FICHIER D’ANTÉCÉDENTS JUDICIAIRES : RELAXÉ, ACQUITTÉ, MAIS TOUJOURS FICHÉ
LA CNIL IMPOSE UNE MISE EN CONFORMITÉ AU MINISTÈRE DE L’INTÉRIEUR ET AU MINISTÈRE DE LA JUSTICE COMPTE TENU DES 700 000 MISES À JOUR JUDICIAIRES NON EFFECTUÉES CHAQUE ANNÉE
ANALYSE CRITIQUE MANQUEMENTS FAQ CONSEILS
PARTIE I — QUESTIONS RELATIVES AU RÉGIME JURIDIQUE APPLICABLE ET À LA COMPÉTENCE DE LA CNIL
Q1. Le fichier TAJ est-il soumis au RGPD ou à la directive Police-Justice ?
Le TAJ est soumis au titre III de la loi Informatique et Libertés transposant la directive UE 2016/680 du 27 avril 2016, et non au RGPD. La formation restreinte a explicitement jugé que « le TAJ est mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière » au sens de l’article 87 de la loi Informatique et Libertés (§ 19). Ce régime spécifique s’applique à tout traitement de données mis en œuvre par des autorités compétentes à ces fins — police nationale, gendarmerie nationale, douanes, parquets dans leurs fonctions d’enquête et de poursuite.
Portée pratique : les obligations applicables — notamment en matière d’exactitude (art. 97), de droits des personnes (art. 104 à 106) et de restrictions possibles (art. 107) — ont une rédaction propre, distincte du RGPD. Les responsables de traitement ne peuvent appliquer les outils RGPD (bases légales de l’art. 6, consentement, intérêts légitimes) à ces traitements.
Q2. La CNIL est-elle compétente pour contrôler le ministère de la Justice dans sa gestion du TAJ, même lorsqu’il agit dans le cadre de fonctions proches des activités judiciaires ?
Oui. La formation restreinte a affirmé sa compétence à l’égard du ministère de la Justice en excluant la qualification de « fonction juridictionnelle » pour les actes de mise à jour et de contrôle du TAJ. Elle a jugé que « la mise à jour du fichier TAJ, hors requêtes, revêt […] la nature d’un acte d’administration du service public de la justice détachable des fonctions juridictionnelles du ministère public » (§ 32).
La CNIL fonde également sa compétence sur l’article R. 40-32 du CPP, qui dispose que les pouvoirs du magistrat référent national « s’exercent sans préjudice du contrôle exercé par la Commission nationale de l’informatique et des libertés » (§ 26). La formation restreinte a précisé que si une interprétation contraire devait être retenue, elle « ne disposerait alors d’aucun moyen d’agir, de prévenir ou de remédier à des irrégularités commises par ces autres administrations de l’État. Cette situation conduirait à une protection imparfaite des données traitées, d’ailleurs contraire aux objectifs de la directive Police-Justice » (§ 39).
Q3. L’État peut-il faire l’objet d’une amende de la CNIL pour des manquements dans la gestion d’un fichier de police judiciaire ?
Non. Le 7° du III de l’article 20 de la loi Informatique et Libertés dispose expressément que « dans le cas où le traitement de données à caractère personnel est mis en œuvre par l’État, il ne peut être prononcé une amende administrative » (§ 80). Les seules mesures correctrices disponibles à l’égard des entités étatiques sont : le rappel à l’ordre, l’injonction de mise en conformité (éventuellement assortie d’un délai), et la publicité de la décision. L’absence d’amende ne prive pas la procédure de ses effets : le rappel à l’ordre publié constitue une sanction symbolique et institutionnelle significative, et l’injonction est juridiquement contraignante.
PARTIE II — QUESTIONS RELATIVES À L’OBLIGATION D’EXACTITUDE DES DONNÉES (ART. 97 LIL)
Q4. Quelles sont les obligations concrètes des autorités compétentes en matière d’exactitude des données dans un fichier policier ?
