| N° de demande d’avis : 25013263 | Thématiques : justice, établissements pénitentiaires, personnes écrouées |
| Organisme(s) à l’origine de la saisine : ministère de la justice | Fondement de la saisine : Article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. Le traitement de gestion nationale des personnes détenues en établissement pénitentiaire (GENESIS) permet de gérer les conditions de prise en charge et l’ensemble des étapes du parcours pénitentiaire des personnes écrouées.
2. Ses finalités sont élargies et précisées par le projet de décret pour permettre notamment d’assurer la sécurité des victimes. La CNIL estime ces finalités légitimes.
3. Compte tenu du périmètre élargi et de la sensibilité des données pouvant être collectées, d’une part, et de l’augmentation du nombre de personnes susceptibles d’avoir accès aux données, d’autre part, des garanties supplémentaires devraient être prises pour notamment assurer la minimisation des données et la gestion des droits et habilitations.
4. Par ailleurs, il conviendra de prendre les mesures nécessaires pour garantir l’effacement des données à l’issue des durées maximales de conservation prévues par le projet de décret.
La Commission nationale de l’informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son article 31 ;
Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
Par le décret n° 2011-817 du 6 juillet 2011, l’administration pénitentiaire a été autorisée à créer un traitement de données à caractère personnel relatives aux personnes placées sous main de justice et écrouées, dénommé « gestion informatisée des détenus en établissement » (GIDE). Ce dispositif était mis en œuvre au sein de chaque établissement pénitentiaire ou établissement de santé habilité à recevoir des personnes détenues.
Le décret n° 2014-558 du 30 mai 2014 portant création d’un traitement de données à caractère personnel relatif à la gestion nationale des personnes détenues en établissement pénitentiaire a mis fin au dispositif GIDE pour le remplacer par un nouvel applicatif (v. CNIL, SP, 11 décembre 2013, avis sur projet de décret, GENESIS, n° 2013-405, publié).
Le décret n° 2022-479 du 30 mars 2022 a codifié à droit constant dans le code pénitentiaire les dispositions encadrant ce traitement, sous les articles R. 240-1 à R. 240-9.
B. – L’objet de la saisine
La CNIL a été saisie pour avis, par le ministère de la justice, d’un projet de décret modifiant le code pénitentiaire et relatif au traitement de données à caractère personnel actuellement dénommé « gestion nationale des personnes détenues en établissement pénitentiaire » (GENESIS).
Dans la mesure où ce traitement permet de gérer, en application d’une décision de justice, les conditions de détention et l’ensemble des étapes de la vie des personnes écrouées, il relève des dispositions du titre III de la loi « informatique et libertés ».
Le projet de décret prévoit une refonte des dispositions du code pénitentiaire relatives à GENESIS – désormais dénommé « gestion nationale des personnes écrouées pour le suivi individualisé et la sécurité », impliquant notamment un élargissement des finalités du traitement, des catégories de données collectées, des accédants et destinataires, ou encore une modification des durées de conservation.
II. – L’avis de la CNIL
A. – Sur les finalités
Le projet de décret prévoit que le traitement GENESIS a pour finalités :
– la préparation et l’exécution des décisions judiciaires relatives aux personnes écrouées ;
– l’aide à la décision judiciaire dans le cadre de l’individualisation de la peine et du suivi des mesures de sûreté ;
– la prise en charge et le suivi des personnes écrouées, dans le cadre de leurs parcours pénitentiaire et d’exécution de peine ;
– la gestion de l’accès aux droits et des activités de réinsertion des personnes détenues ;
– la sécurité des personnels, des personnes détenues, des victimes et des établissements pénitentiaires.
Bien que rédigées de manière plus synthétique, ces finalités sont calquées sur celles mentionnées par l’actuel article R. 240-1 du code pénitentiaire. Seule la finalité relative à la sécurité des victimes apparaît nouvelle.
