N° de demande d’avis : [26006444]	Thématiques : Enfance, Protection, Santé
Organisme(s) à l’origine de la saisine : [Ministère de la Justice]	Fondement de la saisine : Article 8-I-4°-a de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés

L’essentiel :

1. La CNIL estime que les nouvelles possibilités de consultation du FIJAISV et du FIJAIT en lien avec la protection des mineurs, de même que le nouveau régime de contrôle administratif des personnes amenées à travailler en établissement scolaire, sont légitimes au regard de l’objectif de protection de l’enfance. Elle relève en revanche que le projet de loi prévoit également une extension très significative du contrôle d’honorabilité à toutes les personnes amenées à travailler au contact des usagers du système de santé ; un tel caractère systématique, sur un champ d’application particulièrement large, induit un changement de la nature même de ce contrôle. Ces évolutions nécessitent donc, en tout état de cause, une vigilance particulière en matière de protection des données du fait de la sensibilité des fichiers concernés.

2. La CNIL s’interroge sur la complexité du schéma retenu s’agissant du nouveau régime de contrôle des antécédents administratifs pour les personnes travaillant dans les établissements scolaires publics et privés, avec la création de deux fichiers distincts, qui pourront être alimentés par des données relatives à des interdictions et incapacités purement administratives et sur lesquelles pourront être fondées des incapacités indépendamment de toute procédure judiciaire. Elle pointe en outre le double risque lié à la proportionnalité du dispositif et aux conséquences pour les personnes concernées.

3. Enfin, la CNIL invite le Gouvernement à sensibiliser les nouveaux destinataires des données du FIJAISV et du FIJAIT, relativement nombreux, aux règles en vigueur en matière de protection des données. Elle alerte également sur les risques liés à la sécurité, du fait du nombre de traitements impliqués (FIJAIS, FIJAIT, nouveaux fichiers du ministère de l’éducation …) et de l’importante quantité de données traitées ainsi que sur la nécessité de prévoir des mécanismes de contrôle adéquats.

___________________

La Commission nationale de l’informatique et des libertés,

Saisie par le ministère de la justice d’une demande d’avis concernant l’article 5 d’un projet de loi relatif à la protection de l’enfance ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ;

Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

Le projet de loi s’inscrit dans la continuité d’une première saisine récente. La CNIL avait, en effet, déjà été saisie en urgence par le ministère de la justice de l’article, à l’époque numéroté 6, d’un projet de loi relatif à la protection de l’enfance. Elle avait rendu un premier avis le 19 février 2026. Ce projet prévoyait, pour l’essentiel, un renforcement du contrôle des antécédents judiciaires des personnes accueillant des mineurs et des personnels amenés à travailler au contact de mineurs, notamment dans le champ de l’éducation, de l’action sociale et familiale ainsi que de la santé.

Ces dispositions impliquaient une extension des finalités du fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAISV), du fichier judiciaire des auteurs d’infractions terroristes (FIJAIT) et du bulletin n° 2 (B2) du casier judiciaire national (CJN), par le biais de modifications législatives apportées au code de procédure pénale (CPP,) au code de l’éducation, au code de l’action sociale et des familles (CASF) et au code de la santé publique (CSP). Sous certaines réserves, la CNIL a, dans cette première délibération, considéré ces modifications comme légitimes et proportionnées à l’objectif d’intérêt général de protection de l’enfance.

À la suite de plusieurs évolutions du même projet de loi, le ministère de la justice a, de nouveau, saisi en urgence la CNIL de nouvelles dispositions enrichissant le même article, devenu article 5, de ce projet de loi.

Comme elle l’a déjà fait à l’occasion de sa délibération du 19 février 2026, la CNIL attire l’attention du ministère de la justice sur les conditions de cette saisine en urgence sur un dossier technique et complexe, et invite les administrations concernées à s’efforcer de lui présenter des textes consolidés afin de lui offrir une vision globale du dispositif envisagé.

B. L’objet de la saisine

En premier lieu, le nouvel article 5 vise, tout en conservant les évolutions précédentes qu’il prolonge, à renforcer le contrôle des antécédents des personnes en contact avec les mineurs.

