N° de demande d’avis : 25010858	Thématiques : transmission de signalements, plaintes, dénonciations et procès-verbaux ; article 40 du code de procédure pénale
Organisme(s) à l’origine de la saisine : ministère de la justice	Fondement de la saisine : Article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

1. Le traitement « infoParquet » est une plateforme de transmission centralisée visant à faciliter la communication des signalements et des plaintes par l’administration ou toute personne morale chargée d’une mission de service public préalablement conventionnée aux autorités judiciaires. Ses finalités sont déterminées, explicites et légitimes.

2. La CNIL relève la difficulté qui s’attache à l’énumération anticipée et exhaustive de toutes les catégories de données à caractère personnel susceptibles d’être collectées à partir de signalements de natures très variées et de documents joints susceptibles de contenir de nombreuses données.

3. D’une part, elle considère que le décret devrait préciser la typologie des "données relatives à l’identité et à l’identification" pouvant être traitées.

4. D’autre part, elle accueille favorablement la précision, au niveau du décret, de la possible collecte incidente de « toute information ou donnée à caractère personnel » susceptible d’apparaitre dans les documents transmis, dans la mesure où des garanties sont en l’espèce mises en place pour prévenir tout traitement excessif.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;

Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le droit en vigueur prévoit plusieurs cas dans lesquels une personne morale ayant une mission de service public est amenée, de manière obligatoire ou facultative, à dénoncer des faits auprès du ministère public compétent. Actuellement, une partie des transmissions de signalements et de plaintes enregistrés par l’administration et les autorités dotées de pouvoirs de police judiciaire s’effectue par voie postale.

Or, conformément à l’article D.589 du code de procédure pénale (CPP), les fonctionnaires et agents exerçant des pouvoirs de police judiciaire peuvent établir, convertir et transmettre à l’autorité judiciaire des pièces de procédure sous format numérique, sans nécessité d’un support papier.

Issu de la loi n° 2019-222 du 23 mars 2019 de programmation et de réforme pour la justice, le programme « Procédure pénale numérique » (PPN) a été déployé afin de contribuer à la transformation numérique de la justice. L’objectif de ce programme est de simplifier le traitement des procédures pénales en procédant à leur dématérialisation et de faciliter la collaboration de l’ensemble des acteurs de la chaîne pénale. Conduit conjointement par les ministères de l’intérieur et de la justice, le programme PPN est à l’origine de la création du traitement « infoParquet ».

B. L’objet de la saisine

La CNIL a été saisie pour avis, sur le fondement de l’article 31 de la loi du 6 janvier 1978, par le ministère de la justice d’un projet de décret portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « infoParquet ». Dans la mesure où ce traitement a pour vocation de faciliter la détection et la répression des infractions par l’autorité judiciaire, il relève des dispositions du titre III de la loi « informatique et libertés ».

Le traitement « infoParquet » est conçu comme un canal de transmission numérique centralisé qui s’adresse à toute autorité ou personne en charge d’une mission de service public, préalablement autorisée par convention, amenée à effectuer un signalement au parquet. Ces conventions, conclues entre l’organisme et le ministère de la justice ou un tribunal judiciaire, précisent les cas d’usage du traitement ainsi que leur fondement juridique.

II. L’avis de la CNIL

A. Sur les finalités du traitement

L’article 1^er du projet de décret prévoit que le traitement « infoParquet » a pour finalités :

• la facilitation de la transmission à l’autorité judiciaire des procès-verbaux, plaintes, signalements et dénonciations par toute administration, autorité, personne publique ou privée chargée d’une mission de service public préalablement autorisée par convention ;

• le suivi par les organismes des suites qui ont été réservées à ces transmissions.

La CNIL estime que les finalités du traitement sont déterminées, explicites et légitimes. Dans la mesure où elles sont rappelées au sein des conventions qui lient l’organisme au ministère, la Commission considère qu’elles sont exprimées suffisamment clairement aux utilisateurs du traitement.

