Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (3/3)

Les ministères de l'Intérieur et de la Justice cherchent un prestataire pour interconnecter le Fichier automatisé des empreintes digitales (FAED) et le Casier judiciaire national (CJN), et élargir leurs interconnexions avec d'autres fichiers de police ou judiciaires européens.

Le Service des Technologies et des Systèmes d’Information de la Sécurité Intérieure (ST(SI)²) vient de publier un projet d'accord-cadre de « refonte complète du système de gestion des empreintes digitales (FAED) ».

Les centaines de pages des documents figurant en annexes sont très techniques, mais offrent une fenêtre somme toute inédite sur l'ampleur, et la complexité, des projets d'interconnexions des fichiers judiciaires et policiers français et européens. Ce pourquoi nous avons découpé cette enquête en trois volets.

• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (1/3)
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (2/3)

Un cahier des charges rédigé par un cabinet de consultants

On découvre aussi que le « cahier des charges » du FAED a été rédigé par quatre consultants de CGI (l'un des cinq plus gros groupes mondiaux de conseils en technologie de l’information). Ils avaient en effet reçu « pour mission la rédaction d’un cahier des charges fonctionnel restituant le périmètre du besoin métier en regard de l’application ciblée », afin d' « accompagner le métier dans le cadrage du besoin ».

Il revient notamment sur les exigences de l’administration pour le futur outil FAED, et met en exergue « les points nécessitant des réflexions supplémentaires autour des problématiques juridiques, de l'état de l'art des industriels et de points restant à arbitrer entre la Police Nationale et la Gendarmerie Nationale ».

Chargés de « faire un travail préparatoire dans le but d'identifier les attentes de l'administration lors des ateliers », ils ont ainsi résumé les compte-rendus des groupes de travail ayant réuni une vingtaine de représentants de la Police Nationale, la Gendarmerie Nationale et le ST(SI)²  qui, au début du confinement, avaient « permis de préciser les exigences de l’administration pour le futur outil FAED ».

Le document rappelle à ce titre que le FAED « a notamment pour objectifs de permettre :

• La recherche et l’identification des auteurs de crimes et de délits, ainsi que la poursuite, l’instruction et le jugement des affaires dont l’autorité judiciaire est saisie,
• La recherche et la découverte des personnes disparues,
• L’identification, dans un cadre judiciaire, des personnes décédées ou grièvement blessées,
• L’identification, dans un cadre extra judiciaire, des personnes décédées,
• L’identification, par consultation, d’un étranger dans les conditions prévues par certaines dispositions de la loi,
• L’identification des personnes dans le cadre de la procédure de vérification d’identité de l’article 78-3 du Code de Procédure Pénale. »

On découvre aussi que les PC de bureau de la police nationale seraient « configurés sous Windows 7 64 bits ou Linux Ubuntu 14.04 LTS », quand les gendarmes, eux, sont dotés de la distribution GNU/Linux Gendbuntu.

Le document comporte aussi un certain nombre de propositions émanant tant des gendarmes que des policiers. D'après nos informations, une nouvelle version du décret FAED serait actuellement en cours de réécriture par les services compétents, mais sans que l'on sache donc à ce stade quels seront les arbitrages des ministères concernés.

616 000 reconnaissances faciales en 2021 (+ 64 % en 2 ans)

Le cahier des charges liste ensuite toute une série d'autres fichiers, au motif que « des interfaçages avec des SI tiers sont nécessaires pour le bon fonctionnement de l'application ».

On y apprend que le FAED a échangé, en 2019, 1,2 million de signalisations avec GASPARD (pour « Gestion Automatisée des Signalements et des Photos Anthropométriques Répertoriées et Distribuables »). Ce fichier comporte quatre photographies des personnes fichées comme « mises en cause » (MEC) dans le Traitement des Antécédents Judiciaires (TAJ), et donc potentiellement suspectes, ainsi que les photographies de leurs éventuelles cicatrices et tatouages.

• Vers des contrôles biométriques « en bord de route »

Cette volumétrie importante serait due au fait que « Gaspard est l'outil permettant de saisir des signalements en amont de l'application FAED ». C'est aussi le fichier utilisé pour la reconnaissance biométrique faciale, créé le jour où Nicolas Sarkozy avait perdu la présidentielle, en 2012, mais qui n'avait alors pas été déclaré à la CNIL.

Le récent rapport parlementaire sur la reconnaissance faciale relevait qu'il avait enregistré un « accroissement notable depuis quelques années », totalisant 615 871 recoupements en 2021, contre 375 747 en 2019 (soit + 64 %) : 

« En 2021, il a été utilisé 498 871 fois par la police nationale et environ 117 000 fois par la gendarmerie nationale. Selon la direction centrale de la police judiciaire (DCPJ), qui est le gestionnaire du traitement, cette montée en puissance de l'utilisation de l'outil pourrait être consécutive à l'évolution technique de l'outil intervenue en 2019 qui en a nettement amélioré la performance. »

• Un rapport parlementaire veut avancer sur la reconnaissance faciale

Le Logiciel de rédaction de procédures de la police nationale (LRPPN), destiné à faciliter la rédaction des procès-verbaux et autres actes de procédure, et dont les données remontent dans le FAED via GASPARD, avait cette même année 2019 enregistré 700 270 signalisations. Son équivalent pour la gendarmerie, le LRPGN, avait de son côté dénombré 504 177 signalisations. 

