“11. Sur l’information des personnes, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur qu’une instruction a été diffusée le 30 mai 2023 par la direction générale de la police nationale à l’ensemble de ses services, comportant une affiche informative à apposer dans tous les lieux accessibles au public et en particulier les lieux privatifs de liberté. La formation restreinte relève que si cette affiche reprend bien les informations figurant à l’article 104 de la loi du 6 janvier 1987 relative à l’informatique, aux fichiers et aux libertés, elle renvoie cependant à la consultation d’une rubrique intitulée ” rubrique protection des données “, inexistante sur le site web du ministère de l’intérieur. La formation restreinte relève néanmoins l’existence, sur ce site web, d’une rubrique intitulée ” Politique de confidentialité ” dont le contenu porte sur la protection des données. La formation restreinte invite donc le ministère de l’intérieur à modifier l’intitulé de la rubrique relative à la protection des données visée par l’affiche informative afin qu’elle corresponde à celui mentionné sur le site internet www.interieur.gouv.fr. Sous réserve de cette modification, la formation restreinte considère que le ministère de l’intérieur s’est conformé à l’injonction sur ce point.
“7. Sur la licéité du traitement, la formation restreinte relève d’abord qu’il ressort des éléments fournis par le ministère de l’intérieur que la modification du décret du 8 avril 1987 portant création du FAED et l’analyse d’impact relative à la protection des données correspondantes sont en cours d’instruction et de finalisation. La formation restreinte relève que le ministère de l’intérieur indique que la nouvelle version du décret prévoira expressément la collecte du nom et du prénom de la victime, du numéro d’immatriculation, de la marque et du type de véhicule sur lequel l’empreinte digitale ou palmaire a été prélevée. La formation restreinte relève que la CNIL a été saisie d’une demande d’avis relative à la nouvelle version du décret et considère que la régularisation du traitement est en cours. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur que l’effacement de l’ensemble des fiches de signalisation papier était réalisé au 24 avril 2023. La formation restreinte considère que les mesures énoncées permettent de considérer que le ministère de l’intérieur s’est conformé à l’injonction sur ce point”.
8. Sur la durée de conservation des données, la formation restreinte relève que le ministère de l’intérieur indique avoir mis en place un apurement semi-automatisé hebdomadaire des données dont la date de conservation est dépassée et que ce délai court désormais à compter de l’établissement de chaque fiche de signalisation. La formation restreinte relève également qu’il ressort des éléments fournis par le ministère de l’intérieur que l’ensemble des signalisations dont la date d’expiration est dépassée seront supprimées à partir de la fin du troisième trimestre 2023. Elle considère que ces mesures permettent de considérer que les données à caractère personnel sont conservées uniquement pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées.
9. Sur l’exactitude des données traitées, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur qu’un nouveau modèle de ” fiche navette ” a été mis en place depuis une dépêche n° DP 2022/0037/H18 en date du 8 décembre 2022 permettant au ministère de l’intérieur d’être correctement informé des décisions prises par les autorités judiciaires afin de les répercuter dans le FAED et que la création d’un réseau de référents dédiés dans les parquets est prévue. Elle considère que ces mesures permettent de garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour, soient effacées ou rectifiées sans tarder.
10. Sur la sécurité des données traitées, la formation restreinte relève d’abord qu’il ressort des éléments fournis par le ministère de l’intérieur que, depuis octobre 2021, il est imposé que l’accès au FAED soit fait au moyen de la carte agent associée à un code PIN […]. Ensuite, la formation restreinte relève qu’il ressort des éléments fournis par le ministère de l’intérieur que des instructions ont été communiquées par le service national de police scientifique, préconisant la suppression des clichés de signalisation conservés en format papier ou informatique en dehors du FAED ainsi que des relevés signalétiques conservés en dehors du FAED. La formation restreinte considère que ces mesures permettent de garantir un niveau de sécurité adapté au risque“.
12. Au regard de l’ensemble de ces éléments, la formation restreinte considère que le ministère de l’intérieur a satisfait aux injonctions.”
Mis en œuvre par le SNPS (service national de police scientifique) du Ministère de l’Intérieur, le FAED enregistre les traces relevées dans le cadre d’une enquête pour crime ou délit flagrant, d’une enquête préliminaire, d’une commission rogatoire, d’une enquête ou d’une information pour recherche des causes de la mort ou d’une disparition, d’une enquête consécutive à la découverte d’une personne grièvement blessée, lorsque la cause de ses blessures est inconnue ou suspecte, et de l’exécution d’un ordre de recherche délivré par une autorité judiciaire.