Cet ajout vise à mettre en œuvre les impératifs issus de divers textes relatifs à la protection des victimes, notamment ceux établis par la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales. Dans le traitement GENESIS, cette finalité se traduit notamment par la collecte de données d’identité et de coordonnées postales et téléphoniques (si connues) dans le but d’assurer la sécurité des victimes en garantissant le respect des interdictions de contact prononcées par l’autorité judiciaire.
Compte tenu de ces éléments, la CNIL estime que les finalités du traitement sont déterminées, explicites et légitimes.
Au regard néanmoins du vaste périmètre de ces finalités et de l’ampleur du traitement qui en découle, des mesures particulières devront être mises en place pour assurer la conformité du traitement à la réglementation relative à la protection des données et ainsi limiter son impact sur la vie privée des personnes concernées.
Dans cette perspective, la CNIL estime que la mise en œuvre de ce traitement, exceptionnel par son ampleur et ses effets, devrait faire l’objet d’un bilan régulier de manière, notamment, à ce que la nécessité de traiter et de conserver les catégories de données visées ainsi que la pertinence de certains accès au traitement puissent être réévaluées à la lumière de la pratique. Compte tenu des enjeux de ce traitement en matière de libertés publiques et des risques élevés qu’il présente, la CNIL recommande que ces bilans lui soient transmis.
En outre, la base « infocentre pénitentiaire » (portail décisionnel et d’aide au pilotage qui centralise l’ensemble des statistiques de l’administration pénitentiaire) contient l’intégralité des données de GENESIS, à l’exception des données d’identité nominatives mais y compris les numéros individuels d’écrou autorisant aisément l’identification par le responsable de traitement. Il apparait également, selon les précisions apportées dans l’analyse d’impact relative à la protection des données (AIPD), que sa finalité n’est définie que par « la production de statistiques inhérente à tout traitement public » avec mention de « documents de suivi de la détention, d’un baromètre pénitentiaire et de documents budgétaires ».
La CNIL estime que l’exigence de garanties appropriées conduit à ce que cette finalité devrait être davantage précisée et encadrée dans l’AIPD, notamment au regard d’un éventuel traitement de données sensibles, certes non nominatives mais aisément réidentifiables, par les accédants à la base infocentre.
B. – Sur les données collectées
a) Concernant la minimisation des données collectées
Le projet de décret élargit le périmètre des catégories de données à caractère personnel pouvant être collectées, conformément aux finalités du traitement.
Ces catégories ont été complétées à l’aune, notamment, du développement des métiers de la sphère pénitentiaire et de la modification des dispositions réglementaires afférentes. L’impératif de prise en charge individuelle des personnes détenues, auquel contribuent à titre principal les services de l’administration pénitentiaire, nécessite de permettre la collecte de toutes ces données.
Néanmoins, il ressort de l’AIPD que l’application collecte, y compris dans sa base infocentre, un nombre exceptionnellement élevé de données à caractère personnel concernant tant les détenus que, dans une moindre mesure, leurs proches, les victimes et, de façon générale, les intervenants. Ces données, qui incluent notamment des données de santé, sont transférées quasi-intégralement dans la base infocentre et peuvent être utilisées pour produire des statistiques, à l’exception des données contenues dans les champs libres. En particulier le bureau de la donnée, de la recherche et de l’évaluation a accès à l’ensemble des données de GENESIS.
La CNIL estime qu’il serait pertinent que le responsable de traitement mette en place un comité pluridisciplinaire de suivi éthique et scientifique, dont l’avis figurerait au bilan recommandé au paragraphe 13 ci-avant. Compte tenu des enjeux de ce traitement en matière de libertés publiques et des risques élevés qu’il présente, la CNIL recommande, là encore, que ces bilans lui soient transmis.