D’une part, il étend la consultation du fichier national automatisé des auteurs d’infractions terroristes (FIJAIT) pour le contrôle d’honorabilité des personnes participant aux dispositifs d’accueil collectif de mineurs (ACM), qui correspondent aux centres de vacances, colonies de vacances, centres de loisirs ainsi qu’aux établissements et services relevant du secteur public et du secteur associatif habilité de la protection judiciaire de la jeunesse (PJJ).

D’autre part, il crée un nouveau régime d’incapacités administratives pour les personnes travaillant dans les établissements relevant du code de l’éducation ayant fait l’objet de mesures d’interdiction et/ou de sanction. Ces incapacités seront contrôlées par le biais de deux nouveaux traitements de données à caractère personnel placés sous la responsabilité du ministère chargé de l’éducation.

En second lieu, le projet de loi étend le régime d’incompatibilités prévu par le code de la santé publique en soumettant au contrôle d’honorabilité (par le biais de la consultation du FIJAISV) les personnes travaillant au contact de l’ensemble des usagers du système de santé (que ce soit en établissement ou à domicile), et plus seulement les mineurs. La logique de cette extension est de considérer que tous les usagers des établissements de santé et des services de soins à domicile se trouvent, par hypothèse, dans une situation de vulnérabilité. Selon les précisions apportées par le gouvernement, la liste des organismes chargés de ce contrôle sera fixée par un décret en Conseil d’Etat pris après avis de la CNIL.

II. L’avis de la CNIL

A. Sur les nouvelles finalités de consultation du FIJAISV (contrôle d’honorabilité des personnes amenées à travailler avec l’ensemble des usagers du système de santé) et du FIJAIT (contrôle d’honorabilité des personnes travaillant en ACM et dans les établissements/associations relevant de la PJJ) et les destinataires des données

La CNIL considère que si la consultation du FIJAISV et du FIJAIT est légitime au regard de l’objectif d’intérêt général de protection de l’enfance, l’extension de la consultation envisagée par le projet de loi va bien au-delà de cet objectif. En effet, le texte proposé conduirait au criblage au FIJAISV de toutes les personnes amenées à travailler au contact des usagers du système de santé (et pas uniquement les mineurs), que ce soit en établissement ou à domicile, à titre professionnel ou bénévole, de façon régulière ou occasionnelle – soit, au total, plusieurs dizaines de milliers de personnes. La CNIL relève qu’une telle extension est susceptible de banaliser le recours au FIJAISV, alors que ce traitement présente une sensibilité particulière (comme rappelé par le Conseil constitutionnel dans sa décision 2004-492 DC du 2 mars 2004 relative à la loi portant adaptation de la justice aux évolutions de la criminalité). De façon plus générale, une telle extension, compte tenu de son caractère systématique et de son champ d’application particulièrement large, induit un changement de nature du contrôle d’honorabilité (la protection des mineurs n’étant plus le seul objectif) et des finalités du FIJAISV. En l’état des moyens qui semblent pouvoir être mobilisés pour ces contrôles, comme de l’hétérogénéité des données contenues ces fichiers, notamment dans le FIJAISV, on peut craindre les conséquences d’une exploitation trop automatisée et indifférenciée des consultations de contrôle qui se borneront à savoir s’il existe ou non une mention dans les fichiers consultés.

Les finalités étendues et les nouveaux destinataires des données dans le champ de la santé nécessiteront en tout état de cause une modification des dispositions règlementaires encadrant le FIJAISV, notamment aux fins d’y ajouter les organismes qui seront désignés par décret en Conseil d’État pris après avis de la CNIL. Si, selon le ministère, pour chacun des organismes désignés, une seule personne sera rendue destinataire des données issues du FIJAISV, il n’en demeure pas moins que l’ensemble de ces modifications conduira à une augmentation notable du nombre de destinataires des données contenues dans le FIJAISV et le FIJAIT.

