I.

---

Le régime applicable : directive « Police-Justice » et loi Informatique et Libertés

 

Le TAJ relève du titre III de la loi du 6 janvier 1978, qui transpose la directive 2016/680, et non du RGPD. Les manquements retenus s’appuient sur les articles 97, 104, 105 et 106 de la loi Informatique et Libertés. L’article 20, III, 7° de la même loi exclut toute amende administrative lorsque le traitement est mis en œuvre par l’État, de sorte que seuls le rappel à l’ordre, l’injonction et la publicité sont disponibles comme mesures correctrices.

Le TAJ, régi par les articles 230-6 et suivants du code de procédure pénale, répertoriait plus de 103 millions d’affaires en décembre 2021. Il est utilisé à des fins policières (recherche d’auteurs d’infractions) et à des fins administratives (enquêtes préalables à la naturalisation, à l’entrée dans la fonction publique, à l’accès à des emplois sensibles). Cette double utilisation fait de l’exactitude des données un enjeu de droits fondamentaux, car une fiche inexacte peut — de façon potentiellement irréversible — compromettre l’avenir professionnel ou le projet de nationalité d’une personne acquittée ou bénéficiaire d’un non-lieu.

II.

---

La compétence de la CNIL à l’égard du ministère de la Justice

 

Le ministère de la Justice avait soulevé une exception d’incompétence en soutenant que ses opérations de mise à jour du TAJ s’inscrivaient dans l’exercice de la fonction juridictionnelle, domaine soustrait au contrôle de la CNIL par l’article 19, V, de la loi Informatique et Libertés.

La formation restreinte rejette cette exception. Elle retient que la transmission des fiches navettes renseignées par les parquets constitue un « acte d’administration du service public de la justice détachable des fonctions juridictionnelles du ministère public ». Elle s’appuie en outre sur l’article R. 40-32 du code de procédure pénale, qui réserve expressément le contrôle de la CNIL sur les attributions du magistrat référent national. De plus, elle pose un principe général : la CNIL est compétente pour adresser rappels à l’ordre et injonctions aux administrations de l’État auxquelles les textes réglementaires confient un rôle dans la mise en œuvre d’un traitement, même si elles ne sont pas désignées comme responsables de traitement. À défaut, la formation restreinte serait dépourvue de tout moyen d’agir sur les manquements des parquets, résultat « contraire aux objectifs de la directive Police-Justice ».

III.

---

Les manquements retenus

 

Manquement à l’article 97 — exactitude des données. La mise à jour du TAJ repose sur le mécanisme des fiches navettes : à chaque décision de justice, le parquet doit transmettre une fiche informant le service gestionnaire des suites judiciaires afin de répercuter les effacements, rectifications ou mentions obligatoires. Ce mécanisme est défaillant. Le ministère de la Justice a lui-même admis que si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, seules environ 300 000 sont effectivement traitées. Certains tribunaux ne transmettent aucune décision. Des personnes acquittées ou bénéficiant d’un non-lieu continuent ainsi de figurer comme mises en cause dans le fichier, sans qu’aucune mention corrective y soit apposée. Les travaux d’interconnexion des fichiers CASSIOPEE et TAJ, engagés depuis 2008, n’ont pas abouti. Une expérimentation à Châteauroux depuis février 2024 se heurte à des difficultés techniques, et le ministère de l’Intérieur a lui-même reconnu que même en cas d’interconnexion, les nouveaux cas de mise à jour prévus par l’article 230-8 depuis 2018 ne seraient pas couverts. La formation restreinte conclut que les mesures raisonnables imposées par l’article 97 n’ont pas été mises en œuvre.

Manquement à l’article 104 — information des personnes. Au moment des contrôles, l’information relative au TAJ se limitait à la publication de l’acte réglementaire au Journal officiel et à des informations en ligne sur les sites du ministère et de service-public.fr. La formation restreinte juge ces modalités insuffisantes : de nombreuses personnes concernées — personnes détenues, personnes sans domicile — n’ont pas accès à Internet et pouvaient ignorer jusqu’à l’existence même du TAJ. L’affiche apposée dans les locaux de police ne mentionnait que les photographies parmi les données traitées, constituant une information incomplète. La formation restreinte constate le manquement pour les faits passés mais n’enjoint pas sur ce point, le ministère de l’Intérieur ayant pris des engagements de mise en conformité en cours de procédure (formulaires remis aux personnes mises en cause lors des gardes à vue, refonte du récépissé de dépôt de plainte pour les victimes, affiche complète).

