I.

---

Le cadre normatif applicable : la directive « Police-Justice » et le titre III de la loi Informatique et Libertés

 

La délibération SAN-2024-017 s’inscrit dans un régime juridique spécifique, distinct du cadre général du RGPD. La formation restreinte affirme expressément que le traitement d’antécédents judiciaires (TAJ) est mis en œuvre « à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales », au sens de l’article 87 de la loi Informatique et Libertés. Le TAJ relève donc du titre III de la loi du 6 janvier 1978, qui transpose la directive 2016/680 du 27 avril 2016, dite directive « Police-Justice ».

Ce régime présente plusieurs particularités fondamentales qui conditionnent l’ensemble du raisonnement de la formation restreinte. D’une part, les dispositions substantielles applicables sont celles du titre III de la loi Informatique et Libertés — et non les articles du RGPD — notamment les articles 97 (exactitude des données), 104 (information des personnes), 105 et 106 (droits d’accès, de rectification et d’effacement). D’autre part, et c’est une conséquence directe de la qualité de l’organisme mis en cause, l’article 20, III, 7° de la loi Informatique et Libertés exclut expressément le prononcé d’une amende administrative « dans le cas où le traitement de données à caractère personnel est mis en œuvre par l’État ». Cette exclusion n’est pas une clémence mais une règle de droit positif : seuls le rappel à l’ordre, l’injonction et la publicité sont disponibles comme mesures correctrices à l’encontre des ministères.

La formation restreinte identifie les autorités compétentes au sens de l’article 87 : le ministre de l’Intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale) pour la mise en œuvre du TAJ en vertu de l’article R. 40-23 du code de procédure pénale, et l’autorité judiciaire — procureurs de la République et magistrat référent national — pour le contrôle et la mise à jour du fichier en vertu des articles 230-8 et 230-9 du même code.

---

Le TAJ : architecture d’un fichier à haut risque

 

Le traitement d’antécédents judiciaires est un fichier de police judiciaire régi par les articles 230-6 et suivants du code de procédure pénale. Sa finalité est de faciliter la constatation des infractions pénales, le rassemblement des preuves de ces infractions et la recherche de leurs auteurs. Il contient des données identifiantes (état civil, adresse, profession, photographie) ainsi que des données révélant la participation réelle ou supposée à des infractions délictuelles ou criminelles, pour les personnes mises en cause comme pour les victimes.

Le TAJ s’utilise dans deux cadres radicalement distincts qui en révèlent la sensibilité exceptionnelle. Dans le cadre judiciaire, il sert d’instrument de recherche criminelle. Dans le cadre administratif — et c’est là que se concentrent les enjeux de protection des données — il est consulté lors d’enquêtes portant sur des demandes d’acquisition de la nationalité française, d’admission à des concours de la fonction publique, ou encore d’accès à des emplois dont l’exercice est réglementé pour des raisons de sécurité. En décembre 2021, le fichier répertoriait plus de 103 millions d’affaires, ce qui en fait l’un des traitements les plus massifs gérés par l’État. Il traite également des données relatives à des mineurs, ce qui commande une vigilance renforcée.

II.

---

La question de compétence à l’égard du ministère de la Justice : une construction jurisprudentielle de la formation restreinte

 

La délibération SAN-2024-017 tranche une question de droit inédite dans la jurisprudence de la CNIL : le ministère de la Justice est-il justiciable de la formation restreinte pour les manquements relatifs au TAJ, fichier dont la responsabilité de traitement est formellement attribuée au seul ministère de l’Intérieur par le code de procédure pénale ?

Le ministère de la Justice avait soulevé une exception d’incompétence aux motifs que, premièrement, le code de procédure pénale désigne exclusivement le ministère de l’Intérieur comme responsable du traitement, et que, deuxièmement, les opérations de mise à jour du TAJ par les parquets s’inscrivent dans l’exercice de la fonction juridictionnelle, domaine soustrait par l’article 19, V, de la loi Informatique et Libertés au pouvoir de contrôle de la CNIL.