Sur ce point, la CNIL prend note des indications du gouvernement selon lesquelles c’est l’information de la présence ou de l’absence des personnes concernées dans le FIJAIT et le FIJAISV (selon le principe du « hit/no hit ») qui sera transmise aux destinataires chargés du contrôle des incapacités. Ces derniers n’auront donc pas accès aux mentions exactes contenues dans les traitements. Pour autant, l a CNIL insiste sur la nécessité, pour les administrations compétentes, de sensibiliser ces futurs nouveaux destinataires aux enjeux liés à la protection des données à caractère personnel (habilitation, traçabilité et sécurité des consultations, exercice des droits, fiabilité des traitements de données, etc …) dès lors que la simple information quant à la présence dans ces fichiers revêt, par elle-même, une particulière sensibilité.

Elle invite également le ministère à préciser, dans l’article L. 133-6 du CASF, les autorités chargées du contrôle d’honorabilité. S’agissant de l’accès au FIJAIT, elle rappelle que les autorités chargées du contrôle en ACM et dans les établissements, services et lieux de vie et d’accueil relevant de la protection judiciaire de la jeunesse (PJJ) devraient figurer parmi les autorités autorisées listées à l’article 706-25-9 du code de procédure pénale régissant ce traitement.

B. Sur le nouveau régime d’incapacités administratives dans le champ scolaire (création de deux fichiers répertoriant les sanctions et interdiction administratives dans le champ scolaire et consultation des fichiers idoines dans le champ du sport et des ACM)

Le texte modifie le code de l’éducation afin de créer un régime de police administrative spécifique, en fondant des incapacités sur l’existence de mesures d’interdiction dans le champ scolaire, le sport et les ACM. Ce régime est ainsi distinct des incapacités fondées sur des antécédents judiciaires. Il établit en outre une réciprocité avec le dispositif déjà existant dans les sports et les ACM, dans lesquels il n’est pas possible d’exercer en cas d’interdiction dans le champ scolaire. Ces dispositions consolident ainsi un régime d’incapacités fondées sur le risque qui, si son existence est justifiée par l’objectif d’intérêt général de protection des mineurs, peut être amené à présenter des problèmes de proportionnalité. La CNIL note également que le texte ne semble pas prévoir comment ce mécanisme relevant du ministère de l’éducation sera coordonné avec le contrôle dans les établissements relevant d’autres ministère (notamment les établissements agricoles et ceux relevant du ministère des armées).

Ce contrôle de capacité sera effectué par la consultation d’un nouveau traitement, regroupant les données issues de décisions administratives d’interdiction prononcées en raison de faits contraires à la probité et aux mœurs et ayant donné lieu à révocation, mise à la retraite d’office ou licenciement, pour l’ensemble des personnels amenés à travailler dans les établissements relevant du code de l’éducation. Ces informations seront complétées par la consultation des fichiers regroupant les interdictions prises dans le champ des ACM et du code du sport. S’y ajouteront les interdictions prononcées au titre de l’article L 911-10 du code de l’éducation, fondées, elles, sur l’existence d’un risque pour la sécurité physique ou morale des mineurs

En outre, le texte prévoit la création d’un second fichier mis en œuvre par le ministère chargé de l’éducation regroupant les sanctions disciplinaires prises à l’encontre des employés d’établissements privés n’ayant pas le statut d’agents publics, ces sanctions pouvant fonder une incapacité à travailler pour l’avenir dans un établissement public ou privé. Ce fichier regroupera ainsi non pas seulement des interdictions, mais un vaste panel de sanctions fondées sur des faits contraires à la probité ou aux mœurs.

