Le ministère de l'Intérieur épinglé pour sa mauvaise gestion de son fichier des empreintes digitales
La Commission nationale de l’informatique et des libertés (CNIL) a décidé de rappeler à l’ordre le ministère de l’Intérieur, après avoir observé plusieurs manquements à la bonne tenue du fichier automatisé des empreintes digitales (FAED).
La Commission nationale de l’informatique et des libertés (CNIL) a décidé de rappeler à l’ordre le ministère de l’Intérieur, après avoir observé plusieurs manquements à la bonne tenue du fichier automatisé des empreintes digitales (FAED).
Conservation illégale des données, mauvaise sécurisation du fichier, absences d’information des personnes concernées… le gendarme de la vie privée a adressé une série d’injonctions au ministère de l’Intérieur pour l’exhorter à régulariser son usage du FAED.
Le fichier automatisé des empreintes digitales, ou FAED, a vu le jour en 1987 et réunit les empreintes digitales et palmaires des personnes mises en cause dans des enquêtes ainsi que les données relatives à l’état civil de ces individus. 6,2 millions de personnes figurent dans ce fichier, d’après un rapport parlementaire datant de 2018.
Dans sa décision du 24 septembre, rendue publique jeudi 30 septembre, la CNIL reproche d’abord à la place Beauvau la conservation de données non prévues par la législation comme le nom des victimes et le numéro de la plaque d’immatriculation des personnes incriminées ainsi que la conservation des données des personnes ayant bénéficié d’un non-lieu ou d’un classement sans suite par exemple.
Le décret relatif au FAED prévoit que les données inscrites puissent être conservées 10, 15 ou 25 ans (en fonction de leur nature, de la gravité de l’infraction, etc.). En revanche, le texte impose que les empreintes doivent être effacées en cas de décision de relaxe et d’acquittement devenue définitive ou en cas de non-lieu et de classement sans suite.
Sur ce point, la CNIL note que, au moment des contrôles en 2019, « plus de deux millions de fiches [ont été] conservées au-delà des durées de conservation prévues par les dispositions applicables ».
L’autorité de contrôle a également indiqué que plusieurs millions de fiches de signalisation étaient toujours conservées en format papier au sein d’un « fichier manuel », bien que la dématérialisation du FAED ait été initiée en 1987. Faute de fondement légal de ce format papier, la CNIL presse le ministère de l’Intérieur à détruire ces « sept millions de fiches “signalisation” » — quand bien même les informations qui y figurent s’inscrivent dans le cadre juridique.
Elle précise néanmoins que l’État lui a indiqué en juillet 2021 « que plus de trois millions de fiches avaient été supprimées depuis les contrôles réalisés afin de respecter les anciennes durées de conservation » et que, concernant le « fichier manuel », le délai de 4 ans promis pour sa destruction complète par l’État « ne saurait être admis, au regard de l’ancienneté des fiches concernées, de la durée du manquement et de la nature des données concernées ».
« Une telle catastrophe dans la gestion de ce fichier n’est pas surprenante quand on voit comment les autres fichiers, notamment le TAJ [Traitement d’antécédents judiciaires, NDLR], sont gérés et le droit à l’effacement bafoué », souligne Bastien Le Querrec de la Quadrature du Net, sollicité par EURACTIV. Il invite à « repenser les pouvoirs de la police, dont l’usage de tels fichiers » face à la multiplication de ces « fichiers sans réel contrôle ».
Manque de sécurisation et d’information
La CNIL point également du doigt le ministère de l’Intérieur pour le manque de sécurisation de ce fichier, après avoir constaté que les forces de police peuvent accéder à la base de données en utilisant un mot de passe composé de 8 caractères, et pour son manque d’informations à l’égard des personnes dont les données personnelles se retrouvent dans le FAED.
« Les personnes dont les données sont traitées dans le FAED peuvent ignorer jusqu’à l’existence même du traitement lorsque, comme en l’espèce, aucune information ne leur est directement communiquée, ni au moment de la collecte des données ni à celui du prononcé de la décision », souligne l’autorité dans sa délibération. Elle considère qu’il s’agit d’un manquement à l’article 104 de la loi Informatique et libertés qui prévoit que les personnes faisant l’objet d’un traitement de leurs données personnelles soient informées des responsables de ce traitement et de ses finalités.
Le ministère est exhorté à se mettre en conformité au plus tard le 31 décembre 2021 — sauf pour la suppression du « fichier manuel » qui devra intervenir au plus tard le 31 décembre 2022. La loi prévoit par ailleurs que la CNIL ne peut pas imposer d’amende à l’État.