La formation restreinte rejette les deux branches de cette exception, dans un raisonnement en quatre temps. Premièrement, elle analyse la nature des opérations de mise à jour : elles « se cantonnent à la transmission de données » et ne participent pas « intrinsèquement de l’exécution directe » de décisions juridictionnelles. L’envoi d’une fiche navette est une conséquence des décisions judiciaires, non leur exécution. Deuxièmement, la formation restreinte observe que l’article R. 40-32 du code de procédure pénale réserve expressément le contrôle de la CNIL sur les attributions du magistrat référent national, ce qui constitue un argument textuel décisif. Troisièmement, la formation restreinte retient que la mise à jour du TAJ « revêt la nature d’un acte d’administration du service public de la justice détachable des fonctions juridictionnelles du ministère public », en transposant à la matière la théorie des actes détachables. Quatrièmement, elle tire un argument téléologique : si la CNIL ne pouvait pas adresser d’injonction au ministère de la Justice, elle serait dépourvue de tout moyen d’agir sur les manquements des parquets dans la gestion du TAJ, ce qui conduirait à une « protection imparfaite des données traitées, d’ailleurs contraire aux objectifs de la directive Police-justice ».

La formation restreinte adopte également une position de principe sur la responsabilité à l’égard de l’État : même lorsqu’un acte réglementaire désigne un seul ministre comme responsable du traitement, cela n’exclut pas la compétence de la CNIL pour contrôler et enjoindre les autres administrations de l’État auxquelles cet acte confie un rôle dans la mise en œuvre du traitement. Elle fonde cette position sur le IV de l’article 20 de la loi Informatique et Libertés, lu à la lumière de l’article 46 de la directive 2016/680. Elle s’appuie également sur un précédent remarquable : en 2015, la présidente de la CNIL avait déjà mis en demeure les deux ministères conjointement (décision n° 2015-005 du 2 février 2015), ce que les deux ministres avaient alors accepté sans contester la compétence de la CNIL.

---

La qualification de responsabilité conjointe : une question résolue par voie de compétence subsidiaire

 

Le débat sur la responsabilité conjointe entre les deux ministères est particulièrement instructif. La rapporteure avait soutenu que le ministère de la Justice devait être regardé comme responsable conjoint du traitement pour l’application de la loi Informatique et Libertés. En défense, les ministères ont contesté cette qualification en faisant valoir que seul le ministère de l’Intérieur est formellement désigné par le code de procédure pénale, que le ministère de la Justice ne détermine ni les finalités ni les moyens essentiels du traitement, et que la transmission des suites judiciaires ne constitue qu’une « mise en relation entre traitements » insuffisante pour qualifier une responsabilité conjointe.

La formation restreinte tranche en contournant élégamment la question : « sans qu’il soit besoin de se prononcer sur sa qualité de responsable conjoint au sens de cette loi », elle se reconnaît compétente pour prononcer à l’encontre du ministère de la Justice un rappel à l’ordre et lui enjoindre de prendre les mesures nécessaires, sur le fondement de la combinaison des articles 20 et suivants de la loi Informatique et Libertés et des dispositions réglementaires conférant au ministère de la Justice un rôle dans la mise en œuvre du TAJ. Cette technique de délibération est remarquable : la formation restreinte étend son pouvoir répressif sans trancher le débat de droit public sur la responsabilité conjointe, en maintenant une incertitude doctrinale utile à la flexibilité de son action future.

III.

---

Le manquement à l’exactitude des données — article 97 de la loi Informatique et Libertés

 

L’article 97 de la loi Informatique et Libertés impose aux autorités compétentes de « prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ». Ce texte transpose l’article 7 de la directive 2016/680, qui consacre le principe d’exactitude dans le champ « Police-Justice ».

Le mécanisme de mise à jour du TAJ repose sur la « fiche navette » : à chaque procédure transmise à une juridiction par la police nationale ou la gendarmerie nationale, une fiche navette est jointe ; à la fin de la procédure, cette fiche permet d’informer le service gestionnaire des suites judiciaires, afin que ces dernières soient répercutées dans le fichier. Ce mécanisme est purement manuel et dépend de la diligence des parquets locaux à transmettre les fiches renseignées.

La formation restreinte constate une défaillance massive et systémique de ce mécanisme. Lors des contrôles réalisés à partir de janvier 2022, les questionnaires envoyés aux juridictions ont révélé des pratiques radicalement différentes : certains tribunaux ne transmettaient aucune décision au TAJ, d’autres n’en transmettaient que certaines. La donnée la plus saisissante est celle communiquée par le ministère de la Justice lui-même : si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, il n’en dénombre qu’environ 300 000 prises annuellement, soit moins d’un tiers du volume attendu. En d’autres termes, environ 700 000 décisions judiciaires par an — relaxes, acquittements, non-lieux, classements sans suite — ne sont pas répercutées dans le TAJ.