L’article 97 de la loi Informatique et Libertés impose de « prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ». Appliqué au TAJ, cela signifie que tout changement de situation judiciaire — requalification, relaxe, acquittement, non-lieu, classement sans suite — doit se traduire, sans délai, par une mise à jour correspondante dans le fichier : effacement, rectification ou apposition d’une mention selon le cas prévu à l’article 230-8 du CPP.
Portée pratique : cette obligation impose la mise en place d’une architecture de mise à jour fiable et vérifiable. La simple existence de procédures informelles (dépêches, fiches navettes papier non suivies d’exécution systématique) ne satisfait pas à cette exigence. La formation restreinte a jugé que des mesures qui « s’avèrent insuffisantes » (§ 54) — même si elles constituent des efforts réels — ne satisfont pas au standard de l’article 97.
Q5. Le système de fiches navettes manuelles est-il compatible avec l’obligation d’exactitude posée par l’article 97 LIL ?
En principe, un système manuel n’est pas, en lui-même, intrinsèquement incompatible avec l’article 97. Mais la formation restreinte a jugé que, dans le cas du TAJ, il ne l’est pas en pratique, en raison de son taux d’exécution défaillant : « si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, [le ministère] ne dénombre qu’environ 300 000 décisions de mises à jour prises par an » (§ 52). Un système manuel n’est donc admissible que s’il est effectivement suivi par l’ensemble des acteurs concernés, avec des mécanismes de contrôle et de relance permettant d’assurer une couverture quasi-exhaustive des mises à jour dues.
Portée pratique : tout responsable de traitement gérant un fichier policier dont la mise à jour dépend de remontées d’information d’acteurs tiers (juridictions, parquets, douanes) doit : (i) documenter le taux de couverture des mises à jour, (ii) identifier les acteurs défaillants, (iii) mettre en place des mécanismes de relance, et (iv) rechercher activement des solutions d’automatisation.
Q6. L’interconnexion entre deux systèmes d’information publics (en l’espèce CASSIOPÉE et TAJ) est-elle une obligation imposée par la directive Police-Justice ou la LIL ?
L’article 97 de la LIL n’impose pas expressément l’interconnexion informatique. Mais la formation restreinte a jugé que, dans le contexte du TAJ, l’absence d’interconnexion entre CASSIOPÉE et TAJ depuis 2008 — malgré les travaux engagés — démontre que « les ministères n’ont pas engagé les moyens suffisants à la mise en conformité du fichier » (§ 91). L’interconnexion n’est donc pas une obligation légale formelle, mais elle constitue la solution technique la plus évidente et la plus efficace pour satisfaire à l’obligation de résultat relative à l’exactitude des données. Dès lors que des alternatives moins efficaces ont été tentées sans succès pendant plus de quinze ans, la poursuite des efforts d’interconnexion devient de facto une obligation au regard du standard des « mesures raisonnables » de l’article 97.
Q7. Quelles sont les conséquences concrètes pour une personne dont la fiche dans le TAJ n’a pas été mise à jour à la suite d’une relaxe ou d’un acquittement ?
Les conséquences peuvent être graves et potentiellement irréversibles. La formation restreinte rappelle que le TAJ « peut être utilisé par les services de police, dans le cadre de procédures judiciaires ou encore d’enquêtes administratives » (§ 63) et que sa consultation peut conduire « à refuser l’admission à concourir à un emploi public », à s’opposer à une demande de nationalité française, ou à faire obstacle à l’accès à un emploi réglementé. Le maintien de données inexactes « est de nature à porter gravement atteinte, et de façon potentiellement irréversible, aux droits fondamentaux des personnes » (§ 84). Les durées de conservation du TAJ — « allant de cinq à 40 ans pour les infractions les plus graves » (§ 86) — amplifient encore ces risques dans le temps.
PARTIE III — QUESTIONS RELATIVES À L’INFORMATION DES PERSONNES CONCERNÉES (ART. 104 LIL)
Q8. La publication de l’acte réglementaire autorisant un fichier policier au Journal officiel est-elle suffisante pour satisfaire à l’obligation d’information de l’article 104 LIL ?
