environ sept millions de fiches "signalisation", pour la plupart anciennes (datant parfois de plusieurs dizaines d’années), sont conservées en format papier dans une salle dédiée du service central ».

Ce fichier physique, appelé « fichier manuel », n’est plus alimenté depuis 2017 et comprend à la fois des fiches anciennes (créées avant l’informatisation du fichier) et l’original papier de fiches plus récentes destinées à être scannées et insérées dans le FAED.

Ce traitement avait été créé par une loi de novembre 1943 portant création d’un service de police technique. Le texte avait été abrogé par la loi du 15 novembre 2001 relative à la sécurité quotidienne. « Par conséquent, la conservation de ces fiches ne reposait plus sur aucune base légale et en déduit qu’elle est illicite », relève la CNIL.

Elle « prend acte de l’annonce de la destruction complète du "fichier manuel" dans les quatre ans à venir », mais déplore qu’« aucun calendrier précis n’est annoncé par le ministère de l'Intérieur pour atteindre ce but et que ses affirmations ne sont étayées par aucun élément ».

Elle considère en outre que « le délai de quatre ans avancé par le ministère de l'Intérieur ne saurait être admis, au regard de l’ancienneté des fiches concernées, de la durée du manquement et de la nature des données concernées » :

« A cet égard, la formation restreinte note que le ministère de l'Intérieur a réalisé d’importants efforts pour trier les fiches devant être détruites sans délai de celles devant être scannées et insérées dans le traitement automatisé avant destruction.

Néanmoins, si ces opérations ont conduit à la préparation pour destruction de 430 000 fiches datées de 1962 à 1996, la formation restreinte relève que ce nombre demeure faible au regard du nombre total de fiches comprises dans le "fichier manuel" et que la destruction n’a pas encore été réalisée pour les fiches en question. »

De plus, le ministère de l’Intérieur « a annoncé la destruction des seules fiches papier dont les données ne peuvent plus figurer légitimement dans le fichier automatisé ».

Or, la formation restreinte considère de son côté que « l’absence de base légale du "fichier manuel" empêche la conservation de fiches "signalisation" au format papier, même dans l’hypothèse où les données qu’elles contiennent peuvent légitimement figurer dans le fichier automatisé après avoir été scannées » :

« Elle estime dès lors que la destruction des fiches papier du "fichier manuel" ne saurait se limiter aux fiches dont les données ne peuvent plus figurer dans le traitement automatisé.

La formation restreinte relève d’ailleurs que le ministère de l'Intérieur annonçait, dans sa réponse au rapport de sanction, la "suppression totale du fichier manuel […] accomplie à 100% au plus tard d’ici quatre ans". »

Plus de deux millions de fiches conservées au-delà des 25 ans

La CNIL rappelle au surplus que, depuis 2017, la durée de conservation de principe des traces et empreintes est de quinze ans (dix ans pour les empreintes des mineurs), mais également qu'elle peut être augmentée à vingt-cinq ans (quinze ans pour les empreintes des mineurs) « sur décision de l’autorité judiciaire ou au regard de la qualification de l’infraction ».

Avant cette date, les données étaient conservées « pendant une durée de vingt-cinq ans à compter de l’établissement de la fiche ». Or, au moment du contrôle en janvier 2019, les modalités de conservation des données du FAED ne tenaient pas compte de la modification entrée en application en 2017 :

« Ainsi, les signalisations étaient conservées pendant vingt-cinq ans sans distinction selon l’âge de la personne concernée, le point de départ de ce délai étant en outre calculé à compter de la dernière signalisation de la personne concernée, et non à compter de l’établissement de chaque fiche.

En raison de ce choix, chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai de vingt-cinq ans pour l’ensemble de ses signalisations précédentes, amenant ces données à pouvoir être conservées sans limitation en cas de signalisations régulières. »

La CNIL note cela dit que « des durées réduites étaient prévues pour certaines fiches "traces" (douze ans pour des traces liés à des crimes non résolus et trois ans et demi pour des traces liés à des délits) ».

De plus, « une purge automatique intervenait après vingt-cinq ans si une personne n’avait pas à nouveau été signalisée ».

Pour autant, les constatations de la délégation ont démontré que le FAED contenait, au jour du contrôle, plus de deux millions de fiches conservées au-delà des durées de conservation prévues par les dispositions applicables :

« Elle note que ce manquement n’est pas contesté par le responsable de traitement, qui a indiqué lors de la séance du 1er juillet 2021 que plus de trois millions de fiches concernant 790 000 personnes avaient été supprimées depuis les contrôles réalisés afin de respecter les anciennes durées de conservation. »

De plus, une purge est à présent effectuée mensuellement afin que toutes les fiches dont la durée de conservation a expiré dans le mois soient supprimées.