Les conséquences sont graves et concrètes. Des personnes acquittées ou bénéficiaires d’un non-lieu restent enregistrées comme mises en cause dans le fichier sans qu’aucune mention y soit apposée. Lorsque ce fichier est consulté dans le cadre d’une enquête administrative — pour une demande de naturalisation, d’entrée dans la fonction publique ou d’accès à un emploi sensible — la personne concernée peut se voir refuser ce dont elle avait le droit, sur la foi d’une donnée inexacte. Cette inexactitude n’est pas une erreur ponctuelle mais un déficit structurel et documenté depuis des années.

La formation restreinte ne reproche pas aux ministères de ne pas avoir résolu le problème — elle reconnaît les « efforts déployés depuis 2008 » — mais de ne pas avoir mis en œuvre les « mesures raisonnables » qu’imposait l’article 97. À cet égard, elle relève que, depuis 2008, les ministères mènent des travaux d’interconnexion des fichiers CASSIOPEE (base de données des décisions judiciaires) et TAJ, qui permettrait une mise à jour automatisée. En février 2024, une expérimentation était en cours au tribunal judiciaire de Châteauroux, mais les deux ministères ont eux-mêmes indiqué qu’elle « se heurte à des difficultés techniques ne permettant pas d’envisager la généralisation ». Le ministère de l’Intérieur a même reconnu que les nouveaux cas de mise à jour prévus par l’article 230-8 du code de procédure pénale depuis sa modification en 2018 ne seraient pas couverts même si cette interconnexion aboutissait. Seize années de travaux sans résultat effectif et une extension périmétrique du problème depuis 2018 : la formation restreinte en tire la conclusion que le manquement à l’article 97 est constitué.

IV.

---

Le manquement à l’obligation d’information — article 104 de la loi Informatique et Libertés

 

L’article 104 de la loi Informatique et Libertés impose au responsable de traitement de mettre à la disposition des personnes concernées cinq catégories d’informations : l’identité et les coordonnées du responsable de traitement, les coordonnées du DPO le cas échéant, les finalités du traitement, le droit d’introduire une réclamation auprès de la CNIL, et l’existence des droits d’accès, de rectification et d’effacement.

La formation restreinte retient, dans un premier temps, que l’obligation d’information dans le champ du titre III de la loi Informatique et Libertés autorise une information « générale, et non individuelle » — les personnes n’ont pas à être informées une par une lors de leur inscription dans le fichier. Ce faisant, elle confirme une interprétation libérale de l’obligation, adaptée à la nature policière du traitement. Mais cette souplesse a une contrepartie impérative : l’information générale doit être « effectivement accessible aux personnes concernées », « de façon permanente et sans demande de leur part ».

Au regard de ce standard, la formation restreinte juge insuffisantes les modalités en place au moment des contrôles. Premièrement, la publication de l’acte réglementaire au Journal officiel ne remplit pas l’obligation, notamment parce que des catégories entières de personnes — personnes détenues, personnes sans domicile fixe — n’ont pas accès à Internet et ignoraient jusqu’à l’existence même du TAJ. La formation restreinte cite explicitement, sur ce point, une délibération antérieure (SAN-2021-016 du 24 septembre 2021) et les avis rendus en 2022 sur des projets de décret. Deuxièmement, l’affiche apposée dans les lieux accessibles au public ne mentionnait que les photographies parmi les données susceptibles d’être intégrées dans le fichier, alors que de nombreuses autres catégories de données y sont traitées. L’information est jugée incomplète car elle ne permet pas aux personnes de « connaître les données qui seront traitées dans le TAJ ». Troisièmement, la formation restreinte insiste sur la vulnérabilité spécifique des mineurs, pour qui le considérant 39 de la directive 2016/680 prévoit une information « adaptée aux besoins des personnes vulnérables telles que les enfants ».

La formation restreinte opère cependant une dissociation notable : elle constate le manquement pour les faits passés, mais considère que le ministère de l’Intérieur s’est mis en conformité avec les engagements pris au cours de la procédure. En effet, pendant l’instruction, la DGPN et la DGGN ont annoncé la remise systématique de formulaires aux personnes mises en cause lors des gardes à vue et auditions libres, la création d’une affiche complète présentant toutes les mentions de l’article 104, et la mise à jour du récépissé de dépôt de plainte pour les victimes. Ces engagements devant être réalisés « au plus tard au deuxième semestre 2025 », la formation restreinte en déduit qu’il n’y a pas lieu de prononcer d’injonction sur ce point. Le manquement reste néanmoins caractérisé pour la période antérieure et fonde le rappel à l’ordre.