B. Sur les catégories de données traitées

L’article 2 du projet de décret liste les données à caractère personnel et les informations pouvant être enregistrées dans le traitement en distinguant les catégories de personnes auxquelles elles se réfèrent (mis en cause, victimes, témoins éventuels des faits ou personnes susceptibles d’apporter des éléments utiles à la dénonciation, personnes utilisatrices du traitement).

a. Concernant la minimisation des données collectées

Les données pouvant être enregistrées dans le traitement sont issues :

• d’un formulaire contenant un certain nombre de champs prédéterminés ainsi qu’un espace « commentaire » facultatif rempli par les organismes conventionnés ;
• des signalements obligatoirement transmis par les organismes conventionnés accompagnés de pièces jointes ;
• des suites de la procédure transmises en retour par les juridictions aux organismes conventionnés.

Il résulte de ce mode de collecte, en particulier l’alimentation du traitement par des pièces jointes, une impossibilité de fixer, au niveau du décret, une liste exhaustive des catégories de données susceptibles d’être traitées.

En premier lieu, la CNIL relève qu’il est particulièrement difficile d’identifier à l’avance tous les types de données à caractère personnel susceptibles d’être traitées dans le cadre de la transmission de signalements de natures très variées, provenant de différentes autorités et susceptibles de concerner les faits les plus divers (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).

En deuxième lieu, la catégorie des "données relatives à l’identité et à l’identification des personnes physiques et morales" est susceptible de faire l’objet d’une interprétation large et de couvrir de nombreuses catégories de données (v. CNIL, SP, 10 novembre 2022, avis sur projet de décret, traitements de gestion des traces, n° 2022-110, publié). A cet égard, la CNIL :

• recommande que cette catégorie soit précisée dans le décret, notamment quant à la possibilité d’enregistrer des photographies, ce à quoi s’est engagé le ministère ;
• prend acte de ce qu’aucun dispositif de reconnaissance faciale ne sera mis en œuvre.

En troisième lieu, s’agissant des pièces de procédure et des documents joints aux signalements, le II de l’article 2 du projet de décret autorise l’enregistrement de « toute information ou donnée à caractère personnel » susceptible d’y apparaître. Sur ce point, le ministère précise que la liste des données figurant au I de l’article 2 du projet de décret a été élaborée en s’inspirant d’une pratique antérieure de transmission de signalements aux différents parquets par les autorités compétentes. Le I de l’article 2 vise, par conséquent, un champ plus large que les seules données renseignées dans le formulaire et peut permettre de couvrir une partie des données contenues dans les documents.

Bien que la mention figurant au II de l’article 2 du projet de décret ne précise pas les catégories de données susceptibles d’être traitées, la CNIL accueille favorablement cette rédaction au regard des contraintes précédemment évoquées et de la mise en place de garanties, notamment le fait que ces données seront collectées sans être exploitées dans le cadre du traitement et qu’une durée de conservation réduite est prévue pour les documents afférents (voir infra, point C).

Au regard du caractère non limitatif du nombre de pièces pouvant être transmises, la CNIL prend acte de la modification du modèle de convention par le ministère afin d’alerter les organismes sur le fait que les données que ces pièces contiennent doivent s’avérer pertinentes au regard des finalités du traitement.

b. Concernant la collecte de données sensibles

Le projet de décret autorise l’enregistrement de données sensibles au sens de l’article 6 de la loi « informatique et libertés » dans la stricte mesure où ces données sont nécessaires à la poursuite des finalités définies par le projet de décret.

Ces données sont susceptibles d’être collectées via les pièces jointes versées dans le traitement.

En revanche, l’espace « commentaire » contenu dans le formulaire doit, selon les précisions apportées, exclusivement permettre aux organismes de transmettre un message à l’autorité judiciaire pour la bonne gestion du dossier et n’a donc pas vocation à contenir de données sensibles.

Dans cette perspective, l’espace « commentaire », qui équivaut à un champ libre, demeure facultatif, limité à 500 caractères et sera accompagné d’un message d’avertissement permanent visant à limiter la collecte de données à caractère personnel.