Des travaux sont également actuellement en cours pour que ce processus soit automatisé et intervienne quotidiennement, et le système devrait être généralisé dès l’automne.

Le ministère de l'Intérieur a par contre expliqué qu’« un tri du fichier manuel avait été intégralement réalisé afin que toutes les fiches datant de plus de vingt-cinq ans soient préparées pour la destruction », respectant ainsi les durées de conservation antérieures à la réforme de 2017.

Pour autant, un travail de qualification selon l’infraction commise et l’âge de l’auteur doit encore être réalisé, d'où ce délai annoncé de quatre ans « pour que ce travail puisse être complètement mené, certaines fiches dont les données peuvent légitimement figurer dans le FAED devant être identifiées puis scannées pour alimentation du fichier automatisé ».

Une conservation par principe des données qui devaient être effacées

La CNIL rappelle également que le décret de 1987 ayant porté création du FAED prévoyait des modalités d’effacement des données après certaines étapes de la procédure judiciaire. Ainsi, les empreintes et les informations les accompagnant « doivent être effacées en cas de relaxe ou d’acquittement définitif », mais pas seulement :

« En cas de décision de non-lieu, de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu, les données doivent en principe être effacées "sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l'infraction ou de la personnalité de la personne concernée".

Enfin, les données peuvent être effacées à la demande de la personne concernée "lorsque leur conservation n’apparaît plus nécessaire pour des raisons liées à la finalité du fichier". »

Or, les contrôles réalisés, et plus particulièrement les questionnaires envoyés aux juridictions, ont fait apparaître les différences importantes pouvant exister dans les pratiques des tribunaux et cours d’appel.

Ainsi, au jour du contrôle, certaines juridictions ne transmettaient « aucune décision » au FAED, et d’autres n’en transmettaient que certaines : « les décisions de relaxe partielle, de correctionnalisation ou de non-lieu n’étaient pas transmises par certaines juridictions », précise ainsi la délibération.

Le service gestionnaire du FAED n’était donc pas averti de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui auraient dû entraîner la suppression des fiches correspondantes dans le FAED.

Si la mise à jour des données du FAED dépend effectivement de la transmission, par les juridictions, de la totalité des fiches navettes au service gestionnaire, la formation restreinte considère néanmoins qu’en sa qualité de responsable de traitement, c’est sur le ministère de l'Intérieur que pèse la responsabilité de l’exactitude des données traitées :

« La formation restreinte considère qu’au regard de cette obligation, le ministère de l'Intérieur avait la charge de mettre en place un cadre permettant de garantir la transmission de l’ensemble des données nécessaires à la mise à jour du fichier, par exemple en fixant des modalités opérationnelles ou des exigences en termes de moyens humains ou techniques engagés. »

Le ministère de l'Intérieur fait valoir, en défense, l’existence d’une circulaire de la direction des affaires criminelles et des grâces (DACG) de 2016 relative au fichier automatisé des empreintes digitales.

Or, la formation restreinte relève qu'elle « ne saurait aboutir à un traitement conforme des données du FAED […] puisqu’elle entraîne la conservation par principe des données, sauf volonté contraire exprimée par le procureur de la République ».

Cette circulaire précise en effet, s’agissant de l’effacement des données par principe en cas de décision de non-lieu, de classement sans suite pour absence d'infraction ou insuffisance de charges ou pour auteur inconnu, sauf décision contraire du procureur de la République, qu’« il peut […] être déduit de la rédaction retenue que le silence du procureur de la République caractérise sa volonté de maintenir les données dans le fichier, afin de préserver les hypothèses de réouverture d’enquête ou d’information judiciaire ».

Sur l’ensemble de ce manquement, le ministère de l'Intérieur a répondu qu’il menait un travail de refonte du formulaire de classement sans suite et qu’un rappel a été fait par la DACG à la direction de l’École nationale de la magistrature. « Cependant, aucune justification n’a été fournie à l’appui de cette déclaration », déplore la CNIL.

Un manquement à la sécurité qui avait déjà été notifié en 2013

Évoquant un « manquement relatif à la sécurité des données », la formation restreinte relève que, « compte tenu des conséquences particulièrement graves que pourrait avoir un accès illégitime aux données du FAED, le fait de permettre la connexion au FAED par la simple combinaison d’un identifiant et d’un mot de passe ne peut être considéré comme une mesure appropriée pour garantir un niveau de sécurité adapté au risque ».

S’agissant de la mise en place de mesures de sécurité renforcée, elle rappelle, d’une part, que chaque fonctionnaire est déjà doté d’une carte-agent unique et identifiante permettant l’accès au fichier : « La généralisation de ce mode de connexion déjà fonctionnel ne présenterait donc pas un caractère disproportionné ».

