Fichiers de police : la CNIL tique encore sur les bugs du STIC

La Commission nationale de l'informatique et des libertés (CNIL) a adopté hier un rapport dressant ses conclusions relatives « au contrôle des fichiers d’antécédents du ministère de l’intérieur ». Alors que la gardienne des données personnelles avait déjà effectué un minutieux examen du fichier STIC il y a plus de quatre ans, de nouvelles vérifications ont été faites par l'institution, y compris sur d'autres fichiers (JUDEX et TAJ). Résultat : le bilan n'est pas vraiment satisfaisant aux yeux de la CNIL...

La CNIL l’avait promis en fin d’année dernière : elle souhaitait passer au peigne fin les fichiers de police, et plus particulièrement le STIC (Système de Traitement des Infractions Constatées). Créé en 2001, ce fichier regorge de données issues des enquêtes menées par la police judiciaire, concernant à la fois les personnes mises en cause tout comme les victimes. Des informations qui peuvent être conservées de 5 à 40 ans en fonction de la gravité des infractions. En 2009, l’autorité administrative avait déjà effectué un contrôle sévère de ce fichier, avant de remettre au Premier ministre ses conclusions (PDF), lesquelles s’inquiétaient du caractère disproportionné du STIC.

L’objectif était donc le suivant : s’assurer que les remarques et préconisations formulées à l'époque par la CNIL avaient été suivies par les autorités. Au passage, l’institution a également contrôlé les fichiers JUDEX et TAJ, sachant que ce dernier devrait tout simplement remplacer le JUDEX et le STIC d’ici le 1er janvier 2014. La Commission présente ces fichiers de la manière suivante :

« Concrètement, ces fichiers répertorient des informations provenant des comptes-rendus d'enquêtes établis à la clôture d’une enquête de police judiciaire réalisée par la police nationale (STIC et TAJ) ou par la gendarmerie nationale (JUDEX et TAJ). Ils recensent à la fois les victimes des infractions et les personnes mises en cause dans ces procédures. Les informations sont systématiquement enregistrées dès lors que les conditions légales sont remplies, c'est-à-dire, pour les personnes mises en cause, lorsque sont réunis, lors de l'enquête préliminaire, de l'enquête de flagrance ou sur commission rogatoire, des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteurs ou complices, à la commission d'un crime, d'un délit ou de certaines contraventions visées par la loi ».

L’autorité précise dans son rapport (PDF) adopté hier l’ampleur de ces fichiers :

• STIC : 6 844 443 fiches relatives à des personnes physiques au 1er juin 2013
• JUDEX : 2 674 626 fiches relatives à des personnes mises en cause au 31 décembre 2012
• TAJ : 12 227 766 fiches relatives à des personnes physiques mises en cause au 4 juin 2013 (sachant qu’il peut y avoir, en attendant la fusion complète, plusieurs fiches pour une même personne)

Ce rapport pointe aussi leur fréquence d’utilisation :

• STIC : près de 100 000 personnes y ont accès, pour près de 11 millions de consultations annuelles
• JUDEX : environ 79 000 personnes y ont accès, pour plus de 15 millions de consultations annuelles.

La CNIL regrette le « peu d’évolutions » sur quatre ans 

Après avoir effectué 23 contrôles sur place et 61 sur pièce entre fin 2012 et début 2013, la CNIL n’est manifestement pas satisfaite. Plus de quatre ans après avoir remis son premier rapport, la gardienne des données personnelles estime aujourd’hui que « le fonctionnement des fichiers d’antécédents reste encore contrasté ». Et pour cause : la Commission considère que d’une manière générale, « les défaillances observées en 2009 n’ont pas connu d’améliorations notables ». S’agissant du STIC plus particulièrement, elle note que sa situation est « identique » dans une large mesure à celle observée en 2007-2008.

L’autorité administrative explique ainsi que les procédés de recueil et d’inscription des données « restent la cause d’un nombre important d’erreurs et d’imprécisions dans le fichier STIC et plus généralement dans les fichiers d’antécédents », et ce « malgré l’existence d’un certain nombre de garde-fous ». La CNIL rappelle au passage que l’alimentation du STIC se fait manuellement. La Commission affirme avoir remarqué des efforts visant à compléter ou corriger certaines fiches. Cependant, les visites effectuées au sein de différents services ont fait apparaître une trop grande hétérogénéité des traitements à ce sujet. En clair, les efforts de certains ne suffisent pas pour parler d’amélioration générale.

Des problèmes de traçabilité et de sécurité dans la transmission des données 

On notera en outre que l’institution regrette que « les investigations réalisées au sein de plusieurs commissariats ont permis de relever que des données STIC étaient régulièrement transmises par téléphone sans qu’une traçabilité de ces échanges ne soit mise en œuvre ». Ce n’est d’ailleurs pas une surprise, puisqu’en janvier dernier, nous révélions comment des individus s'était fait passer pour des policiers avaient réussi à obtenir la transmission orale, par téléphone, du fichier STIC de plusieurs rappeurs.

La CNIL explique aujourd'hui ce sujet qu’ « aucune procédure spécifique n’est mise en œuvre afin de permettre une vérification de l’identité et de la qualité de l’interlocuteur ». Cette absence de traçabilité est jugée « problématique » par la gardienne des données personnelles, qui a relevé au passage que la transmission de telles informations par voie électronique s’effectuait « dans des conditions de sécurité insuffisantes » (absence de chiffrement des données, courriers électroniques non sécurisés, etc.).