En tout état de cause, au regard du volume et la diversité des catégories de données pouvant être traitées, les garanties mentionnées par l’AIPD au titre de la collecte des données sensibles (v. infra, §26) devront contenir un rappel des bonnes pratiques en matière de minimisation des données visant à assurer la nécessité des données collectées par rapport aux finalités du traitement.
b) Concernant la collecte spécifique de données relatives à la dangerosité, à la vulnérabilité et au risque suicidaire
Le projet de décret permet le traitement de données relatives à l’« évaluation de la dangerosité, de la vulnérabilité et du risque suicidaire des personnes détenues », au regard d’une série de facteurs (par exemple, « facteurs relatifs à la situation judiciaire, administrative et pénitentiaire », « facteurs liés à l’environnement social et aux moyens financiers »).
Le traitement de ces données apparait pertinent et nécessaire aux finalités de GENESIS, notamment afin d’assurer la sécurité des personnels, des personnes détenues, des victimes et des établissements pénitentiaires. En outre, la liste des critères à partir desquels une personne peut faire l’objet d’une évaluation est limitative, ce que la CNIL accueille favorablement.
Néanmoins, il ressort de l’AIPD que certains de ces éléments d’appréciation de la dangerosité ou de la vulnérabilité d’une personne sont susceptibles d’être déduits des observations des agents, ce qui peut impliquer une part de subjectivité. En outre, le traitement de ces informations implique l’enregistrement de données susceptibles d’avoir un impact sur les droits et libertés des personnes concernées (v. CNIL, SP, 6 juillet 2023, avis sur projet de décret, FPR, n° 2023-069, publié).
Dès lors, des mesures (formation des agents avec point de sensibilisation spécifique, contrôle hiérarchique, etc.) devront être mises en place pour, d’une part, limiter, dans chaque cas, la collecte des seules informations pertinentes et nécessaires à l’évaluation de la dangerosité, de la vulnérabilité ou du risque suicidaire et pour, d’autre part, garantir que « les données à caractère personnel fondées sur des faits sont, dans la mesure du possible, distinguées de celles fondées sur des appréciations personnelles », conformément à l’article 94 de la loi « informatique et libertés ».
La CNIL prend acte des précisions apportées par le ministère selon lesquelles de telles mesures seront mises en place.
c) Concernant la collecte de données sensibles
En premier lieu, le projet de décret prévoit que le traitement peut comprendre des données à caractère personnel de la nature de celles mentionnées à l’article 6 de la loi « informatique et libertés » (ci-après « données sensibles »), dans la stricte mesure où ces données sont nécessaires aux finalités du traitement. Les données sensibles enregistrées dans le traitement concernent principalement les personnes détenues et comprennent notamment des données de santé.
Il ressort de l’AIPD que ces données peuvent être collectées à travers des cases à cocher et des champs libres et que cette collecte est entourée de plusieurs garanties (par ex. : projet de publication d’une circulaire visant à informer les utilisateurs du bon usage du traitement en matière de données sensibles ; création de messages de rappel ou d’avertissement lors de la connexion à l’applicatif et au niveau des champs ayant vocation à collecter des données sensibles, etc.).
La CNIL accueille favorablement l’ensemble de ces garanties permettant de limiter la collecte de données sensibles.
En deuxième lieu, le projet de décret prévoit la collecte d’informations physiques relatives aux personnes détenues (taille, couleur des cheveux et des yeux, signes physiques particuliers).
La CNIL prend acte de ce qu’aucune donnée révélant la prétendue origine raciale ou l’origine ethnique des personnes ne sera collectée au titre de ces catégories.
En troisième lieu, le projet de décret prévoit la collecte de photographies d’identité et précise que le traitement ne pourra pas comporter de dispositif de reconnaissance faciale à partir de ces photographies.
La CNIL accueille favorablement la précision de cette garantie dans le décret.
C. – Sur les accédants et destinataires
Le projet de décret définit le périmètre des personnes pouvant avoir accès au traitement, à raison de leurs attributions et dans la limite du besoin d’en connaître.