Elle rappelle, d’autre part, que « la CNIL avait déjà porté à la connaissance du ministère la faiblesse de la méthode d’authentification actuelle, et ce dès 2013 ». En réponse, le ministère de l'Intérieur affirmait déjà, en 2014, que « l’authentification forte par carte-agent serait imposée ».

Si la formation restreinte prend acte des affirmations du ministère de l'Intérieur selon lesquelles l’authentification forte à l’aide de la carte-agent est imposée depuis ce jour pour toute connexion au FAED, elle relève que « ces déclarations ne sont appuyées par aucun élément ni aucune pièce ».

Dans son communiqué de presse, la CNIL précise au surplus avoir constaté que les forces de police peuvent accéder au FAED « en utilisant un mot de passe composé de 8 caractères ». Or, et compte tenu de la sensibilité des données qui figurent dans le FAED, elle considère que ce type de mot de passe n’est pas suffisamment robuste.

La formation restreinte relève en outre qu’au cours des opérations de signalisation, certaines données sont conservées localement dans un terminal informatique présent dans les locaux de garde à vue sous forme de tableurs Excel et autres fichiers informatiques, ou au sein de fiches au format papier. Des photographies demeurent également stockées dans les appareils permettant la réalisation de clichés d’identification.

Or, estime la CNIL, la conservation de ces données en dehors du fichier centralisé du FAED « ne garantit pas l’application de règles de sécurité indispensable pour un traitement présentant une grande sensibilité, telles que les restrictions d’accès, la journalisation des accès, la protection contre la modification ou la suppression, le respect des durées de conservation et la garantie des droits des personnes ».

Si le ministère de l'Intérieur évoque, dans sa réponse au rapport, la rédaction de notes rappelant aux services alimentant le FAED les règles de sécurité à appliquer, ces notes n’ont là encore « pas été fournies et aucune pièce du dossier ne montre que le ministère ait donné des instructions pour faire cesser cette pratique ».

Des fichés susceptibles d’ignorer jusqu’à l’existence même du fichier

Évoquant un « manquement relatif à l’information des personnes », la CNIL a enfin pointé que mis à part une communication sur les sites web du ministère de l’Intérieur (sur le méconnu demarches.interieur.gouv.fr, et non le site principal, au demeurant) et le site web « service public », aucune information n’est délivrée individuellement aux personnes dont les empreintes sont prises puis versées au FAED, de sorte que « les personnes concernées sont susceptibles d’ignorer jusqu’à l’existence même de ce fichier ».

Aucune information relative au FAED n’était en effet affichée dans les locaux de garde à vue du commissariat qu'elle avait contrôlé. Les agents du tribunal judiciaire de Paris et de la cour d’appel de Paris ont pour leur part informé la délégation de contrôle qu’« aucune information n’était communiquée aux personnes concernées, ni par les services de police, ni par le parquet, ni au moment du prononcé ou de la signification de la décision, ni à un autre moment ».

Or, la loi Informatique et Libertés oblige les responsables de traitements à mettre à la disposition des personnes concernées les informations suivantes :

  1. l'identité et les coordonnées du responsable de traitement et, le cas échéant, celles de son représentant ;
  2. le cas échéant, les coordonnées du délégué à la protection des données ;
  3. les finalités poursuivies par le traitement auquel les données sont destinées ;
  4. le droit d'introduire une réclamation auprès de la Commission nationale de l'informatique et des libertés et les coordonnées de la commission ;
  5. l'existence du droit de demander au responsable de traitement l'accès aux données à caractère personnel, leur rectification ou leur effacement, et l'existence du droit de demander une limitation du traitement des données à caractère personnel relatives à une personne concernée

Dans sa réponse, le ministère de l'Intérieur indique qu’une information « va être réalisée par affichage dans les locaux de garde à vue » et que « cette information, générale, portera sur l’ensemble des traitements mis en œuvre par le ministère de l'Intérieur et renverra, pour des mentions d’information complètes, aux deux sites web évoqués ».

La formation restreinte considère cela dit que « cette information ne saurait, à elle seule, constituer une information suffisante » pour répondre à l’obligation posée par la loi informatique et libertés.

D’une part, parce qu'elle n’est pas « directement mise à la disposition de la personne concernée et que sa consultation nécessite une démarche active de la part des personnes concernées, qui n’est possible que si les personnes connaissent l’existence du traitement » :

« Or les personnes dont les données sont traitées dans le FAED peuvent ignorer jusqu’à l’existence même du traitement lorsque, comme en l’espèce, aucune information ne leur est directement communiquée, ni au moment de la collecte des données ni à celui du prononcé de la décision, quant à l’existence de ce traitement et l’identité de son responsable. »

En outre, la formation restreinte relève que « certaines personnes dont les données sont traitées dans le FAED peuvent n’avoir qu’un accès limité au réseau internet (personnes détenues ou sans domicile, notamment), et que leur droit à l’information se trouverait restreint de manière disproportionnée par une information uniquement délivrée par ce biais ».