En dépit des efforts entrepris, la CNIL continue d’avoir de vives inquiétudes

Autre motif d'insatisfaction : la CNIL a observé que « les nouvelles obligations issues de la LOPPSI en matière de mise à jour des fichiers d’antécédents sont insuffisamment connues et par conséquent peu appliquées » par le ministère public. L’institution note d’ailleurs dans son rapport qu’aucun parquet contrôlé par ses soins n’était équipé de terminal d’accès au STIC, au JUDEX ou au TAJ. Alors que la loi du 14 mars 2011 prévoit par exemple que toutes les décisions de classement sans suite, quel que soit leur motif, donnent lieu à mise à jour de ces fichiers de police, ce ne fut pas le cas dans de très nombreuses affaires selon l’autorité administrative. Pourquoi ? La faute aux lenteurs du traitement de l’information et au manque d’automatisation dans la transmission de données... On imagine facilement ensuite le préjudice pour la personne fichée et mise hors de cause dont le statut n’est pas mis à jour.

Dix propositions en vue d'une amélioration

En dépit « des efforts entrepris ces derniers mois par le ministère de l’intérieur afin de tenter de corriger certains dysfonctionnements majeurs », la CNIL reste inquiète. En effet, la place Beauvau « semble avoir laissé en suspens des problèmes déterminants et susceptibles de neutraliser le bénéfice des efforts fournis jusque là ». Plus précisément, la Commission « exprime sa vive inquiétude » s’agissant du « versement effectué dans la nouvelle architecture TAJ de l’ensemble des données d’antécédents enregistrées jusqu’alors dans le STIC et JUDEX, sans avoir au préalable élaboré un mécanisme de mise à jour des fiches inexactes ». La CNIL a donc formulé 10 propositions pour améliorer (enfin?) la situation.

Quoi qu’il advienne de ses recommandations, la CNIL prévient : elle promet de « maintenir sa vigilance en la matière, notamment lorsque la nouvelle architecture TAJ-CASSIOPEE sera pleinement opérationnelle ». Car si le STIC et JUDEX vont bientôt laisser leurs sièges à TAJ, ce dernier devrait faire l’objet d’une interconnexion avec CASSIOPEE, un fichier du ministère de la Justice. L’objectif : permettre une transmission automatisée et instantanée des suites judiciaires ouvrant droit à la mise à jour des fichiers d’antécédents. Le fichier CASSIOPEE est cependant cantonné pour l’instant aux juridictions de première instance. Les cours d’appel ou la Cour de cassation seront ainsi de fait exclues de cette interconnexion.

Voici le détail des propositions de la CNIL :

1. Sensibiliser davantage les procureurs de la République aux enjeux et aux modalités de la mise à jour des fichiers d’antécédents (nouveaux cas de mise à jour issus de la LOPPSI, incidence de ces mises à jour lors des enquêtes administratives, rôle du magistrat référent).
2. Clarifier le rôle des procureurs généraux et, le cas échéant, formaliser une procédure de transmission manuelle des suites judiciaires par les parquets généraux dans l’attente du déploiement de CASSIOPEE au sein des cours d’appel.
3. Procéder à une action massive de mise à jour, quant aux suites judiciaires, des fiches de TAJ issues des fichiers STIC et JUDEX ; en priorité, procéder à la mise à jour de certaines catégories de fiches, comme celles relatives : aux personnes mises en cause mineures au moment des faits ; aux faits de nature criminelle ; aux faits commis sous un délai de 5 ans, qui sont les faits le plus souvent pris en compte dans les enquêtes administratives.
4. Fixer, au sein des services de la police et de la gendarmerie nationales, les conditions de sécurité dans lesquelles les données issues des fichiers d’antécédents peuvent être communiquées à une personne se présentant (notamment par téléphone ou courrier électronique) comme un destinataire légitime.
5. Procéder à une sensibilisation des fonctionnaires de la police nationale et des militaires de la gendarmerie nationale ayant des attributions judiciaires, et procédant par ailleurs à des enquêtes administratives, à la nécessité d’utiliser leur seul profil « administratif » en cas d’enquête administrative.
6. Préciser, unifier et formaliser les conditions et modalités concrètes de réalisation des enquêtes administratives, tant à destination des autorités publiques demanderesses (préfets, CNAPS) que des services enquêteurs (police et de la gendarmerie nationales).
7. Rendre obligatoires les demandes de suites judiciaires au procureur de la République compétent lorsque l’enquête administrative laisse apparaître un antécédent antérieur à la mise en œuvre de l’interconnexion TAJ CASSIOPEE.
8. Généraliser le rapprochement des services de police administrative (en charge des enquêtes administratives) et des services de police judiciaire (en charge du contrôle de la mise à jour des fichiers d’antécédents) afin de permettre la mise à jour des fichiers d’antécédents à l’occasion des enquêtes administratives.
9. Limiter, dans le cadre des enquêtes administratives, la consultation des données relatives aux infractions de faible ou moyenne gravité aux antécédents les plus récents, éventuellement ceux dont la date des faits est inférieure à 5 ans.
10. Engager une réflexion visant à réduire les durées de conservation des données dans les fichiers d’antécédents en fonction des types d’infractions concernées.

• Consulter le rapport complet de la CNIL.