| N° de demande d’avis : 25012222 | Thématiques : téléservice, dépôt de plainte par voie de télécommunication audiovisuelle, dématérialisation |
| Organisme(s) à l’origine de la saisine : ministère de l’intérieur | Fondement de la saisine : article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. Dans le cadre de la dématérialisation du dépôt de plainte et en complément du téléservice « Plainte en ligne » (PEL), le traitement « Visioplainte » permet de déposer plainte par visioconférence pour tout fait infractionnel. Ce téléservice, au périmètre élargi, reste facultatif et fonctionne via l’outil « Webconférence de l’Etat ».
2. La CNIL relève que ce téléservice est de nature à faciliter les démarches des victimes. Ses finalités sont déterminées, explicites et légitimes et rappelées aux usagers de manière satisfaisante sur le site de Visioplainte.
3. Le traitement est susceptible d’enregistrer des données sensibles (champ libre relatif aux faits dénoncés, audition, photographies, etc.). L’AIPD et le projet de décret entourent le traitement de ces données de garanties satisfaisantes (sécurité, coffre-fort numérique, authentification par FranceConnect, durées de conservation, absence de retranscription automatique, etc.). Néanmoins, les modalités d’information de l’ensemble des personnes concernées sont à améliorer pour rendre l’information aisément accessible, comme le ministère s’y était engagé concernant le téléservice PEL (portail agents et usagers, information des tuteurs et curateurs).
4. Au regard de la sensibilité du traitement, la CNIL appelle l’attention du ministère sur une meilleure prise en compte des risques liés à l’usurpation d’identité dans son AIPD.
La Commission nationale de l’informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;
Après avoir entendu le rapport de Mme Sophie Lambremon, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. – La saisine
A. – Le contexte
Le traitement « Visioplainte » permet à la victime d’une infraction, ou à son représentant légal, de déposer plainte par voie de télécommunication audiovisuelle (via l’outil « Webconférence de l’Etat »), pour l’ensemble des faits constitutifs d’une infraction, y compris lorsque l’auteur est connu. Ce traitement permet également d’instruire la plainte et d’intégrer l’ensemble des éléments recueillis dans les logiciels de rédaction de procédure (LRP) de la police nationale et de la gendarmerie nationale.
La possibilité de déposer plainte par le biais d’une télédéclaration était déjà ouverte, sous conditions, pour les faits constitutifs d’une atteinte aux biens (vol, dégradation, escroquerie, etc.) et lorsque l’auteur est inconnu, depuis le décret n° 2024-478 du 27 mai 2024 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « plainte en ligne » (PEL), sur lequel la CNIL s’était prononcée (CNIL, SP, 4 avril 2024, avis sur un projet de décret portant autorisation du traitement PEL, n° 2024-028, publié). Ce traitement est maintenu et si un rendez-vous est à programmer avec un agent, ce rendez-vous pourra désormais être fait en visioconférence ou en commissariat et brigade de gendarmerie.
Le traitement Visioplainte constitue une nouvelle étape dans la dématérialisation du dépôt de plainte. Les victimes conservent le choix entre utiliser le téléservice Visioplainte ou se déplacer physiquement en commissariat ou en brigade de gendarmerie.
B. – L’objet de la saisine
Le ministère de l’intérieur a saisi la CNIL, sur le fondement de l’article 31 de la loi « informatique et libertés », d’un projet de décret portant autorisation du traitement Visioplainte. Dans la mesure où les finalités poursuivies permettent la prévention, la recherche, la constatation ou la poursuite des infractions pénales, le traitement relève des dispositions du titre III de la loi « informatique et libertés ».
Le projet de décret codifie au sein du code de procédure pénale (CPP) les dispositions relatives à ce traitement. Il est pris en application de l’article 15-3-1-1 du CPP, créé par l’article 12 de la loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur et encadre :
– la liste des catégories de données à caractère personnel et informations pouvant être enregistrées dans le traitement et notamment les données sensibles ;
– la durée de conservation de six mois des données à caractère personnel et des informations collectées dans le traitement à compter de leur enregistrement ou de la dernière action de l’usager et modifie, par une disposition spécifique, le traitement PEL sur ce point aux fins d’harmonisation.
