La CNIL1 a rappelé à l’ordre2 le Ministère de l’Intérieur, le 24 septembre 2021, et lui a demandé de mettre en conformité le fichier automatisé des empreintes digitale (FAED) dont il a la responsabilité.

Ce fichier, utilisé par les services de police, de gendarmerie et des douanes, recense les empreintes digitales de personnes mises en cause dans des procédures pénales, et les empreintes relevées sur les scènes de crime ou de délit. Ces empreintes sont associées à un certain nombre d’informations sur la personne et sur les conditions de création de l’empreinte.

Ce fichier, qui contenait 6,3 millions d’empreintes en décembre 2018, est destiné3 à :

  • faciliter la recherche et l’identification des auteurs de crimes et de délits et faciliter leur poursuite ;
  • faciliter la recherche et la découverte des personnes disparues ;
  • faciliter l’identification des personnes décédées ou grièvement blessées dont l’identité n’a pu être établie.

La CNIL reproche notamment au Ministère de l’Intérieur :

  • la conservation illicite de données, comme le numéro d’immatriculation de véhicules ou le nom des victimes associé aux empreintes4 ;
  • la conservation illicite de 7 millions d’empreintes au format papier5, créées principalement avant la création du FAED ;
  • la conservation illicite de 2 millions d’empreintes au-delà de la durée de conservation autorisée6, c’est-à-dire 15 ans pour les personnes majeures, 10 pour les mineures, à partir de la date de création de l’empreinte dans le fichier. Les données étaient conservées par le Ministère pendant 25 ans, sans distinction de l’âge de la personne ;
  • la conservation illicite d’empreintes de personnes qui ont bénéficié d’un acquittement, d’un non-lieu ou d’un classement sans suite7, due à l’absence de transmission des décisions de certains tribunaux et cours d’appel ;
  • la conservation d’empreintes dans des documents extérieurs au système centralisé FAED, ne garantissant pas une sécurité adaptée au risque8 ;
  • le manque de sécurité de l’accès au fichier d’empreintes, qui était protégé simplement par un identifiant et un mot de passe. La Commission a indiqué que ce dispositif était inadapté, comme elle l’a déjà fait savoir en 2013 au Ministère, et juge qu’un dispositif utilisant les cartes d’accès, que les agents possèdent déjà, serait plus approprié.
  • l’absence d’informations à destination des personnes9. Les informations étaient uniquement présentes sur le site Web du Ministère, mais pas directement mises à disposition des personnes.

Il est aussi important de préciser que le Ministère a demandé à la CNIL de ne pas rendre public sa délibération, mais la Commission a refusé, étant donné « la sensibilité particulière des données traitées ».

La CNIL a demandé au Ministère de se mettre en conformité avant le 31 octobre 2021, et avant le 31 décembre 2022 pour les empreintes et données conservées au format papier.

Lire la décision complète

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. Les organismes publics peuvent uniquement être rappelés à l’ordre par la CNIL, mais ne peuvent pas faire l’objet d’une amende, lorsqu’un manquement est constaté en lien avec le traitement de données à caractère personnel. Voir « Que risque-t-on en cas de non-respect du RGPD ? ».
  3. Les finalités du FAED sont décrites dans le premier article du décret n° 87-249.
  4. Seules certaines données précises peuvent être conservées en complément des empreintes, les numéros d’immatriculation ou le nom de la victime n’en font pas partie (source : décret n° 87-249, article 4).
  5. Seul le traitement automatisé des empreintes est autorisé (source : décret n° 87-249, article 1).
  6. La durée de conservation des empreintes est de 15 ans pour les majeurs, 10 ans pour les mineurs (source : décret n° 2015-1580).
  7. Les empreintes et les informations associées aux empreintes doivent être supprimées dans certains cas, notamment « en cas de décision de non-lieu, de classement sans suite pour absence d’infraction ou insuffisance de charges ou pour auteur inconnu, sauf si le procureur de la République estime que leur conservation apparaît nécessaire pour des raisons liées à la finalité du fichier au regard de la nature ou des circonstances de commission de l’infraction ou de la personnalité de la personne concernée » (source : décret n° 87-249, article 7-1).
  8. L’organisme en charge du système informatique traitant les empreintes doit « garantir un niveau de sécurité adapté au risque » (source : Loi Informatique et Liberté, article 99).
  9. Certaines d’informations doivent être communiquées aux personnes lorsque leurs empreintes sont collectées et traitées, notamment l’identité et les coordonnées du responsable de traitement, les coordonnées du délégué à la protection des données, les finalités poursuivies par le traitement, le droit d’introduire une réclamation, l’existence de droits, dont celui d’accéder aux données ou de demander leur suppression (source : Loi Informatique et Liberté, article 104).