S’agissant des « personnels de l’administration centrale de la direction de l’administration pénitentiaire », il ressort des précisions apportées par le ministère que les agents du service national du renseignement pénitentiaire (SNRP) s’inscrivent parmi ces accédants. Ces derniers doivent pouvoir accéder à toutes les catégories de données en lien avec la détention des personnes détenues suivies par le service en vue de leur évaluation, de la prévention des menaces pour les intérêts fondamentaux de la Nation et de la proposition auprès des services compétents des mesures de prise en charge les plus adaptées.
Si le projet de décret inscrit les agents du SNRP parmi les « accédants » au traitement – soit les personnes appelées à effectuer les diverses opérations de traitement au sein ou sous la supervision du responsable de traitement, il apparait néanmoins que :
– l’AIPD précise que ces agents ne disposent que d’une faculté de consulter le traitement et ne peuvent pas enregistrer ou modifier des données ;
– l’accès octroyé vise, au-delà de la finalité du traitement relative à la sécurité des personnels, des personnes écrouées, des victimes et des établissements pénitentiaires, un objectif de prévention des menaces pour les intérêts fondamentaux de la Nation propre à ce service. Cette finalité, pour laquelle pourront le cas échéant être traitées des données de GENESIS, apparait compatible avec les finalités de ce dernier traitement.
Au regard de ces éléments, les agents du SNRP apparaissent s’inscrire parmi les destinataires des données du traitement (v. par ex. CNIL, SP, 15 juin 2023, avis sur projet de décret, SISPoPP, n° 2023-055, publié).
Par ailleurs, il ressort de l’AIPD que la plupart des accédants relevant de l’administration centrale et des directions interrégionales auraient accès à toutes les catégories de données enregistrées dans le traitement en dépit du fait qu’au regard des missions dévolues à ces personnels, leur usage se rapporterait seulement à une ou plusieurs des finalités du traitement.
La CNIL estime dès lors que l’AIPD devra définir plus précisément les catégories de données accessibles à chacun des accédants des directions centrales de l’administration pénitentiaire en veillant à limiter strictement la nature de ces données aux compétences du service ou des agents concernés d’une part, et des finalités pour lesquelles un accès leur est accordé d’autre part.
La CNIL prend acte qu’afin de définir plus précisément les catégories de données accessibles à chacun, un tableau a été élaboré par le ministère permettant de recenser l’ensemble des données par accédant (au-delà même des accédants de l’échelon central de l’administration pénitentiaire) et que ce tableau sera intégré en annexe de l’AIPD.
Enfin, il apparait que le nombre d’accédants et de destinataires est augmenté, y compris au-delà de la sphère de l’administration pénitentiaire dans une logique de généralisation des accès à des catégories professionnelles entières.
La CNIL appelle à limiter le plus strictement possible le nombre d’accédants et de destinataires, à réserver les habilitations aux personnels d’un niveau hiérarchique suffisant et à mettre en œuvre toute mesure nécessaire au respect du droit d’en connaitre tout en assurant l’intégrité des données transmises et leur traçabilité.
Elle prend acte de ce que la circulaire accompagnant le projet de décret précisera les procédures d’habilitation des personnels afin notamment d’en faciliter le retrait, ce dans le but de limiter la persistance de droits qui ne seraient pas justifiés. Elle souligne qu’une vigilance particulière doit être déployée pour vérifier en permanence la pertinence des habilitations par un système périodique de revue des comptes.
D. – Sur les durées de conservation et l’effacement des données
En premier lieu, le projet de décret prévoit qu’à l’issue du délai de conservation en base active, les données sont conservées pour une durée de huit ans en base d’archivage intermédiaire. Pendant cette période, les données sont uniquement accessibles à certains personnels habilités pour des finalités précisées dans le projet de texte.
Les catégories de personnes pouvant accéder aux données sont nombreuses et largement définies, s’agissant en particulier de la catégorie des « magistrats et greffiers exerçant des fonctions pénales » qui apparaît nouvelle par rapport aux dispositions actuelles.