Le TAJ, qui « recense notamment les informations des personnes mises en cause et des victimes dans les affaires pénales », avait pour sa part enregistré 720 000 signalisations. On notera à ce titre que la Quadrature du Net vient de lancer une plainte collective contre la technopolice visant, notamment, le fichier TAJ et la reconnaissance faciale permise par GASPARD.

30 000 demandes de modification ou effacement dans les fichiers

La « Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants » (CASSIOPEE), mise en œuvre dans les tribunaux judiciaires afin de permettre l’enregistrement d'informations relatives aux plaintes et dénonciations reçues par les magistrats, avait pour sa part dénombré « 30 000 demandes de modification ou effacement ».

Des fichiers européens sont également concernés. Le Système d’information Schengen (SIS-II), qui permet aux forces de l'ordre de l'espace Schengen de saisir et de consulter des signalements concernant des personnes ou des objets, avait totalisé 1,2 million de signalisations, plus 98 000 « consultations sortantes ». 

PRUM et PRUM NG, qui permettent de consulter les bases de données européennes signataires de l’accord PRÜM à partir d’empreintes ou de traces papillaires, avaient pour sa part dénombré 27 400 consultations d'applications étrangères, et 20 500 consultations du FAED. 

Des quotas limitent en effet le nombre de consultations, par pays (« selon la taille de leur base et selon la capacité de leurs matcheurs ») et selon le type de recherche souhaitée (« empreintes/empreintes, empreintes/TNR, traces/empreintes, traces/TNR »).

Une annexe de l'appel d'offres précise qu' « un envoi hors quota doit néanmoins être possible en cas d'affaire urgente ou sensible », mais également qu' « actuellement, le SI ciblé concerne tous ceux des pays membres de PRÜM, mais à terme, les recherches pourront se faire dans d'autres SI », sans plus de précisions.

Une interconnexion avec (au moins) sept autres fichiers

L'interconnexion avec d'autres fichiers est également envisagée. Le document mentionne ainsi un « projet d'échange des données en cours d'étude » avec le Casier judiciaire national, ainsi que « la possibilité de mettre en place des échanges par des interfaçages » avec :

• le Fichier des personnes recherchées (FPR),
• le Fichier national automatisé des empreintes génétiques (FNAEG),
• le fichier AGDREF 2 de gestion des dossiers des ressortissants étrangers en France,
• le Fichier national des détenus (FND),
• le registre dématérialisé IGAV de gestion des gardes à vue,
• l'outil de phonétisation (« OPH ») « utilisé actuellement par l’application FAED et qui permet, dans le cadre des saisies alphanumériques d'effectuer des vitrifications sur les données telles que : nom, prénom, date de naissance, nom d'usage, dans le but de trouver des correspondances ou des données déjà existantes », 
• la base de données européenne VISABIO des visas biométriques.

Un usage du FAED « en mode nomade » est d'autre part « envisagé à moyens termes », via un système qui « devra permettre depuis les terminaux mobiles l'acquisition des empreintes, la consultation, la signalisation et la discrimination ».

Ce terme désigne l'identification de la famille de motifs papillaires (qui sont de trois types : boucles, spirales ou arches) associée aux empreintes digitales analysées, comme l'avait expliqué à France Info Fabrice Mouton. Ce responsable du secteur papillaire à l'Institut français des empreintes génétiques de Nantes, était intervenu après qu'un individu avait été identifié, à tort, comme étant Xavier Dupont de Ligonnès suite à une analyse erronée de ses empreintes digitales :

« Cela permet de faire un premier niveau de discrimination : si les traces laissées sur les lieux du crime montrent que l'individu recherché possède des empreintes de la famille des boucles, et que le suspect interpellé a des empreintes en spirale, celui-ci peut rapidement être écarté. »

Compatible avec le télétravail sans nécessité d'authentification forte

Si le FAED v3 est, logiquement, pensé comme un Système d'identification automatique par empreintes digitales (AFIS, pour « Automated Fingerprint Identification System », la terminologie formalisée par le FBI), le document précise qu'une « évolutivité vers un ABIS [pour « Automated Biometric Identification System », ou Système d'identification biométrique automatisé en français, ndlr] doit être envisagée », de sorte de pouvoir « intégrer d’autres modalités (reconnaissance faciale par exemple) » :

« Le système devrait éventuellement pouvoir évoluer en ABIS (si utilisation de fonctionnalités de reconnaissance faciale). Le fournisseur devra exposer les possibilités d’évolution de son système dans ce domaine. »

Étrangement, la synthèse des désidératas des policiers et gendarmes interrogés propose, au titre des « exigences » exprimées, que « la solution proposée [soit] compatible avec le télétravail [...] sans nécessité d'authentification forte ». Une autre exige que « toutes les actions sur l'application [soient] tracées » par un « module spécifique ». Une troisième précise que « l’anonymisation des personnels doit être prévue au niveau des rapports (RIO : référentiel des identités et de l'organisation uniquement mentionné) ».

On trouve également en annexe plusieurs schémas détaillant les procédures à suivre lorsqu'un enquêteur veut effectuer une signalisation, une consultation, une création d'affaires, une recherche ou une réactivation d'affaire ou d'individus.

Les éventuels soumissionnaires ont jusqu'au 5 septembre 2022 pour soumettre leurs offres. 

• Le dossier de consultation des entreprises (DCE, 11 Mo) du FAEDv3
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (1/3)
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (2/3)