Les ministères, mauvais élèves de la protection des données personnelles

You are currently viewing Les ministères, mauvais élèves de la protection des données personnelles

 

Ce 6 novembre, la Commission nationale de l’informatique et des libertés (CNIL) épingle publiquement deux ministères pour la mauvaise gestion du fichier de traitement d’antécédents judiciaires (dit TAJ), ravivant les interrogations sur l’exemplarité du gouvernement en la matière.

 

  • Le fichier TAJ pointé du doigt après contrôle de la CNIL

Le fichier TAJ est un outil de police judiciaire qui recense les données personnelles des mis en cause dans des enquêtes pénales et de leurs victimes. Il s’agit d’un traitement régalien, régi par la loi française “informatique et liberté”. Le RGPD en admet le renvoi en son article 10. C’est le Ministère de l’Intérieur et des Outre-mer qui est chargé du TAJ, il en endosse la responsabilité. Toutefois, sa tenue dépend en grande partie du Ministère de la Justice.

En cas de relaxe ou d’acquittement, c’est-à-dire une décision de non-culpabilité, les données relatives à cette poursuite pénale doivent en principe être effacées.
Si la nature des accusations change (requalification), les données doivent être corrigées pour s’y conformer.
De même, le TAJ doit mentionner s’il y a eu non-lieu ou un classement sans suite pour les données concernées, l’affaire étant considérée comme abandonnée.

Ces informations portant modification émanent en effet toutes de l’autorité judiciaire. Or, en l’absence de leur transmission, les données du fichier TAJ ne peuvent respecter ces règles et être assurées comme exactes et à jour. C’est, de fait, ce qu’a pu constater la CNIL à l’issue d’une procédure de contrôle. 

Ce contrôle a révélé plusieurs failles. En réponse, une délibération de la Commission s’est tenue le 17 octobre. 

  • Sur cette première question est constitué un manquement à l’exactitude des données, que ce soit car celles-ci sont incorrectes, incomplètes ou non à jour.

Par ailleurs, les droits des personnes concernées ne sont pas non plus pleinement respectés.

  • D’abord sur le droit à l’information, les personnes figurant dans le fichier n’étant pas systématiquement informées de leur inscription.
  • Mais aussi, car les parquets peinaient à répondre dans le cadre de demandes de droit d’accès des personnes concernées, droit qui ne pouvait alors être garanti par les services gestionnaires du TAJ. 

La présence de données obsolètes n’est pas sans conséquences. Par exemple, une personne contre qui aucune infraction n’a pourtant été retenue peut se voir refuser l’accès à un concours de la fonction publique. Cela peut aussi influencer la conclusion d’enquêtes administratives préalables à l’exercice d’une profession.
Ce fort impact est d’autant plus amplifié que la personne concernée ne peut rectifier sa situation car heurtée à des freins dans sa demande de droit d’accès, ou dans le pire des cas, n’ayant même pas connaissance de sa présence dans le fichier.

Face à ces irrégularités, la CNIL rappelle à l’ordre le Ministère de l’Intérieur et le Ministère de la Justice, les enjoint à se mettre en conformité d’ici le 31/10/2026 et de prendre à ce titre “toute mesures raisonnables”. En outre, elle exige la publicité de la délibération.

Une telle intervention face à des ministères n’est pas un cas isolé et s’était déjà manifestée sous un autre angle moins d’un an plus tôt.

 

  • Utilisation illégale de données personnelles à des fins de communication politique

Était en cause un courriel envoyé aux agents publics, support d’une vidéo défendant le projet de réforme des retraites, alors en cours d’adoption. Leurs adresses mail avaient été extraites de l’espace numérique sécurisé des agents publics de l’Etat (ENSAP), plateforme gouvernementale de gestion de carrière de ces agents, gérée par le Ministère de l’Économie, des Finances et de la Souveraineté industrielle et numérique. Cette diffusion a été faite au profit du Ministère de la Transformation et de la Fonction publique, acteur clé de la réforme.

L’utilisation de ces adresses électroniques (une donnée personnelle) pour la diffusion d’un message politique constitue un détournement de finalité, violant l’article 5.1.b) du RGPD. En effet, ces adresses n’avaient été collectées légalement qu’aux fins de gestion administrative de l’ENSAP. La CNIL n’a évidemment pas pu considérer cela comme une communication administrative. Celle-ci est bien politique : le projet était encore en discussion et sa teneur visait à “convaincre de la nécessité et du bien-fondé de la réforme”.

Finalement, la CNIL, dans sa délibération du 9 novembre 2023, rappelle à l’ordre les deux ministères et rend publique la délibération.

 

  • Deux affaires loin d’être anodines : les données personnelles mises à mal

Ces affaires, bien que très différentes, exposent toutes deux des failles d’une certaine envergure ; a fortiori lorsque le point commun entre ces manquements est qu’ils émanent de l’Etat.

  • S’agissant du fichier TAJ, une négligence est particulièrement préoccupante car elle concerne le domaine hautement sensible des enquêtes pénales et qu’elle fait peser des risques accrus sur la vie des personnes. 
  • Les faits de 2023, en raison du contexte politique, mettent quant à eux en cause la neutralité et l’objectivité des communications administratives ; ainsi que l’intégrité d’une plateforme gouvernementale de documents confidentiels. L’ampleur est d’autant plus marquante qu’elle concerne 2 346 303 personnes, soit une quantité massive de données. 

Il en découle un impact direct sur la perception publique et la confiance dans les institutions. Cela se reflète d’ailleurs dans les 1600 plaintes qu’a reçu la CNIL à la réception du courriel litigieux, les Français ayant saisi les enjeux de la protection des données personnelles.
La CNIL en est elle aussi consciente et l’a clairement souligné en rendant publiques ces délibérations. Malgré ses efforts de sensibilisation, les sanctions émises restent très légères. Pire, les ministères coupables ne figureront plus dans les délibérations après deux ans, minimisant davantage la solution.
L’heure doit maintenant être à l’évolution des pratiques gouvernementales pour assurer la sécurité de nos données.

 

Laeticia ESCHLIMANN

M2 Cyberjustice – Promotion 2024/2025

 

Sources :

Délibération du 17 octobre 2024

Communication de la CNIL sur la délibération du 17 octobre 2024

Délibération du 9 novembre 2023

Communication de la CNIL sur la délibération du 9 novembre 2023

Image de vectorjuice sur Freepik

Étiquettes: , , , ,

Cet article a 2 commentaires

  1. Gaël BRICHLER 06/12/2024 Répondre

    Excellent article, fouillé et pertinent, notamment sur le TAJ, qui est l’application que nous utilisons le plus dans l’institution policière.

  2. freepik 12/12/2024 Répondre

    I have read a few just right stuff here. Certainly value bookmarking for revisiting.
    I wonder how a lot effort you put to make such a magnificent informative site.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.