V.

---

Les manquements aux droits d’accès, de rectification et d’effacement — articles 105 et 106

 

Les articles 105 et 106 de la loi Informatique et Libertés consacrent le droit des personnes d’obtenir confirmation du traitement de leurs données et d’en obtenir l’accès, la rectification, la complétion ou l’effacement. L’article R. 40-33 du code de procédure pénale précise que ces droits s’exercent directement auprès du responsable du traitement.

Le mécanisme de traitement des droits d’accès au TAJ présente une dépendance structurelle envers les parquets : lorsque les services gestionnaires reçoivent une demande d’accès et ignorent les suites judiciaires données à la procédure concernée, ils doivent interroger le parquet territorialement compétent pour obtenir ces informations et donner une réponse dans le délai légal de deux mois. C’est précisément ce point de dépendance qui s’avère défaillant.

La formation restreinte relève que lors des contrôles, la délégation a été informée que dans 60 % des cas, les parquets ne répondent pas aux demandes des services gestionnaires saisies de demandes d’accès. Ce chiffre est accablant : il signifie que, dans la majorité des situations où la réponse dépend d’une consultation du parquet, aucune réponse n’est apportée à la personne concernée dans les délais légaux. Le ministère de la Justice a lui-même reconnu ce dysfonctionnement en indiquant que 511 demandes d’accès restaient en attente de traitement au 31 décembre 2023 — contre 777 au 31 décembre 2022.

Le ministère de l’Intérieur a, pour sa part, substantiellement réorganisé ses services gestionnaires : création d’une cellule dédiée au sein du service central du renseignement criminel de la gendarmerie nationale depuis le 8 février 2024, réorganisation du service DATA-I avec onze effectifs dédiés et deux officiers encadrants. Ces mesures permettent, selon le ministère, de traiter les demandes d’accès en trois à dix jours lorsque la suite judiciaire est connue. Mais elles sont inopérantes quand le parquet ne répond pas.

La formation restreinte conclut que la persistance du stock de demandes en attente au 31 décembre 2023 « démontre la persistance du manquement malgré la communication des trames de décisions-types en décembre 2022 ». Elle retient un manquement aux articles 105 et 106 de la loi Informatique et Libertés, imputable aux deux ministères, et prononce une injonction de mettre en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce qu’une réponse soit systématiquement apportée dans les deux mois.

---

L’articulation entre le manquement à l’exactitude et le manquement aux droits des personnes

 

La délibération met en lumière une relation causale directe entre le premier manquement et le troisième. La défaillance de mise à jour du TAJ (article 97) est à la fois indépendante de l’exercice des droits et en même temps un facteur aggravant pour celui-ci : si un individu demande l’effacement ou la rectification de ses données au motif qu’il a été acquitté, mais que le parquet ne transmet pas les informations permettant de vérifier cette suite judiciaire et de procéder à la mise à jour, les deux manquements se cumulent et se renforcent. La personne se retrouve dans une situation doublement préjudiciable : ses données inexactes persistent dans le fichier, et elle ne peut exercer ses droits pour les faire corriger.

VI.

---

Les défenses ministérielles : force et limites

 

Les deux ministères ont produit des mémoires en défense substantiels, soulevant des arguments en droit et en fait.

Sur la compétence de la CNIL à l’égard du ministère de la Justice, ils ont plaidé, d’une part, l’exclusivité de la désignation du ministère de l’Intérieur comme responsable de traitement et, d’autre part, l’immunité juridictionnelle de l’activité des parquets. La formation restreinte a rejeté ces deux branches, mais sa construction repose sur la théorie de l’acte détachable et une lecture téléologique de la directive 2016/680 dont la solidité peut être discutée. La Cour de Justice de l’Union européenne ne s’est pas encore prononcée sur la portée exacte de l’exception juridictionnelle prévue par cette directive.

Sur l’exactitude des données, les ministères ont fait valoir les mesures d’amélioration mises en place depuis 2022 : dépêche du garde des Sceaux du 8 décembre 2022, réseau de magistrats référents, nouvelles fiches navettes, expérimentation d’interconnexion à Châteauroux. La formation restreinte a reconnu ces efforts mais les a jugés insuffisants au regard du déficit quantitatif documenté (700 000 mises à jour manquantes par an). L’argument symétrique des ministères — qu’ils ne peuvent être tenus de compenser les failles de l’autre — révèle une impasse institutionnelle que la CNIL ne peut résoudre seule.

