Fichier automatisé des empreintes digitales : le ministère de l'Intérieur sanctionné
Principalement utilisé par les forces de l’ordre dans le cadre de leurs enquêtes, le Faed est un fichier de police judiciaire d’identification recensant les empreintes digitales de personnes mises en cause dans des procédures pénales. La direction centrale de la police judiciaire du ministère de l’Intérieur, sous le contrôle d’un magistrat de l’ordre judiciaire, est responsable de ce fichier qui contient l’enregistrement de traces ou d’empreintes digitales de plus de 6,2 millions d’individus.
Cinq manquements
Après avoir réalisé plusieurs contrôles auprès des services de la police technique et scientifique et de juridictions, la Cnil a pointé du doigt cinq manquement à la loi informatique et libertés dans le traitement des données du Faed. Tout d’abord, le ministère de l’Intérieur a conservé dans le Faed des données qui n’étaient pas prévues par les textes, comme le nom de la victime ou un numéro d’immatriculation. En effet, un décret liste limitativement les informations pouvant accompagner les empreintes digitales et palmaires enregistrées. Il lui est ensuite reproché d’avoir conservé des données pour un temps excédant la durée de conservation de principe des traces et des empreintes. Depuis 2017, celle-ci est fixée à quinze ans, à dix ans pour les empreintes des mineurs, et elle peut être augmentée à vingt-cinq ans selon l’infraction. Les modalités de conservation des données du Faed prévoyaient, elles, une durée de vingt-cinq ans, sans distinction selon l’âge de la personne concernée. De plus, le point de départ de ce délai était calculé à compter de la dernière signalisation de la personne concernée et non à compter de l’établissement de sa fiche. Par conséquent, chaque nouvelle signalisation d’une personne concernée faisait courir un nouveau délai pour l’ensemble de ses signalisations. La Cnil a également constaté qu’étaient conservées des données relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite. Or ces empreintes et les informations les accompagnant auraient dû être effacées puisque "leur conservation n’apparaît plus nécessaire pour des raisons liées à la finalité du fichier".
Un manquement relatif à la sécurité des données a également été relevé : la connexion au Faed était possible par la simple combinaison d’un identifiant et d’un mot de passe composé de huit caractères. Le régulateur a estimé que cette mesure ne pouvait être considérée comme "appropriée pour garantir un niveau de sécurité adapté au risque". Le responsable du traitement (ici le ministère de l’Intérieur) est en effet soumis à une obligation de sécurité renforcée lorsqu’il traite des données dites sensibles, ce qui est le cas des empreintes digitales et palmaires. Enfin, la formation restreinte a relevé que les personnes concernées par le traitement n’avaient pas reçu les informations qui leur étaient dues en vertu de la loi informatique et libertés. Aucune information relative au Faed n’était affichée dans les locaux de garde à vue et "aucune information n’était communiquée aux personnes concernées, ni par les services de police, ni par le parquet, ni au moment du prononcé ou de la signification de la décision, ni à un autre moment." La Cnil précise que la communication sur les sites web du ministère de l'Intérieur et "service public" ne saurait, à elle seule, être suffisante pour répondre à l’obligation d’information posée par le texte. Ainsi, les personnes concernées dont les empreintes étaient prises puis versées au Faed étaient susceptibles d’ignorer jusqu’à l’existence même de ce fichier.
Un mois pour se mettre en conformité
Jugeant insuffisantes les démarches que le ministère de l’Intérieur avait déjà lancées pour atteindre la mise en conformité, la Cnil a publiquement rappelé à l’ordre l’administration et a prononcé plusieurs mesures correctrices à son encontre. Concernant les données contenues dans le fichier, le ministère aura donc jusqu’au 31 octobre 2021 pour : effacer celles dont la collecte n’est pas prévue par décret, supprimer celles dont la durée de conservation est atteinte et pour s’assurer que les décisions de relaxe, d’acquittement, de correctionnalisation de non-lieu et de classement sans suite soient répercutées dans le Faed. Il devra également renforcer la sécurité de la connexion et délivrer une information aux personnes dont les empreintes sont versées au Faed. Il aura enfin jusqu’au 31 décembre 2022 pour supprimer les fiches d’un ancien "fichier manuel" qui aurait dû être détruit.