II. – L’avis de la CNIL
A. – Sur les finalités et le périmètre du traitement
Le traitement Visioplainte est un téléservice facultatif, proposé en alternative à la démarche de déplacement en unité ou en commissariat. Il a pour finalités de :
– permettre à la victime ou à son représentant légal (mineur, personne majeure, incapable civilement, personne morale victimes), s’ils le souhaitent, de déposer plainte par voie de télécommunication audiovisuelle ;
– permettre aux personnels de la police nationale et de la gendarmerie nationale d’instruire la plainte effectuée par la victime ou son représentant légal et de les informer des suites réservées.
Conformément aux dispositions de l’article R. 2-25 du CPP, cette procédure pourra être utilisée par toute victime d’une infraction pénale. Le traitement Visioplainte pourra être utilisé en complément d’une télédéclaration effectuée via PEL afin d’effectuer le rendez-vous en visioconférence.
S’agissant des infractions d’agressions sexuelles ou d’atteintes sexuelles (articles 222-22 à 222-31-2 et 227-25 à 227-27-3 du code pénal), la réalisation d’une première audition via Visioplainte est possible mais devra obligatoirement être suivie d’une audition en présentiel. En effet, l’orientation de l’usager s’effectue en fonction de l’infraction concernée et selon les spécifications que l’usager donnera à sa demande notamment via le service « Ma Sécurité ».
Il ressort de l’analyse d’impact relative à la protection des données (AIPD) qu’à partir du site « Ma sécurité » :
– l’usager qui sera dirigé vers le « parcours usager » de prise de rendez-vous pour une visioplainte (sous réserve de créneaux disponibles) crée automatiquement son espace usager, en s’authentifiant par FranceConnect ;
– une fois authentifié, il est invité, sans que cela revête un caractère obligatoire, à décrire sommairement les faits, la date et le lieu permettant d’orienter l’agent instructeur avant la visioplainte, selon le degré d’urgence, et d’expertise nécessaire, qui doit permettre de recueillir ses déclarations ;
– l’usager pourra téléverser via l’espace de partage de fichiers de son espace usager des documents, photographies, etc. qui seront conservés dans un coffre-fort numérique pour le traitement de la plainte ;
– l’agent peut rejeter la plainte si celle-ci ne comporte pas les éléments constitutifs d’une infraction pénale (rejet motivé) ;
– le procès -verbal de plainte est réalisé de manière classique via les logiciels de rédaction de procédure (LRP).
Les finalités du traitement Visioplainte sont déterminées, explicites et légitimes. La CNIL prend acte de ce que les finalités seront rappelées à l’usager qui s’apprête à effectuer cette démarche, au moyen d’une mention du projet d’article R. 2-29-1 du CPP, accessible et dépliable sur la page d’accueil du site web du téléservice.
B. – Sur les catégories de données traitées
1. Concernant la collecte de données sensibles
Le projet de décret liste les données à caractère personnel pouvant être collectées dans le traitement selon la distinction entre les différentes catégories de personnes, conformément à l’article 98 de la loi « informatique et libertés » (personne physique ou morale déposant plainte, personne physique accompagnant, personnels de police nationale et de la gendarmerie nationale et les données relatives aux faits dénoncés).
L’usager qui a pris un rendez-vous est invité à décrire la nature, la date et le lieu des faits s’il le souhaite. Un champ libre de description sommaire de l’infraction est proposé s’agissant des données relatives aux faits dénoncés. Celui-ci est facultatif, limité (200 caractères maximum) et guidé par une question (« en deux mots que s’est-il passé ? ») afin de limiter la collecte des données strictement nécessaires. Cette donnée permet d’assurer un éclairage minimal de l’agent sur la technicité d’un sujet et la durée approximative du dépôt de plainte. L’usager est averti que ces informations ne constituent pas une plainte mais qu’elles sont collectées en vue de la préparation du rendez-vous par Visioplainte, avec la possibilité de recourir au langage qui lui est le plus familier.