Sur l’information des personnes, le ministère de l’Intérieur a engagé, au cours de la procédure, des mesures de mise en conformité qui ont conduit la formation restreinte à ne pas prononcer d’injonction sur ce point. Il s’agit là d’un facteur d’atténuation qui démontre l’utilité de la procédure contradictoire : les engagements pris pendant l’instruction peuvent éviter une injonction de mise en conformité tout en laissant le rappel à l’ordre constitué pour les faits passés.

Sur les droits d’accès, la formation restreinte prend acte des mesures organisationnelles du ministère de l’Intérieur mais constate leur impuissance tant que le ministère de la Justice ne garantit pas la réactivité des parquets. Elle note que le stock de demandes en attente à fin 2023, bien que réduit, reste significatif et démontre la persistance du dysfonctionnement.

VII.

---

Les fondements textuels des manquements : analyse comparative des régimes RGPD et directive « Police-Justice »

 

La délibération SAN-2024-017 illustre les spécificités substantielles du régime de la directive 2016/680 par rapport au RGPD, en particulier sur deux points.

S’agissant de l’exactitude, l’article 97 de la loi Informatique et Libertés reprend l’article 7 de la directive 2016/680 en imposant des « mesures raisonnables » plutôt qu’une obligation de résultat. Cette formulation, différente de l’article 5.1.d du RGPD qui impose aux données d’être « exactes » et « tenues à jour », traduit une reconnaissance de la difficulté pratique pour les autorités compétentes de maintenir à jour des fichiers de grande taille dépendant de remontées d’informations externes. La formation restreinte applique ce standard de manière rigoureuse : non seulement les ministères n’ont pas pris toutes les mesures raisonnables disponibles (interconnexion CASSIOPEE-TAJ), mais ils ont eux-mêmes documenté l’insuffisance des mesures adoptées.

S’agissant de l’information, l’article 104 ne reprend pas les distinctions de l’article 13 et 14 du RGPD entre information directe et information indirecte. Il prévoit une obligation de mise à disposition d’une information générale, sans information individuelle systématique. Cette souplesse est contrebalancée par une exigence d’accessibilité effective, qui prend un relief particulier pour un fichier dont les personnes concernées — notamment les personnes détenues — ne peuvent pas accéder à Internet. La formation restreinte opère ainsi une interprétation fonctionnelle de l’obligation d’information, centrée sur l’accessibilité réelle plutôt que sur l’existence formelle d’une information publiée.

S’agissant des droits des personnes, les articles 105 et 106 transposent les articles 17 et 18 de la directive 2016/680, qui organisent un régime de droits spécifiques, distinct du régime du RGPD. En particulier, l’article 17 de la directive prévoit que le responsable du traitement n’est tenu d’informer la personne de l’existence de ses données que sur demande — le droit d’accès indirect — ce qui n’implique pas de réponse systématique sans sollicitation. La formation restreinte sanctionne néanmoins le défaut de réponse aux demandes effectivement exercées, ce qui ne prête pas à discussion.

VIII.

---

La sensibilité du traitement comme facteur aggravant : la dimension droits fondamentaux

 

L’un des motifs centraux qui traverse l’ensemble de la délibération est la sensibilité particulière des données traitées dans le TAJ et les conséquences concrètes de leur inexactitude sur les droits fondamentaux des personnes.

La formation restreinte souligne, à plusieurs reprises, que la présence dans le TAJ peut conduire, « par exemple, à refuser l’admission à concourir un emploi public ». Elle rappelle également que ce fichier est utilisé pour les enquêtes administratives préalables à l’acquisition de la nationalité française. Les données conservées dans le TAJ le sont pour des durées allant de cinq à quarante ans pour les infractions les plus graves, et concernent à la fois des personnes mises en cause et des victimes. Le maintien de mentions inexactes — notamment l’absence de l’indication d’un acquittement ou d’un non-lieu — est « de nature à porter gravement atteinte, et de façon potentiellement irrversible, aux droits fondamentaux des personnes ».

La formation restreinte insiste également sur la présence de mineurs dans le fichier, population vulnérable pour laquelle la directive 2016/680 prévoit une protection renforcée, notamment en matière d’information. Elle cite à ce titre le considérant 39 de la directive qui exige des informations « adaptées aux besoins des personnes vulnérables telles que les enfants ». Elle rappelle également sa propre délibération n° SAN-2021-016 du 24 septembre 2021, qui avait déjà prononcé un rappel à l’ordre contre le seul ministère de l’Intérieur pour des manquements relatifs au Fichier automatisé des empreintes digitales (FAED), établissant ainsi une continuité dans son contrôle des fichiers de police judiciaire.