1. Sur le fichier des interdictions prises dans les établissements publics (projet d’article L. 911-5-4 du code de l’éducation)

La création d’un régime administratif d’incapacité, que le ministère présente comme un système de police administrative, est légitime afin de couvrir les cas où les personnes n’auraient pas (ou pas encore) fait l’objet de condamnation judiciaire. En tout état de cause, le traitement nécessaire à ce contrôle, contenant les données présentes dans le dossier des agents publics, doit être entouré de solides garanties. La CNIL note que ce régime comporte un large ensemble d’incapacités comprenant à la fois celles prononcées au titre des sanctions disciplinaires les plus graves et celles, temporaires ou définitives, prononcées sur l’évaluation d’un risque (non qualifié) par l’autorité compétente. Ainsi, le fichier projeté confondra-t-il, dans un même ensemble, des données, pérennes ou non, de nature disciplinaire ou non, issues de champs professionnels distincts. La CNIL s’interroge sur la proportionnalité d’un tel ensemble au regard des finalités poursuivies.

La CNIL attire, ainsi, l’attention du ministère sur les mesures qui devront être prises en matière de mise à jour, de droits d’accès, de rectification et d’effacement des données, dont certaines ne sont que temporaires, au regard de ses conséquences potentiellement importantes pour la vie professionnelle des personnes concernées. Par exemple, dans les cas où celles-ci obtiendraient gain de cause à l’issue d’une procédure de relèvement d’une sanction, la correction des informations devra intervenir rapidement dans le traitement. A cet égard, la CNIL recommande un mécanisme d’apurement et de correction automatique, et une actualisation en temps réel de la gestion des droits d’accès.

Le texte confie le contrôle aux « autorités compétentes » en matière d’éducation, aux « autorités compétentes en matière de recrutement » et, pour les établissements privés, aux « personnes désignées », qui constitue des catégories d’accédants et de destinataires particulièrement larges et imprécises.

Dans le cadre de son avis à venir sur le projet de décret en Conseil d’État qui précisera les caractéristiques de ce traitement, la CNIL sera attentive à ce que les catégories d’accédants et destinataires de ce futur fichier soient limitativement et précisément désignées. Il lui paraît, dans cette perspective, nécessaire de prévoir le principe d’habilitations individuelles nominatives.

2. Sur le fichier des sanctions prises dans les établissements privés (projet d’article L. 914-7 du code de l’éducation)

La CNIL s’interroge sur la nécessité de sa création, ses finalités s’apparentant à celles du premier traitement qui serait créé par l’article L. 911-5-4 du code de l’éducation et son responsable de traitement – le ministère chargé de l’éducation – étant identique. Le gouvernement indique que les deux fichiers comporteront des données de nature différente, le premier regroupant des mesures d’interdictions administratives et le second comprenant les mesures de sanctions disciplinaires prises dans les établissements privés.

Le gouvernement indique que ce second fichier, dont le ministère de l’éducation serait aussi le responsable de traitement, a vocation à comprendre l’ensemble des mesures de sanctions disciplinaires prises sur la base de faits contraires à la probité et aux mœurs. La CNIL s’interroge sur la différence ainsi établie entre, d’une part, les agents des établissements publics et, d’autre part, les agents des établissements de droit privé n’ayant pas le statut d’agent public, dès lors que la finalité poursuivie – à savoir assurer la protection des mineurs dans les établissements scolaires – est la même.

Par ailleurs, en tout état de cause, le texte se montre moins précis s’agissant de ce second traitement que pour le premier : les grandes catégories d’accédants aux données ne sont pas précisément mentionnées. De plus, les sanctions concernées par le traitement s’avèrent particulièrement larges (toutes les sanctions prises sur la base de faits contraires à la probité et aux mœurs), et leur caractère potentiellement générateur d’incapacités (entraînant licenciement ou, à minima, suspension) sera laissé à l’appréciation de l’administration. Enfin, à l’inverse du premier traitement, le texte ne prévoit pas explicitement la consultation de la CNIL dans le cadre du futur décret en Conseil d’Etat mettant en œuvre les modalités d’encadrement de ce second traitement.

Par mesure de cohérence, et pour fournir des garanties similaires en matière de protection des données au niveau législatif, la CNIL invite le ministère à étudier la possibilité de ne recourir qu’à un unique traitement rassemblement les interdictions et sanctions prises dans les établissements scolaires, afin de garantir la transparence et la lisibilité de ce mécanisme de contrôle administratif et éviter une démultiplication des fichiers. Si le ministère souhaite créer un second traitement distinct comportant les mentions de sanctions prises dans les établissements privés, elle l’invite à préciser le type de sanctions concernées et à prévoir explicitement sa consultation sur le décret en Conseil d’Etat, qui devra prévoir les catégories d’accédants.