S’agissant des autres informations à collecter, il est fait recours à des champs normés (menus déroulants) liés aux référentiels des LRP.
Il ressort, par ailleurs, de l’AIPD que :
– aucune donnée audio ni vidéo n’est enregistrée lors de la visioconférence. L’agent rédige les déclarations de l’usager directement dans le LRP, lequel génère ensuite le procès-verbal de plainte. Le ministère a précisé qu’il n’y a pas de transcription automatisée. Les déclarations de l’usager doivent être reprises sans altération dans les LRP ; ce traitement est dès lors susceptible d’entraîner la collecte de données sensibles, à l’exception des données génétiques et biométriques ;
– ensuite, après avoir recueilli le consentement exprès de l’usager, l’agent signe numériquement le procès-verbal qui devient insusceptible de toute modification et l’enregistre dans le LRP ;
– enfin le procès-verbal de plainte est stocké dans le coffre-fort numérique certifié SecNumCloud. Aucune modification des documents n’est alors possible (intégrité des données). Ni l’usager ni l’agent ne dispose d’un accès direct au coffre-fort numérique ; chacun d’eux dispose en revanche d’un accès en lecture seule (via un appel API déclenché par l’application Visioplainte).
La CNIL prend acte de l’absence de retranscription automatisée des déclarations de l’usager par un traitement supplémentaire. Cette garantie est de nature à renforcer l’intégrité et la sécurité de ces données sensibles. Elle estime néanmoins que cette garantie pourrait être explicitée dans l’AIPD.
Concernant l’unique champ libre de commentaire, la CNIL considère que la collecte de ces catégories de données est adéquate, pertinente et limitée à ce qui est nécessaire. En effet, la victime doit pouvoir fournir certains éléments susceptibles de concerner les faits les plus divers au regard du périmètre du traitement Visioplainte et utiles à son dépôt de plainte (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
La CNIL prend acte de la garantie selon laquelle aucun outil de requête n’est accessible dans l’application Visioplainte pour effectuer des recherches sur les informations et les données sensibles collectées dans ce champ libre.
C. – Sur les durées de conservation des données
Le projet de décret prévoit que les données à caractère personnel et informations collectées (données d’identité, procès-verbaux de dépôt de plainte et documents afférents) peuvent être conservées pendant une durée de six mois après leur dépôt sur le coffre-fort numérique :
– à compter de leur enregistrement ; ou
– s’agissant de l’identifiant et du mot de passe choisi par l’auteur de la plainte, à compter de la dernière action de l’usager.
Les pièces jointes, remises par l’intermédiaire de l’espace usager, sont conservées une semaine puis intégrées au coffre-fort numérique.
Le ministère justifie cette durée de conservation par la nécessité de :
– permettre au service de police ou de gendarmerie concerné de répondre à l’usager en cas de contestation de celui-ci, en s’appuyant sur l’ensemble des éléments du dossier. Ce délai est identique à celui à partir duquel un plaignant peut demander les suites de sa plainte au procureur de la République ;
– limiter l’espace de stockage du coffre-fort numérique.
Cette durée de conservation de six mois des données enregistrées dans le coffre-fort numérique est proportionnée aux besoins exposés par le ministère.
La CNIL prend acte de ce que :
– un dispositif d’effacement automatique des données à caractère personnel recueillies sera mis en œuvre à l’expiration du délai de six mois à compter de leur enregistrement (à date de la déclaration) ;
– un effacement manuel anticipé est possible pour faire droit à un usager qui le demanderait en application de l’article 106 de la loi « informatique et libertés ». La suppression des données sera limitée au traitement « Visioplainte » et n’aura pas d’effet sur les données transmises dans les LRP, dont les règles de fonctionnement relèvent des textes réglementaires qui leur sont propres.