Cette analyse en termes de droits fondamentaux n’est pas rhétorique. Elle conditionne directement la décision de rendre publique la délibération malgré le fait que les mis en cause sont des ministères de l’État, et elle justifie la gravité du rappel à l’ordre.

 
 
 

---

POINTS ESSENTIELS

---

Par délibération n° SAN-2024-017 du 17 octobre 2024, la formation restreinte de la CNIL a prononcé un rappel à l’ordre public à l’encontre du ministère de l’Intérieur et des Outre-Mer et du ministère de la Justice, assortis d’une injonction de mise en conformité avec délai expirant au 31 octobre 2026, en raison de trois manquements à la loi Informatique et Libertés dans la gestion du traitement d’antécédents judiciaires (TAJ) — fichier policier soumis au régime de la directive UE 2016/680 transposée au titre III de la loi Informatique et Libertés, qui répertorie plus de 103 millions d’affaires et quelque 24 millions de fiches de personnes physiques, et dont les données, conservées de cinq à quarante ans, sont consultées dans le cadre d’enquêtes judiciaires mais aussi d’enquêtes administratives relatives à l’accès à la fonction publique, à l’obtention de la nationalité française ou à des emplois réglementés.

Le premier manquement, au titre de l’article 97 de la LIL (exactitude des données), résulte d’un déficit structurel de mise à jour : sur plus d’un million de décisions judiciaires devant annuellement donner lieu à effacement, rectification ou apposition de mention dans le TAJ (relaxes, acquittements, non-lieux, classements sans suite), seules environ 300 000 y donnent effectivement lieu, laissant 700 000 fiches inexactes ou incomplètes dans le fichier chaque année, faute de transmission systématique par les parquets des décisions définitives aux services gestionnaires — une défaillance documentée depuis le rapport annuel d’activité 2021 et aggravée par l’échec, malgré quinze ans de travaux depuis 2008, de l’interconnexion inter-applicatifs entre CASSIOPÉE et TAJ, qui seule permettrait une répercussion automatisée des décisions de justice.

Le deuxième manquement, au titre de l’article 104 de la LIL (information des personnes lors de la collecte), tient à l’absence, lors des gardes à vue et auditions libres, d’une information individuelle, complète et spécifique au TAJ remise à chaque personne mise en cause — les seules modalités en place (publication au Journal officiel, affiche générique dans les locaux, mise en ligne sur les sites ministériels) étant jugées insuffisantes notamment pour les personnes détenues ou sans domicile, et pour les mineurs au sens du considérant 39 de la directive 2016/680 exigeant une information adaptée aux personnes vulnérables ;

Ce manquement est néanmoins reconnu comme partiellement en cours de remédiation, le ministère de l’Intérieur s’étant engagé à déployer des formulaires individuels spécifiques au TAJ d’ici le second semestre 2025. Le troisième manquement, au titre des articles 105 et 106 de la LIL (droits d’accès, rectification et effacement), procède directement du précédent : dans 60% des cas, les parquets ne répondent pas aux demandes des services gestionnaires du TAJ consultés dans le cadre de demandes individuelles de droit d’accès, rendant impossible le respect du délai légal de deux mois fixé par l’article 230-9 du CPP, si bien que 511 demandes demeuraient non traitées au 31 décembre 2023 malgré les optimisations organisationnelles engagées par le ministère de l’Intérieur.

---

Sur le plan procédural, la formation restreinte a écarté l’exception d’incompétence soulevée par le ministère de la Justice fondée sur l’immunité juridictionnelle du V de l’article 19 de la LIL, requalifiant les actes de gestion du TAJ en actes administratifs détachables des fonctions juridictionnelles, en s’appuyant notamment sur l’article R. 40-32 du CPP qui réserve expressément le contrôle de la CNIL. L’absence d’amende s’explique par l’exonération légale de l’État prévue au 7° du III de l’article 20 de la LIL. La décision s’inscrit dans la continuité des délibérations SAN-2021-016 (FAED), de la décision CNIL 2015-005, et de SAN-2023-017 (SIS II), confirmant la compétence pleine et entière de la CNIL sur les fichiers policiers et judiciaires et l’exigence d’une mise en conformité structurelle — et non de simples mesures correctives cosmétiques — des traitements de données à caractère personnel mis en œuvre par les autorités compétentes de l’État.