Manquements aux articles 105 et 106 — droits d’accès, de rectification et d’effacement. Les services gestionnaires du TAJ reçoivent des demandes d’accès de particuliers. Lorsque les suites judiciaires sont inconnues, ils doivent consulter le parquet territorialement compétent. Les contrôles ont révélé que dans 60 % des cas, les parquets ne répondent pas à ces demandes. Au 31 décembre 2023, 511 demandes restaient en attente de traitement. La formation restreinte retient que le ministère de la Justice ne garantit pas l’effectivité des droits des personnes dans les délais légaux de deux mois. Elle prononce une injonction de mise en conformité à l’encontre des deux ministères, portant notamment sur l’établissement d’une procédure effective et généralisée à l’ensemble des juridictions.

 
 
 

---

POINTS ESSENTIELS

---

Par délibération n° SAN-2024-017 du 17 octobre 2024, la formation restreinte de la CNIL a prononcé un rappel à l’ordre public à l’encontre du ministère de l’Intérieur et des Outre-Mer et du ministère de la Justice, assortis d’une injonction de mise en conformité avec délai expirant au 31 octobre 2026, en raison de trois manquements à la loi Informatique et Libertés dans la gestion du traitement d’antécédents judiciaires (TAJ) — fichier policier soumis au régime de la directive UE 2016/680 transposée au titre III de la loi Informatique et Libertés, qui répertorie plus de 103 millions d’affaires et quelque 24 millions de fiches de personnes physiques, et dont les données, conservées de cinq à quarante ans, sont consultées dans le cadre d’enquêtes judiciaires mais aussi d’enquêtes administratives relatives à l’accès à la fonction publique, à l’obtention de la nationalité française ou à des emplois réglementés.

Le premier manquement, au titre de l’article 97 de la LIL (exactitude des données), résulte d’un déficit structurel de mise à jour : sur plus d’un million de décisions judiciaires devant annuellement donner lieu à effacement, rectification ou apposition de mention dans le TAJ (relaxes, acquittements, non-lieux, classements sans suite), seules environ 300 000 y donnent effectivement lieu, laissant 700 000 fiches inexactes ou incomplètes dans le fichier chaque année, faute de transmission systématique par les parquets des décisions définitives aux services gestionnaires — une défaillance documentée depuis le rapport annuel d’activité 2021 et aggravée par l’échec, malgré quinze ans de travaux depuis 2008, de l’interconnexion inter-applicatifs entre CASSIOPÉE et TAJ, qui seule permettrait une répercussion automatisée des décisions de justice.

Le deuxième manquement, au titre de l’article 104 de la LIL (information des personnes lors de la collecte), tient à l’absence, lors des gardes à vue et auditions libres, d’une information individuelle, complète et spécifique au TAJ remise à chaque personne mise en cause — les seules modalités en place (publication au Journal officiel, affiche générique dans les locaux, mise en ligne sur les sites ministériels) étant jugées insuffisantes notamment pour les personnes détenues ou sans domicile, et pour les mineurs au sens du considérant 39 de la directive 2016/680 exigeant une information adaptée aux personnes vulnérables ;

Ce manquement est néanmoins reconnu comme partiellement en cours de remédiation, le ministère de l’Intérieur s’étant engagé à déployer des formulaires individuels spécifiques au TAJ d’ici le second semestre 2025. Le troisième manquement, au titre des articles 105 et 106 de la LIL (droits d’accès, rectification et effacement), procède directement du précédent : dans 60% des cas, les parquets ne répondent pas aux demandes des services gestionnaires du TAJ consultés dans le cadre de demandes individuelles de droit d’accès, rendant impossible le respect du délai légal de deux mois fixé par l’article 230-9 du CPP, si bien que 511 demandes demeuraient non traitées au 31 décembre 2023 malgré les optimisations organisationnelles engagées par le ministère de l’Intérieur.

---

Sur le plan procédural, la formation restreinte a écarté l’exception d’incompétence soulevée par le ministère de la Justice fondée sur l’immunité juridictionnelle du V de l’article 19 de la LIL, requalifiant les actes de gestion du TAJ en actes administratifs détachables des fonctions juridictionnelles, en s’appuyant notamment sur l’article R. 40-32 du CPP qui réserve expressément le contrôle de la CNIL. L’absence d’amende s’explique par l’exonération légale de l’État prévue au 7° du III de l’article 20 de la LIL. La décision s’inscrit dans la continuité des délibérations SAN-2021-016 (FAED), de la décision CNIL 2015-005, et de SAN-2023-017 (SIS II), confirmant la compétence pleine et entière de la CNIL sur les fichiers policiers et judiciaires et l’exigence d’une mise en conformité structurelle — et non de simples mesures correctives cosmétiques — des traitements de données à caractère personnel mis en œuvre par les autorités compétentes de l’État.