Fichier automatisé des empreintes digitales : le ministère de l’Intérieur épinglé par la CNIL

11.10.2021

Gestion d'entreprise

Le 24 septembre 2021, la formation restreinte de la CNIL a décidé de publiquement rappeler à l’ordre le ministère de l’Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED).

Le fichier automatisé des empreintes digitales (FAED) est un fichier de police judiciaire d’identification recensant notamment les empreintes digitales de personnes mises en cause dans des procédures pénales ainsi que les « traces » d’empreinte relevées sur les scènes de crime ou de délit. Il est géré par le ministère de l’Intérieur et utilisé par les services de police, de gendarmerie et des douanes dans le cadre de leurs enquêtes.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés

Lors de ses investigations auprès des services de la police technique et scientifique ainsi que des juridictions, la CNIL a constaté cinq manquements relatifs au traitement des données du FAED.

Manquement relatif à la licéité du traitement (article 89 de la loi Informatique et libertés)

La formation restreinte a constaté la conservation dans le fichier de données non autorisées par l’article 4 du décret n° 87-249 du 8 avril 1987, telles que le nom de la victime ou le numéro d’immatriculation du véhicule. Elle a également relevé que sept millions de fiches de signalisation étaient conservées sans base légale, en format papier, au sein d’un « fichier manuel » abrogé en 2001.

Manquement relatif à la durée de conservation des données (article 4 de la loi Informatique et libertés)

La formation restreinte a relevé que le FAED contenait, au jour du contrôle, plus de deux millions de fiches conservées au-delà des durées de conservation prévues par les textes, faute de tenir compte de la modification du décret n° 87-249 par le décret n° 2015-1580 du 2 décembre 2015 entré en application le 1er mars 2017. Ainsi, les fiches de signalisation étaient conservées pendant 25 ans sans distinction selon l’âge de la personne concernée ; de plus, le point de départ de ce délai était calculé à compter de la dernière signalisation de la personne concernée, et non à compter de l’établissement de chaque fiche, de sorte que chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai de 25 ans pour l’ensemble de ses signalisations, amenant ces données à pouvoir être conservées sans limitation en cas de signalisations régulières.

Manquement relatif à l’exactitude des données (article 97 de la loi Informatique et libertés)

La formation restreinte a constaté que le service gestionnaire du FAED n’était pas systématiquement averti par les juridictions de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui auraient dû entraîner la suppression des fiches correspondantes dans le FAED. Pour autant, elle considère que le ministère de l’Intérieur, en sa qualité de responsable de traitement, aurait dû mettre en place un cadre organisant la transmission. Elle note en outre que la conservation des données fondée sur l’application de la circulaire de la direction des affaires criminelles et des grâces du 5 août 2016 et d’une dépêche de la direction des services judiciaires du même jour est en contradiction avec la lettre du décret instituant le FAED. Ce dernier permet la conservation de certaines données par exception et sur décision du procureur de la République. Il ne saurait donc être admis de conserver les données par défaut, dans le silence du procureur, sous peine de procéder à une inversion du principe et de l’exception.

Manquement relatif à la sécurité des données (article 99 de la loi Informatique et libertés)

Selon la formation restreinte, le fait de permettre la connexion au FAED par la simple combinaison d’un identifiant et d’un mot de passe ne peut être considéré comme une mesure appropriée pour garantir un niveau de sécurité adapté au risque compte tenu des conséquences particulièrement graves que pourrait avoir un accès illégitime aux données du FAED et de la nécessité absolue d’une journalisation stricte des données que comprend le fichier. Elle a également relevé que la conservation de certaines données localement dans un terminal informatique présent dans les locaux de garde à vue, et donc en dehors du fichier centralisé du FAED, ne garantit pas l’application de règles de sécurité indispensable pour un traitement présentant une grande sensibilité.

Manquement relatif à l’information des personnes (articles 104 de la loi Informatique et libertés)

La formation restreinte a constaté, lors d’un contrôle réalisé dans un commissariat, l’absence d’affichage d’information relative au FAED dans les locaux de garde à vue. Elle a également observé qu'aucune information n'était communiquée aux personnes concernées, ni par les services de police, ni par le parquet, ni au moment du prononcé ou de la signification de la décision, ni à un autre moment. Ainsi, les personnes concernées peuvent ignorer jusqu’à l’existence même du fichier. La Commission a, par ailleurs, relevé que la communication d’information sur les sites web du ministère de l’Intérieur et « service public » ne saurait, à elle seule, constituer une information suffisante pour répondre à l’obligation posée par l’article 104 de de la loi Informatique et libertés dans la mesure où elle nécessite une démarche active de la part des personnes concernées. Or, cette démarche active n’est possible que si les personnes concernées connaissent l’existence du traitement et ont un accès au réseau internet ; elle n’est pas non plus adaptée en présence de mineurs qui doivent comprendre le traitement mis en œuvre et ses implications.

Bien que des travaux de mise en conformité aient été entrepris par le ministère de l’Intérieur, la CNIL décide de prononcer un rappel à l’ordre ainsi qu’une injonction d’adopter diverses mesures propres à se conformer aux dispositions de la loi du 6 janvier 1978. Selon elle, la qualité des données considérées (sensibles et relatives aux infractions), combinée au nombre de personnes concernées, y compris des mineurs, justifie cette décision et ce d’autant plus que le ministère de l’Intérieur avait déjà été alerté à plusieurs reprises sur certains points, sans prendre les mesures qu’il s’était pourtant engagé à prendre.

Jessica EYNARD, Co-Directrice du Master Droit du numérique de l'Université Toulouse 1 Capitole et chercheuse associée dans la Chaire Law, Accountability and Social Trust in AI, ANITI
Vous aimerez aussi

Nos engagements