Consciente des nécessités qui s’attachent au suivi administratif et judiciaire des personnes postérieurement à leur levée d’écrou, la CNIL estime cependant qu’il conviendra :
– de réduire au minimum les catégories de services, notamment centraux, pouvant accéder à la base d’archivage intermédiaire ;
– d’apporter, au niveau de l’AIPD, des précisions quant aux personnes relevant de la catégorie des « magistrats et greffiers exerçant des fonctions pénales » pouvant avoir accès aux données archivées, en précisant que ces derniers ne peuvent intervenir que dans le cadre d’une procédure dans laquelle apparait la personne écrouée – ce à quoi s’est engagé le ministère ;
– de veiller à la délivrance d’habilitations en adéquation avec les finalités précisées par le projet de décret dans les services susceptibles d’accéder aux données.
En deuxième lieu, l’AIPD précise qu’actuellement, il n’existe pas de mécanisme de suppression des données dans l’applicatif. Conformément aux estimations communiquées, la mise en place d’un mécanisme de suppression automatique des données selon les durées maximales fixées par le décret sera effective au 31 décembre 2026.
Dans l’attente de cette échéance, la CNIL souligne qu’un mécanisme de suppression effectif des données devra être mis en place dans les meilleurs délais.
Au-delà du décret, la CNIL remarque que la base infocentre conserve des données depuis son démarrage sans durée limite à ce jour, même si elle note que la Chancellerie a « prévu d’engager des travaux » pour mettre en place une durée de conservation de vingt ans.
En cet état, elle invite avec force le ministère à mettre en place au plus tôt une durée maximale de conservation, qui pourrait être de vingt ans, faute de quoi la plupart des données de GENESIS serait conservées sans limite de temps via la base infocentre dont les données, même non nominatives, sont aisément réidentifiables.
E. – Sur les mises en relation avec d’autres traitements
Le traitement GENESIS fera l’objet de mises en relation avec d’autres traitements.
Lorsque des traitements sont encadrés par des actes réglementaires, leur mise en relation doit respecter les dispositions régissant chacun des traitements concernés. En particulier, l’opération de mise en relation doit être conforme aux finalités, aux catégories de données et aux accédants ou destinataires fixés par les actes réglementaires concernés (v. CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
En l’espèce, le ministère a indiqué entreprendre un travail de mise en conformité et d’identification des actes réglementaires qui, pour être mis en relation avec GENESIS, doivent être modifiés pour garantir la compatibilité du fonctionnement des traitements.
La CNIL prend acte de ce que cette démarche sera accompagnée d’une actualisation de l’AIPD. Elle souligne qu’en l’absence de régularisation, les traitements identifiés ne pourront être mis en relation avec GENESIS.
F. – Sur l’information des personnes
Le projet de décret prévoit qu’une information générale des personnes concernées est délivrée sur le site web du ministère de la justice. L’AIPD précise notamment qu’une information supplémentaire est réalisée auprès des personnes écrouées, des visiteurs et de tous les utilisateurs de GENESIS sur la page de l’applicatif ainsi que par voie d’affichage au sein des établissements pénitentiaires et des services de probation et d’insertion. Des modes d’information spécifiques (affichages, insertion dans des pochettes ou guide) sont dédiés aux personnes détenues, privées d’accès à internet.
La CNIL accueille favorablement ces mesures visant à individualiser l’information faite aux personnes concernées par le traitement de leurs données. Elle souligne par ailleurs que, pour rendre l’information accessible et effective pour l’ensemble des personnes concernées, y compris les plus vulnérables d’entre elles, la fourniture complémentaire de cette information par d’autres moyens que par écrit et traduites en d’autres langues constituerait une bonne pratique.
Par ailleurs, l’AIPD ne précise pas les modalités d’information des victimes ou des personnes dont les données peuvent être collectées indirectement dans le traitement (v. par exemple le projet d’article R. 240-2, 1° b et h). La CNIL prend acte de l’engagement du ministère de poursuivre des travaux afin de déterminer des modalités d’information plus directe concernant ces catégories de personnes.
