Fichier automatisé des empreintes digitales : rappel à l’ordre du ministère de l'Intérieur par la CNIL

Le 24 septembre 2021, la formation restreinte de la CNIL a sanctionné le ministère de l'Intérieur pour sa mauvaise gestion du fichier automatisé des empreintes digitales (FAED). Le FAED est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales. Ces empreintes sont principalement utilisées par les forces de l’ordre dans le cadre de leurs enquêtes.

Les contrôles et la décision de la CNIL

À l’issue de contrôles effectués auprès des services de la police technique et scientifique et de juridictions (tribunaux judiciaires et cours d’appel), la formation restreinte, organe de la CNIL chargé de prononcer les sanctions, a décidé de publiquement rappeler à l’ordre le ministère de l'Intérieur. Cinq manquements concernant la manière dont étaient traitées les données du FAED ont été relevés par la CNIL :

• la conservation, dans le fichier, de données non prévues par les textes ;
• la conservation de données pendant une durée excédant celle prévue par les textes ;
• la conservation de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite ;
• une sécurité des données insuffisante en raison d’un mot de passe peu robuste ;
• l’absence d’information des personnes concernées.

Bien que le ministère de l’Intérieur ait entamé des travaux sur la plupart des manquements, la formation restreinte a néanmoins considéré les moyens engagés comme insuffisants. En conséquence, elle a également décidé d’adopter plusieurs injonctions à l’encontre du ministère.   La CNIL a ainsi enjoint au ministère de l'Intérieur de :

• supprimer les fiches d’un ancien « fichier manuel » qui aurait dû être détruit ;
• effacer les données dont la collecte n’est pas prévue par le décret FAED ;
• supprimer les fiches dont la durée de conservation est atteinte ;
• s’assurer que les décisions de relaxe, d’acquittement et de correctionnalisation (lorsqu’un crime est requalifié en délit) soient répercutées dans le FAED ;
• s’assurer que les décisions de non-lieu et de classement sans suite soient répercutées dans le FAED uniquement en cas de décision expresse du procureur de la République ;
• renforcer la sécurité de la connexion au FAED ;
• délivrer une information aux personnes dont les empreintes sont versées au FAED.

Le ministère doit se mettre en conformité sur ces points au plus tard le 31 octobre 2021, sauf en ce qui concerne la suppression du « fichier manuel » qui devra intervenir le 31 décembre 2022.

Le détail des manquements commis par le ministère de l’Intérieur

La conservation, dans le fichier, de données non prévues par les textes

Le décret du 8 avril 1987 créant le FAED dresse la liste limitative des informations qui peuvent figurer dans le fichier. Or, la CNIL a constaté que dans certains cas, le nom d’une victime ou le numéro d’immatriculation d’un véhicule y sont enregistrés, alors que ces informations ne font pas partie de celles pouvant être collectées. La CNIL a également constaté que malgré la dématérialisation du FAED, amorcée dès 1987, plusieurs millions de fiches de signalisation étaient toujours conservées en format papier au sein d’un « fichier manuel ». Si la CNIL prend acte des importants efforts fournis par le ministère de l’Intérieur pour trier et supprimer ces fiches, elle a néanmoins souligné que le texte qui avait institué le « fichier manuel » avait été abrogé en 2001. Par conséquent, la conservation de ces fiches ne reposait plus sur aucune base légale.

La conservation de données pendant une durée excédant celle prévue par les textes

Le décret relatif au FAED prévoit que les fiches de signalisation peuvent, selon, les cas, être conservées jusqu’à 15 ans ou 25 ans. Or, la CNIL a constaté que le point de départ des délais de conservation était calculé à compter de la dernière signalisation pour chaque personne concernée et non à compter de l’établissement de chaque fiche relative à cette personne, ce qui avait pour conséquence que chaque nouvelle signalisation de la personne concernée faisait courir un nouveau délai pour l’ensemble de ses signalisations. Des travaux ont néanmoins été entrepris par le ministère de l’Intérieur pour mettre le traitement en conformité sur ce point.

La conservation de données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite

Le décret relatif au FAED prévoit que les fiches de signalisation doivent être effacées en cas de relaxe ou d’acquittement définitif. En outre, en cas de décision de non-lieu ou de classement sans suite, les fiches doivent être effacées, sauf en cas de décision motivée du procureur de la République. Or :

• de nombreuses juridictions ne transmettaient pas automatiquement au gestionnaire du FAED les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite, de sorte que les fiches correspondantes n’étaient pas supprimées ;
• en cas de décision de non-lieu ou de classement sans suite, les fiches de signalisation étaient conservées malgré l’absence de décision expresse du procureur de la République. La formation restreinte a donc rappelé dans sa décision que, par principe, les fiches doivent supprimées.

Un manquement relatif à la sécurité des données en raison d’un mot de passe insuffisamment robuste

La CNIL a constaté que les forces de police peuvent accéder au FAED en utilisant un mot de passe composé de 8 caractères. Or, compte tenu de la sensibilité des données qui figurent dans le FAED, la CNIL a considéré que ce type de mot de passe n’est pas suffisamment robuste.

Un manquement relatif à l’information des personnes

La CNIL a relevé que mis à part une communication sur les sites web du ministère de l’intérieur et le site web « service public », aucune information n’est délivrée individuellement aux personnes dont les empreintes sont prises puis versées au FAED. Ainsi, les personnes concernées sont susceptibles d’ignorer jusqu’à l’existence même de ce fichier.

La décision de la CNIL

> Délibération de la formation restreinte n°SAN-2021-016 du 24 septembre 2021 concernant le ministère de l'Intérieur - Légifrance p/o Virginie Gastine Menou RISQUES ET VOUS ✍🏼 Proposer une offre de job :  💈 Consulter les offres qui vous correspondent :