Fichier automatisé des empreintes digitales : le rappel à l'ordre de la Cnil

Traitement, conservation ou encore effacement des données... Dans une délibération du 24 septembre 2021, la Commission nationale de l'informatique et des libertés (Cnil) a demandé au ministère de l'intérieur de revoir sa gestion du fichier automatisé des empreintes digitales (FAED).

Empreinte digitale sur fond d'écran avec code informatique.
Le fichier de police judiciaire d'identification recense, en 2018, près de 6,3 millions d’empreintes digitales et palmaires de personnes mises en cause dans des procédures pénales. © peterschreiber.media - stock.adobe.com

Fichier de police judiciaire d'identification, le FAED recense en 2018 près de 6,3 millions d’empreintes digitales et palmaires de personnes mises en cause dans des procédures pénales et 240 000 "traces" d’empreintes relevées sur les scènes de crime ou de délit. 

Dans sa délibération publiée sur Légifrance le 30 septembre 2021, la Cnil relève divers types de manquements à la loi informatique et libertés du 6 janvier 1978. Face à cette situation, la Commission a prononcé un rappel à l'ordre ainsi qu'une injonction de mise en conformité au plus tard le 31 octobre 2021 (sauf pour la suppression du fichier manuel qui devra intervenir d'ici le 31 décembre 2022).

Des manquements à la loi de 1978

Ainsi, lorsqu’il est mis en œuvre par le ministère de l'intérieur, le fichier automatisé des empreintes digitales doit respecter certaines dispositions de la loi de 1978.

Toutefois, des manquements ont été constatés. Ils concernent  :

  • le traitement de données qui excèdent le cadre légal fixé (notamment le nom de la victime ou le numéro d’immatriculation d’un véhicule) ou qui ne sont pas prévues par les textes (comme le fichier manuel au format papier) ;
  • la conservation des données au-delà d'une durée maximale de 25 ans à compter de l'établissement de la fiche ;
  • les modalités d’effacement des données après certaines étapes de la procédure judiciaire (acquittement, relaxe, non-lieu ou classement sans suite) ;
  • le niveau de sécurité de données "sensibles" insuffisant en raison d'un mot de passe peu robuste ;
  • l'absence d'information des personnes, en particulier pour demander la rectification ou l'effacement des données à caractère personnel ou pour introduire une réclamation auprès de la Cnil.

Rappel à l'ordre et injonction de mise en conformité

La Cnil a donc enjoint le ministère de l'intérieur de :

  • ne traiter que les informations visées par l’article 4 du décret FAED n° 87-249, avec effacement des données à caractère personnel contenues dans la rubrique "informations spéciales" et suppression du fichier manuel ;
  • ne conserver des données sous une forme permettant l'identification des personnes concernées que pendant la durée nécessaire au regard des finalités pour lesquelles elles sont traitées ;
  • prendre toutes les mesures raisonnables pour garantir que les données à caractère personnel inexactes, incomplètes ou non à jour soient effacées ou rectifiées ou qu'elles ne soient pas transmises ou mises à disposition ;
  • mettre en œuvre les mesures appropriées afin de garantir un niveau de sécurité adapté au risque et s’assurer qu’une information conforme aux exigences de l’article 104 de la loi du 6 janvier 1978 est fournie aux personnes concernées.

Par ailleurs, sous réserve d'un recours devant le Conseil d'État, la Cnil assortit ses injonctions d’un délai de mise en conformité au plus tard le 31 octobre 2021, avec une dérogation pour la suppression du fichier manuel qui devra intervenir d'ici le 31 décembre 2022.