G. – Sur les mesures de sécurité
Concernant la gestion des accès et compte tenu de l’ampleur du traitement, la CNIL rappelle la nécessité d’une gestion fine des droits et des habilitations. La revue des comptes est aujourd’hui réalisée manuellement, au travers de plusieurs outils. En conséquence, la CNIL accueille favorablement l’ambition du ministère de centraliser cette gestion des accès au travers d’un seul outil.
Dans l’attente, du fait du nombre significatif d’accédants, la CNIL préconise de mettre en œuvre une action exceptionnelle de désactivation des comptes inactifs depuis plus d’un an. La CNIL considère en effet qu’une telle procédure pourrait permettre de limiter les risques d’un usage malveillant de ces comptes inactifs. Cette action devra toutefois s’accompagner d’une procédure explicite permettant aux utilisateurs de l’applicatif de revendiquer la réactivation de leur compte.
La CNIL prend acte qu’une campagne de purge manuelle dans les périmètres de la direction de l’administration pénitentiaire et de la direction des services judiciaires sera lancée d’ici la fin de l’année 2025. Elle invite à son renouvellement périodique.
La CNIL remarque que l’authentification multifacteur n’est pas encore généralisée à tous les personnels du ministère de la justice. Elle prend acte de la confirmation du ministère quant à l’utilisation de l’authentification multifacteur comme moyen unique d’authentification d’ici la fin du 1er trimestre 2026.
La CNIL accueille favorablement l’ambition du ministère de mettre en œuvre une mesure technique et organisationnelle d’analyse en temps réel des journaux d’évènements. Elle rappelle néanmoins sa recommandation sur le déploiement d’une mesure technique de surveillance active des journaux applicatifs, en vue de permettre la détection immédiate d’actions malveillantes au sein du traitement. Elle souligne que cette exigence s’impose d’autant plus que le traitement GENESIS collecte un nombre particulièrement élevé de données à caractère personnel dont la divulgation serait susceptible d’avoir d’importantes conséquences sur la sécurité des personnes écrouées ou de tiers.
Concernant la qualité des données, en l’état, la majorité des interconnexions sont réalisées par le biais de rapprochements manuels. La CNIL retient néanmoins la confirmation du ministère quant à la mise en œuvre de tests de cohérence manuels, réalisés par les responsables hiérarchiques, entre les données saisies et les données reçues.
Sur ce sujet, la CNIL accueille favorablement la confirmation du ministère concernant les travaux en cours tendant vers l’automatisation des flux entrants et sortants avec le traitement GENESIS, afin de permettre une meilleure assurance quant à la qualité et l’intégrité des données.
Selon l’AIPD, le traitement des sorties papier obéit à une circulaire de l’administration pénitentiaire du 11 décembre 2007. Toutefois, cette circulaire contient en réalité des règles générales relatives à l’archivage des documents papier mais ne comporte aucune prescription relative au traitement des tirages papier issus de systèmes informatiques et notamment de GENESIS.
La CNIL souligne l’importance, au-delà du traitement informatique, du respect de la confidentialité et du principe de minimisation des données exportées en version papier et invite le ministère à donner des instructions de minimisation et de sécurisation des tirages dans la circulaire accompagnant le projet de décret.
Enfin, s’agissant de la protection des postes de travail et de leur sécurisation, la CNIL rappelle, au-delà du verrouillage automatique, le besoin d’une sensibilisation accrue des agents à la nécessité d’un verrouillage manuel de leur poste de travail lorsque ces derniers s’en éloignent. La CNIL préconise également la mise en œuvre d’une procédure rappelant que les postes accédant au traitement GENESIS doivent être installés de façon à n’être visibles ni par les visiteurs ni par les détenus.
La CNIL prend acte que le ministère entend procéder au rappel des bonnes pratiques professionnelles dans la circulaire d’application du décret et qu’il a d’ores et déjà procédé à ce type de rappel à divers échelons lorsque des pratiques insatisfaisantes ont été ponctuellement constatées.
Transmettez les pièces de votre dossier au cabinet. Maître Reda KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.