Non, pas dans tous les cas. La formation restreinte a jugé que cette modalité peut être suffisante « pour certains fichiers relevant de la directive Police-Justice », mais « que, dans le cas du TAJ, cette information ne répond pas à l’obligation posée par l’article 104 » (§ 63), en raison notamment de la prise en charge directe des individus par les forces de l’ordre lors de la collecte des données (garde à vue, audition libre), et de la vulnérabilité particulière de certaines catégories de personnes concernées (personnes détenues, sans domicile, mineurs) qui n’ont pas nécessairement accès aux publications officielles. L’intensité de l’obligation d’information est donc proportionnelle à la proximité du contact entre les services gestionnaires et les personnes concernées, et aux risques liés au traitement.
Q9. Une information en ligne sur le site web du responsable de traitement est-elle suffisante pour des personnes faisant l’objet d’une collecte active (garde à vue, audition libre) ?
Non. La formation restreinte juge qu’« une information en ligne n’est pas accessible pour l’ensemble des personnes concernées » (§ 58) et que « certaines personnes dont les données sont traitées dans le TAJ peuvent n’avoir qu’un accès limité au réseau internet — personnes détenues ou sans domicile, notamment » (§ 64). Lorsque la collecte s’effectue dans un contexte de contrainte ou de vulnérabilité (garde à vue, audition libre), une information individuelle, écrite, et spécifique au traitement en cause est impérative. Elle doit être remise à la personne au moment de la collecte, sans présupposer que celle-ci ira ensuite consulter un site internet.
Q10. Des obligations d’information spécifiques s’appliquent-elles aux mineurs fichés dans le TAJ ?
Oui. La formation restreinte, en application du considérant 39 de la directive 2016/680, exige que « les informations soient adaptées aux besoins des personnes vulnérables telles que les enfants » (§ 65). Elle juge « qu’une information qui reposerait nécessairement sur une démarche active de leur part n’est pas adaptée en l’espèce » (§ 65). En pratique, cela signifie que des formulaires d’information spécialement rédigés pour les mineurs, remis à leur représentant légal et/ou à eux-mêmes selon leur âge et leur degré de compréhension, sont requis. Une information générique destinée aux adultes ne saurait satisfaire à cette obligation.
Q11. Le responsable de traitement est-il obligé d’informer les personnes concernées lors d’une mise à jour de leur fiche dans le TAJ ?
Oui, dans certains cas. Les articles 230-8 et R. 40-31-1 du CPP imposent que les personnes concernées soient informées lors du maintien de leurs données à la suite d’une décision d’acquittement ou de relaxe devenue définitive, ou lors de demandes de requalification ou d’effacement. La rapporteure a relevé que « certaines juridictions indiquent ne pas informer les personnes à la suite d’une mise à jour du fichier les concernant, en méconnaissance des dispositions des articles 230-8 et R. 40-31-1 » (§ 58). Cette obligation d’information post-décision est distincte et cumulative avec l’obligation d’information initiale lors de la collecte.
PARTIE IV — QUESTIONS RELATIVES AUX DROITS D’ACCÈS, DE RECTIFICATION ET D’EFFACEMENT (ART. 105 ET 106 LIL)
Q12. Comment les personnes concernées exercent-elles leur droit d’accès au TAJ ?
Le droit d’accès s’exerce directement auprès du responsable du traitement (ministère de l’Intérieur — DGPN ou DGGN selon le service ayant procédé à l’inscription), conformément à l’article R. 40-33 du CPP. Le responsable dispose d’un délai de deux mois pour répondre. Lorsque les suites judiciaires ne sont pas connues des services gestionnaires, ceux-ci doivent consulter le parquet territorialement compétent ou le magistrat référent national, lesquels disposent eux-mêmes d’un délai de deux mois pour se prononcer (art. 230-9 CPP). En cas de refus ou d’absence de réponse dans les délais, la personne peut saisir la CNIL d’une réclamation au titre de l’article 104-4° LIL.
Q13. Que peut faire une personne dont la demande d’accès ou de rectification est restée sans réponse ?