Enfin, il est prévu qu’une infobulle, à la première connexion par l’utilisateur, indique que des données sensibles ne peuvent être enregistrées dans le traitement que dans la stricte mesure où elles sont nécessaires à la poursuite de ses finalités.

La CNIL accueille favorablement la mise en place de ces garanties visant à limiter la collecte de données sensibles.

C. Sur les durées de conservation

Le projet de décret fixe les durées de conservation maximales des données enregistrées dans le traitement au regard des nécessités pratiques de leur transmission à l’autorité judiciaire. Cette transmission est assurée via une mise en relation avec le traitement « Dossier pénal numérique » (DPN).

La durée de conservation des données enregistrées est d’un mois, à compter de la création d’une nouvelle procédure, ce délai étant justifié par les contraintes de la transmission à l’autorité judiciaire.

La CNIL estime cette durée de conservation adaptée aux besoins de modification des signalements effectués par les organismes conventionnés et, ainsi, nécessaire aux finalités du traitement.

Après transmission des données à l’autorité judiciaire, les pièces jointes deviennent inaccessibles à tous les utilisateurs mais sont conservées un mois en base active avant d’être définitivement supprimées du traitement. Les données contenues dans le formulaire sont, quant à elles, conservées en fonction des besoins de la procédure.

Le ministère justifie la nécessité de conserver les données du formulaire par le souci, pour les organismes concernés, d’assurer un suivi précis des suites judiciaires apportées à leur signalement.

La CNIL prend acte de ce que les durées de conservation des données du formulaire ne peuvent pas être précisément ni uniformément définies compte tenu de la variété des signalements effectués et de la diversité des procédures qui en découle. Bien que le périmètre de ces informations soit plus restreint que celui des pièces jointes, elle recommande au ministère de veiller à une vérification régulière des données afin de procéder à leur effacement en fonction des suites judiciaires.

Enfin, dans l’attente de la mise en œuvre effective de la suppression automatique des données enregistrées dans le traitement, le ministère précise qu’elles seront supprimées manuellement.

La CNIL prend acte de l’engagement du ministère de mettre en œuvre, selon le calendrier détaillé dans l’analyse d’impact relative à la protection des données (AIPD), un mécanisme de suppression automatique des données à l’expiration des délais indiqués dans le projet de décret.

D. Sur les accédants au traitement

Le projet de décret prévoit que seuls peuvent accéder au traitement les agents individuellement désignés, spécialement habilités appartenant aux autorités compétentes et expressément conventionnées. L’accès aux données et aux fonctionnalités du traitement sera limité selon les missions et le besoin d’en connaître.

Il ressort des précisions apportées que les accès seront déterminés et encadrés par des conventions conclues avec des acteurs variés et potentiellement très nombreux. Dans ce contexte, un comité de suivi trimestriel aura vocation à procéder à la vérification régulière des habilitations.

La CNIL accueille favorablement ces garanties de suivi qui permettent de limiter les risques de multiplication d’accès illégitimes à l’applicatif.

E. Sur les mesures de sécurité

Concernant l’authentification des utilisateurs, la CNIL prend acte de l’engagement du ministère de mettre en œuvre une authentification dite de vérification en deux étapes, permettant de limiter le risque d’usurpation d’identité. La CNIL invite néanmoins le ministère à s’interroger sur la possibilité du déploiement à terme d’une solution d’authentification multifacteur, au-delà de la solution en deux étapes.

En outre, la CNIL prend acte de la confirmation du ministère concernant la mise en place d’une journalisation applicative.

Elle rappelle néanmoins sa recommandation sur le déploiement d’une mesure technique de surveillance active de ces journaux applicatifs, en vue de permettre la détection d’actions malveillantes au sein du traitement.

Enfin, la CNIL prend acte de l’engagement du ministère de mettre en œuvre le chiffrement des bases de données du traitement.

Elle rappelle la nécessaire mise en œuvre de ces différents engagements au plus tôt afin de sécuriser le traitement projeté.

La présidente,

M.-L. Denis