D. – Sur l’information des personnes
Les personnes sont informées conformément à l’article 104 de la loi « informatique et libertés » par les mentions présentes sur le site web du ministère. Ces mentions sont prévues dans les CGU, accessibles depuis le site de Visioplainte. Aucune information individuelle ou particulière des personnes concernées n’est directement accessible sur le site de la Visioplainte.
A l’instar de ce que à quoi s’était engagé le ministère s’agissant du traitement PEL (CNIL, SP, 4 avril 2024, avis sur un projet de décret portant autorisation d’un traitement automatisé de données à caractère personnel dénommé « plainte en ligne » (PEL), n° 2024-028, publié), la CNIL rappelle :
– qu’une mention dans le portail usager devrait être ajoutée afin de rendre l’information des usagers directement accessible et la plus claire possible sur ce traitement d’une certaine sensibilité, notamment en ce qui concerne l’exercice de leurs droits ;
– que l’information des agents sur la collecte de leurs données devrait également être mise en œuvre lors de leur connexion à l’application sur le portail qui leur est dédié.
Elle estime, en outre, que les tuteurs ou les curateurs des déclarants faisant l’objet d’une mesure de protection présents lors du dépôt de plainte par l’intermédiaire de visioplainte devraient être informés de l’enregistrement de leurs données à caractère personnel dans le traitement « Visioplainte ».
E. – Sur les mesures de sécurité
La CNIL prend acte de la mise en œuvre sur le portail usager et le coffre-fort numérique de solutions de chiffrement à l’état de l’art permettant d’assurer la confidentialité des données traitées.
Elle retient que des mécanismes sont mis en œuvre pour assurer l’intégrité et la non modification des données apportées par les usagers lors de leur intégration dans les LRP.
Elle prend acte de ce qu’une doctrine d’emploi précisera aux services ces consignes concernant l’espace de discussion (le « tchat »), qui ne sera utilisé que pour confirmer le bon fonctionnement du micro en cas de nécessité. Aucun élément ne sera pris en compte pour la plainte via ce tchat (pas de transmission de pièces jointes, etc.). Seul le partage de fichiers de l’espace usager de Visioplainte pourra servir à la transmission de ces documents par l’usager aux fins d’enregistrement de manière chiffrée dans le coffre-fort numérique.
Elle relève qu’une authentification forte par carte agent est nécessaire pour accéder au portail agent de l’espace agent de Visioplainte.
Tous les enquêteurs peuvent visualiser l’ensemble des dossiers affectés au service concerné, ainsi que les pièces qui leur sont jointes avant l’attribution d’une visioplainte. La CNIL s’interroge dès lors sur la limitation éventuelle des informations accessibles à l’ensemble des enquêteurs avant qu’une visioplainte ne soit attribuée. Elle prend néanmoins acte de ce que le dépôt de pièces justificatives est optionnel et que cela n’est pas de nature à remettre en cause la confidentialité car seuls les agents (enquêteurs assermentés) qui ont besoin d’en connaître doivent aller consulter les procédures et éléments dans Visioplainte. En outre, les actions sont tracées et les personnels sensibilisés sur ce sujet.
Elle prend acte de la mise en œuvre d’une journalisation conservée pour une durée de six mois sur le portail usager et pour une durée de trois ans pour le portail agent.
Le dispositif FranceConnect est l’unique modalité d’authentification sur Visioplainte.
La CNIL appelle cependant l’attention du ministère sur la prise en compte des risques liés à l’usurpation d’identité des usagers (par le recours à des technologies d’infox vidéo ou deepfake). Tout en prenant acte de l’engagement du ministère d’indiquer dans sa doctrine d’emploi à destination des agents « de débuter chaque entretien par une vérification de l’identité de l’usager avec les éléments indiqués sur FranceConnect », elle invite le ministère à intégrer ce type de scénario dans l’analyse des risques de l’AIPD et à mettre en place une veille qui permettra, si besoin, le développement de mesures proactives pour limiter ces risques.