Elle peut saisir la CNIL d’une réclamation. La CNIL est compétente pour vérifier que le responsable de traitement respecte ses obligations et peut lui enjoindre d’y satisfaire. La délibération SAN-2024-017 illustre précisément cette compétence : la CNIL a constaté que « dans 60% des cas, les parquets ne répondent pas aux demandes des services gestionnaires saisis de demande d’accès » (§ 76) et a injonction aux deux ministères d’y remédier. Par ailleurs, en cas de préjudice résultant de la conservation de données inexactes ayant eu des conséquences sur des décisions administratives, un recours indemnitaire devant les juridictions administratives est envisageable, la responsabilité de l’État pouvant être engagée en cas de faute dans la mise en œuvre du traitement.
Q14. Quelle est la spécificité du rôle du ministère de la Justice dans le traitement des droits des personnes concernant le TAJ ?
Le ministère de la Justice joue un rôle essentiel et irremplaçable dans le traitement des demandes de droits des personnes, car « seul le ministre de la justice peut permettre le traitement des demandes d’accès, de rectification ou d’effacement lorsque les suites judiciaires sont inconnues des services gestionnaires du TAJ au sein de la police, de la gendarmerie nationale et des douanes » (§ 76). C’est le procureur de la République territorialement compétent qui doit se prononcer sur les suites judiciaires lorsque celles-ci ne sont pas connues des services gestionnaires. En l’absence de réponse du parquet — ce qui, selon les contrôles, représente 60% des cas — les services gestionnaires sont dans l’impossibilité matérielle de satisfaire à la demande de la personne concernée dans le délai légal de deux mois.
PARTIE V — QUESTIONS RELATIVES AUX MESURES CORRECTIVES ET AU SUIVI DE LA CONFORMITÉ
Q15. Quelles mesures concrètes ont été imposées par la CNIL aux deux ministères par l’injonction du 17 octobre 2024 ?
L’injonction porte sur deux axes distincts. D’une part, sur l’exactitude des données : « prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont pas à jour soient effacées ou rectifiées sans tarder […] par exemple en mettant en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le TAJ ». D’autre part, sur les droits des personnes : « prendre toutes les mesures raisonnables pour garantir que les droits d’accès, de rectification et d’effacement soient assurés […] par exemple en mettant en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce qu’une réponse soit systématiquement apportée dans les deux mois ». Le délai de mise en conformité expire le 31 octobre 2026, date à laquelle les justificatifs doivent être adressés à la formation restreinte.
Q16. Pourquoi la décision a-t-elle été rendue publique alors qu’aucune amende n’a été prononcée ?
La formation restreinte a estimé nécessaire la publication de sa décision pour plusieurs raisons qu’elle explicite : « l’ancienneté de la problématique concernant un fichier mis en œuvre par des acteurs publics, le nombre important de personnes concernées et la sensibilité du traitement », « le fichier traite également les données des personnes mineures », et le fait que « les durées de conservation de ces données ainsi que les conséquences de la consultation du fichier sur la vie privée des personnes » justifient que le public soit informé (§ 93). En rendant publique sa décision, la CNIL remplit une mission d’information des personnes susceptibles d’être concernées par les dysfonctionnements constatés, tout en exerçant une pression institutionnelle sur les ministères pour la mise en œuvre effective de l’injonction.
Q17. Les autres organismes publics gérant des fichiers de police ou de justice doivent-ils tirer des enseignements de cette décision ?
Oui, sans réserve. La délibération SAN-2024-017 établit des principes applicables à l’ensemble des traitements soumis à la directive Police-Justice. Tout responsable de traitement d’autorité compétente — police nationale, gendarmerie, douanes, services de renseignement, parquets dans leur rôle de gestionnaire de fichiers — doit s’interroger sur : (i) la fiabilité de ses procédures de mise à jour ; (ii) la qualité de l’information délivrée aux personnes lors de la collecte ; (iii) l’effectivité du traitement des demandes d’exercice de droits dans les délais légaux. La formation restreinte a rappelé « que la CNIL évoquait le TAJ dans son rapport d’activité de 2018 et y formulait plusieurs points d’attention […] de sorte que la problématique relevée lors des contrôles de 2022 n’est pas nouvelle » (§ 90), signalant que la durée et la connaissance préalable d’un manquement constituent des facteurs aggravants dans l’appréciation de la gravité des manquements.