3. Sur la consultation des mesures prises dans les champs des ACM et du sport (projet d’article L. 911-5-14 du code de l’éducation)

Outre la consultation de ces deux nouveaux traitements, le projet de loi prévoit que le contrôle des incapacités dans le champ scolaire pourra également s’effectuer par "la consultation des fichiers regroupant les mesures prises sur le fondement des articles L. 227-10 du code de l’action sociale et des familles et L. 212-13 du code du sport".

La CNIL considère la consultation des fichiers dans les champs des ACM et du sport s’inscrit dans l’objectif de protection de l’enfance dans le cadre scolaire. Elle constate que le texte ne prévoit pas de mesures réglementaires d’application, alors que celles-ci seraient pourtant nécessaires, notamment pour prévoir les catégories de nouveaux accédants ou destinataires. Elle demande que soit prévu explicitement une disposition règlementaire sur ce point par décret en Conseil d’Etat, qui devra lui être soumis.

C. Sur l’allongement du délai d’effacement des données du dossier des fonctionnaires de l’éducation nationale pour les sanctions prononcées en raison d’atteintes à l’intégrité physique ou morale des élèves (projet d’article L. 911-11 du code de l’éducation)

Le régime de droit commun prévu par l’article L. 533-5 du code général de la fonction publique impose un délai d’effacement automatique au bout de trois ans pour les données relatives aux sanctions du premier groupe (blâme et exclusion temporaire) inscrites au dossier du fonctionnaire, dans le cas où aucune nouvelle sanction n’intervient entre-temps. Le projet loi prévoit d’allonger cette durée à dix ans pour les sanctions concernant une atteinte à l’intégrité physique ou morale des élèves.

Si cet allongement de la durée de conservation n’appelle pas d’observation particulière, du fait de la gravité des faits visés, elle recommande qu’une information sur cette évolution soit faite auprès de l’ensemble des agents publics potentiellement concernés.

D. Sur la modification des dispositions réglementaires (projets d’articles L. 133-6 CASF et L. 911-5 du code de l’éducation)

Les extensions apportées par le projet de loi au contrôle de l’honorabilité nécessiteront une mise en cohérence des dispositions règlementaires.

En particulier, l’arrêté du 31 mars 2021 portant création d’un traitement automatisé de données à caractère personnel dénommé « SI Honorabilité », devra être modifié afin d’autoriser la consultation du FIJAIT par le « SI Honorabilité » pour le contrôle en établissement scolaire, en ACM et dans les établissements et services relevant de la PJJ et permettre la délivrance de l’attestation d’honorabilité aux personnes intervenant dans ces champs ainsi que, le cas échéant, aux personnes majeures ou mineures âgées d’au moins treize ans vivant à leur domicile. La CNIL invite notamment le ministère à préciser dans les textes d’application les durées de conservation des attestations par les employeurs, pour chaque profession.

E. Sur la sécurité des données

Les dispositions du projet de loi impliquent la consultation de nombreux traitements sensibles, qu’il s’agisse de fichiers déjà existants (FIJAIS, FIJAIT, traitements répertoriant les interdictions prononcées dans le champ des ACM et du sport …) ou de fichiers dont la création est à venir (traitements du ministère chargé de l’éducation rassemblant les interdictions prises dans le champ scolaire et les sanctions disciplinaires prononcées dans les établissements privés), sur un volume important de personnes concernées et une quantité significative de données.

La CNIL rappelle que, dans un contexte de multiplication des violations de données, et au regard de la sensibilité des traitements, l’extension des possibilités de consultation doit s’accompagner de mesures renforcées en matière de sécurité des données, notamment par le recours à une authentification multifacteur, la journalisation – non réalisée à ce jour – des flux de données et la sensibilisation des agents aux enjeux de cybersécurité.

La présidente,

M.-L. Denis