Le FAED contient les empreintes digitales et palmaires relevées dans le cadre d’une procédure pénale concernant des personnes à l’encontre desquelles il existe des indices graves ou concordants rendant vraisemblable qu’elles aient pu participer, comme auteur ou comme complice, à la commission d’un crime ou d’un délit, ou des personnes mises en cause dans une procédure criminelle ou délictuelle, dont l’identification certaine s’avère nécessaire.
Le FAED enregistre des données à caractère personnel de personnes dont la signalisation a été effectuée:
-en vue de faciliter la recherche et l’identification, par les services de la police nationale et les unités de la gendarmerie nationale ainsi que par le service national de la douane judiciaire, des auteurs de crimes et de délits et de faciliter la poursuite, l’instruction et le jugement des affaires criminelles et délictuelles dont l’autorité judiciaire est saisie
-en vue de faciliter la recherche et la découverte des mineurs et majeurs protégés disparus ainsi que celles des majeurs dont la disparition présente un caractère inquiétant ou suspect eu égard aux circonstances, à l’âge de l’intéressé ou à son état de santé
-en vue de faciliter l’identification dans un cadre judiciaire des personnes décédées ainsi que l’identification des personnes découvertes grièvement blessées dont l’identité n’a pu être établie
-en vue de faciliter l’identification dans un cadre extrajudiciaire des personnes décédées.
Le FAED peut être consulté:
-en vue de permettre l’identification d’un étranger
-en vue de permettre l’identification des personnes dans le cadre de la procédure de vérification d’identité.
La durée de conservation des données biométriques et autres informations qui lui sont liées est de 15 années, par principe, mais elle peut atteindre 25 ans dans des hypothèses particulières (notamment sur décision du Procureur ou lorsque l’identité n’a pu être établie) ou être réduite à 10 années lorsqu’elles les empreintes sont relevées sur des personnes mineures.
Pour le reste, elles doivent être effacées dans les hypothèses visées à l’article 7-1 du décret, et notamment, en cas de décision de relaxe ou d’acquittement devenue définitive, de décision de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu, sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier.
MINISTERE DE L’INTERIEUR – EMPREINTES DIGITALES
La CNIL faisant injonction au Ministère de l’Intérieur de mettre en conformité le FAED avant le 31 octobre 2021 en relevant les manquements suivants:
“s’agissant du manquement relatif à la licéité du traitement : ne traiter que les informations visées par l’article 4 du décret no 87-249 et uniquement dans le cadre prévu par ce texte, et notamment veiller à l’effacement des données à caractère personnel contenues dans la rubrique ” informations spéciales ” et à la destruction du ” fichier manuel “, à l’exception des fiches pouvant être conservées à des fins archivistiques dans l’intérêt public ou à des fins de recherche scientifique ou historique ;
s’agissant du manquement relatif à la durée de conservation des données, ne conserver des données sous une forme permettant l’identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées, par exemple en mettant en œuvre un système automatisé permettant l’effacement des données à l’expiration des durées prévues par l’article 5 du décret no 87-249, en veillant en particulier à ce que ces durées de conservations courent à compter de l’établissement de chaque fiche signalétique et effacer les données dont la durée de conservation est atteinte ;
s’agissant du manquement relatif à l’exactitude des données, prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition, par exemple en mettant en place une procédure normalisée et généralisée à l’ensemble des juridictions visant à ce que toutes les décisions juridictionnelles définitives soient répercutées dans le FAED, et notamment :
s’agissant de l’effacement de plein droit, s’assurer que l’ensemble des décisions de relaxe, d’acquittement et de correctionnalisation, même partielles, soient répercutées dans le FAED ;
s’agissant de l’effacement de principe, s’assurer que l’ensemble des décisions de non-lieu et de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu soient répercutées dans le FAED, sans décision expresse contraire du procureur de la République compétent ;
s’agissant du manquement relatif à la sécurité des données, mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque : en imposant par exemple que l’accès au FAED nécessite une connexion à l’aide de la carte-agent et d’un code PIN ; en veillant à ne traiter de données à caractère personnel que dans les conditions sécurisées définies pour la mise en œuvre du fichier central du FAED à l’issue des opérations de signalisation, notamment dans les locaux de signalisation, par exemple en donnant des instructions en ce sens aux services en charge de la collecte des données.
s’agissant du manquement relatif à l’information des personnes, s’assurer qu’une information conforme aux exigences de l’article 104 de la loi no 78-17 du 6 janvier 1978 est fournie aux personnes concernées”