POINTS ESSENTIELS
Par délibération n° SAN-2024-017 du 17 octobre 2024, la formation restreinte de la CNIL a prononcé un rappel à l’ordre public à l’encontre du ministère de l’Intérieur et des Outre-Mer et du ministère de la Justice, assortis d’une injonction de mise en conformité avec délai expirant au 31 octobre 2026, en raison de trois manquements à la loi Informatique et Libertés dans la gestion du traitement d’antécédents judiciaires (TAJ) — fichier policier soumis au régime de la directive UE 2016/680 transposée au titre III de la loi Informatique et Libertés, qui répertorie plus de 103 millions d’affaires et quelque 24 millions de fiches de personnes physiques, et dont les données, conservées de cinq à quarante ans, sont consultées dans le cadre d’enquêtes judiciaires mais aussi d’enquêtes administratives relatives à l’accès à la fonction publique, à l’obtention de la nationalité française ou à des emplois réglementés.
Le premier manquement, au titre de l’article 97 de la LIL (exactitude des données), résulte d’un déficit structurel de mise à jour : sur plus d’un million de décisions judiciaires devant annuellement donner lieu à effacement, rectification ou apposition de mention dans le TAJ (relaxes, acquittements, non-lieux, classements sans suite), seules environ 300 000 y donnent effectivement lieu, laissant 700 000 fiches inexactes ou incomplètes dans le fichier chaque année, faute de transmission systématique par les parquets des décisions définitives aux services gestionnaires — une défaillance documentée depuis le rapport annuel d’activité 2021 et aggravée par l’échec, malgré quinze ans de travaux depuis 2008, de l’interconnexion inter-applicatifs entre CASSIOPÉE et TAJ, qui seule permettrait une répercussion automatisée des décisions de justice.
Le deuxième manquement, au titre de l’article 104 de la LIL (information des personnes lors de la collecte), tient à l’absence, lors des gardes à vue et auditions libres, d’une information individuelle, complète et spécifique au TAJ remise à chaque personne mise en cause — les seules modalités en place (publication au Journal officiel, affiche générique dans les locaux, mise en ligne sur les sites ministériels) étant jugées insuffisantes notamment pour les personnes détenues ou sans domicile, et pour les mineurs au sens du considérant 39 de la directive 2016/680 exigeant une information adaptée aux personnes vulnérables ;
Ce manquement est néanmoins reconnu comme partiellement en cours de remédiation, le ministère de l’Intérieur s’étant engagé à déployer des formulaires individuels spécifiques au TAJ d’ici le second semestre 2025. Le troisième manquement, au titre des articles 105 et 106 de la LIL (droits d’accès, rectification et effacement), procède directement du précédent : dans 60% des cas, les parquets ne répondent pas aux demandes des services gestionnaires du TAJ consultés dans le cadre de demandes individuelles de droit d’accès, rendant impossible le respect du délai légal de deux mois fixé par l’article 230-9 du CPP, si bien que 511 demandes demeuraient non traitées au 31 décembre 2023 malgré les optimisations organisationnelles engagées par le ministère de l’Intérieur.
Sur le plan procédural, la formation restreinte a écarté l’exception d’incompétence soulevée par le ministère de la Justice fondée sur l’immunité juridictionnelle du V de l’article 19 de la LIL, requalifiant les actes de gestion du TAJ en actes administratifs détachables des fonctions juridictionnelles, en s’appuyant notamment sur l’article R. 40-32 du CPP qui réserve expressément le contrôle de la CNIL. L’absence d’amende s’explique par l’exonération légale de l’État prévue au 7° du III de l’article 20 de la LIL. La décision s’inscrit dans la continuité des délibérations SAN-2021-016 (FAED), de la décision CNIL 2015-005, et de SAN-2023-017 (SIS II), confirmant la compétence pleine et entière de la CNIL sur les fichiers policiers et judiciaires et l’exigence d’une mise en conformité structurelle — et non de simples mesures correctives cosmétiques — des traitements de données à caractère personnel mis en œuvre par les autorités compétentes de l’État.
27.05.2026 | Dernière Mise à Jour | Armand-Ari BETTAN & Dominique KARPISEK-BETTAN, Avocats