D’autre part, la formation restreinte relève que les données de mineurs peuvent figurer dans le FAED, et considère qu'ils doivent « bénéficier d’une information adaptée, conformément au considérant no 39 de la directive police-justice qui dispose que "ces informations devraient être adaptées aux besoins des personnes vulnérables telles que les enfants" ».

S’agissant de l’affichage prévu par le ministère de l'Intérieur, la formation restreinte relève par ailleurs qu’aucun calendrier précis de diffusion n’est communiqué pour apprécier les modalités de sa diffusion, et qu’« aucun exemple d’affiche ne lui a non plus été communiqué, ne lui permettant pas d’évaluer la conformité des modifications annoncées ».

Une sanction qui sera anonymisée dans deux ans

La rapporteure avait proposé à la formation restreinte que soient prononcés un rappel à l’ordre ainsi qu’une injonction de mettre le traitement en conformité avec les dispositions la loi Informatique et Libertés, mais également que cette décision soit rendue publique.

En défense, le ministère de l'Intérieur avait de son côté estimé que « le prononcé d’une mesure correctrice ne se justifie pas, de nombreuses démarches ayant déjà été initiées, et pour certaines réalisées, pour atteindre la mise en conformité ».

Il considérait également que « d’importants moyens ont déjà été engagés, que le système sur lequel repose le FAED est ancien et que la mise en conformité nécessite des développements très importants ».

Il précisait en outre que « les retards constatés s’expliquent par les nombreuses injonctions de mise en conformité auxquelles le FAED a dû répondre, notamment européennes ».

Il estimait également que « la publicité ne se justifie pas, celle-ci n’ayant pas d’effet plus grand qu’un simple rappel à l’ordre » :

« Les modifications à apporter ayant été pleinement mesurées à la notification du rapport de sanction, le ministère en conclut que la bonne foi dont il fait preuve et les chantiers déjà engagés suffisent à assurer la mise en conformité annoncée. Il appelle enfin la formation restreinte à poursuivre le travail d’accompagnement commencé avec les contrôles réalisés. »

La formation restreinte n'en a pas moins considéré que « les manquements précités justifient que soit prononcé un rappel à l’ordre à l’encontre du ministère de l'Intérieur pour les motifs suivants » :

« La sensibilité particulière des données traitées dans le FAED, qui comprennent à la fois des données biométriques et des données d’infraction [et] la combinaison de ces deux types de données sensibles auraient dû amener le ministère de l'Intérieur à une vigilance toute particulière sur ce fichier. »

La formation restreinte relève également qu’« un très grand nombre de personnes sont concernées par ce fichier, le ministère de l'Intérieur lui-même évoquant, dans ses opérations de mise en conformité, la suppression de plus de trois millions de fiches "signalisation" concernant près de 800 000 personnes ».

Elle relève au surplus que les contrôles ont permis de constater que « plus de deux millions de fiches étaient illicitement conservées dans le FAED », et que certains manquements ont visé l’intégralité des personnes dont les données sont traitées ou ont été traitées dans le FAED, comme le défaut d’information.

Enfin, la formation restreinte rappelle que « le ministère de l'Intérieur était conscient de certains des manquements relevés par le rapport de sanction », mais qu’il n’a pourtant pas engagé les moyens nécessaires à une mise en conformité à la législation à la protection des données à caractère personnel :

« Si la formation restreinte est consciente des contraintes, notamment budgétaires, pesant sur le ministère de l'Intérieur, elle estime néanmoins que ce dernier n’a pas engagé les moyens nécessaires à sa mise en conformité, malgré des manquements identifiés comme tels. »

Elle estime également nécessaire qu’une injonction soit prononcée à mesure que le ministère de l'Intérieur a annoncé de nombreuses modifications du FAED, en cours de réalisation ou déjà achevées, « mais que ces affirmations sont insuffisamment étayées, faute de pièces justificatives ».

La formation restreinte relève au surplus que, pour certains des manquements relevés, la mise en conformité avait déjà été annoncée depuis plusieurs années par le ministère de l'Intérieur, alors que « les contrôles effectués ont permis de constater que les modifications annoncées n’avaient pas été réalisées ».

Conformément à ce que proposait enfin la rapporteure, la formation restreinte de la CNIL a également décidé que cette délibération « ne permette plus d’identifier nommément le ministère de l’Intérieur à l’expiration d’un délai de deux ans à compter de sa publication ».

Sans que l'on comprenne bien, cela dit, comment fera la CNIL pour empêcher de faire le lien entre le FAED et ledit ministère

Pour me contacter de façon sécurisée (voire anonyme), c'est par là.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !