Le Décret n° 2024-1111 du 4 décembre 2024

Le Décret n° 2024-1111 du 4 décembre 2024 relatif au fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes ajoute deux autorités administratives accédant aux données du fichier national judiciaire automatisé des auteurs d’infractions sexuelles ou violentes (FIJAIS).

Le ministère chargé de l’agriculture et celui de la culture

D’une part, le ministère chargé de l’agriculture afin qu’il puisse procéder, pour les personnels intervenants dans les établissements d’enseignement agricole, qu’il s’agisse d’agents titulaires ou d’agents contractuels, à l’interrogation de ce fichier.

D’autre part, le ministère chargé de la culture pour les personnels des établissements qui lui sont rattachés et dont il assure la gestion. Par ailleurs, le texte procède à la suppression de certaines références.

Le texte procède également à la codification régissant le fonctionnement du FIJAIS à la suite des modifications de l’article 706-53-10 du code de procédure pénale par les lois n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice et n° 2020-1672 du 24 décembre 2020 relative au parquet européen, à la justice environnementale et à la justice pénale spécialisée, de l’article 706-53-2 (5°) du code de procédure pénale par la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales et de l’article 706-53-4 du code de procédure pénale par la loi n° 2020-1672 du 24 décembre 2020.

Le FIJAIS créé par la loi n° 2004-204 du 9 mars 2004

Le FIJAIS a été créé par la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. Il est tenu sous le contrôle du magistrat dirigeant le service du casier judiciaire national et est sous la responsabilité du ministère de la justice.

Il a pour finalités la prévention du renouvellement de certaines infractions à caractère sexuel et violent ainsi que l’identification de leurs auteurs. Il doit aussi permettre de faciliter le suivi des auteurs de ces infractions par les autorités judiciaires et les services de police et de gendarmerie. Il permet enfin d’exercer un contrôle de l’accès à certaines professions entraînant un contact avec des personnes mineures.

Ce traitement participant à la prévention des infractions pénales ainsi qu’aux enquêtes en la matière, il relève ainsi de la directive n° 2016/680 du 27 avril 2016 dite directive « Police-Justice » et des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

An amont, l’avis de la CNIL sur le projet de décret

La CNIL a estimé que les modalités selon lesquelles il est prévu d’ouvrir le FIJAIS aux administrations doivent faire l’objet d’un encadrement rigoureux (CNIL, SP, 8 novembre 2007, projet de décret modifiant la partie réglementaire du code de procédure pénale et relatif au FIJAIS et au casier judiciaire national automatisé, n° 2007-326, publiée).

En effet, la diversité des professions et activités concernées ainsi que la gravité des conséquences qui peuvent résulter de sa consultation à des fins administratives nécessitent une vigilance particulière.

Les modifications envisagées visent à permettre aux ministères concernés de s’assurer que les candidats ou agents à des fonctions impliquant un contact habituel avec des personnes mineures ne font pas l’objet d’une inscription au FIJAIS.

Au regard de ce qui précède, la CNIL considère que la consultation des données par les deux nouveaux accédants mentionnés apparaît justifiée et proportionnée.

L’article 706-53-7 du CPP indique que les informations contenues dans le FIJAIS sont directement accessibles, par l’intermédiaire d’un système de télécommunication sécurisé, pour les accédants prévus.

L’article 706-53-11 du même code prévoit qu’aucun rapprochement ni aucune connexion au sens de l’article 33 de la loi du 6 janvier 1978 modifiée ne peuvent être effectués entre le FIJAIS et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l’Etat ne dépendant pas du ministère de la justice.

Les administrations prévues en tant qu’accédants peuvent interroger les informations contenues dans le FIJAIS par un système de télécommunication sécurisé mis en place par ces ministères (recherche par identité complète uniquement).

La CNIL prend acte de ce que les ministères de l’agriculture et de la culture n’ont pas vocation à faire des demandes par liste d’identités compte tenu de la volumétrie des consultations annoncée. Elle constate que ces modalités d’interrogation sont conformes aux articles 706-53-7 et 706-53-11 du CPP.

En tout état de cause, elle rappelle que l’interrogation du FIJAIS par ces nouveaux accédants ne devra pas conduire, conformément à l’article 706-53-11 du CPP, à la mise en œuvre d’un rapprochement.

Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019. Le projet de décret vise à modifier :

• les conditions d’inscription au FIJAIS prévues à l’article R. 53-8-12 du CPP, le placement sous contrôle judiciaire n’étant plus une condition d’inscription des personnes en examen au FIJAIS ;
• les catégories de décisions judiciaires enregistrées dans le FIJAIS conformément à l’article R. 53-8-4 du CPP, les décisions de non-lieu, de cessation ou de mainlevée de ce contrôle n’étant plus enregistrées dans le traitement ;
• les conditions d’effacement des données prévues à l’article R. 53-8-36 du CPP dans la mesure où la cessation et la mainlevée du contrôle judiciaire ne sont plus des conditions d’effacement des données ;
• la compétence pour connaître des recours contre les décisions de refus du procureur de la République d’effacement ou de rectification des données, désormais attribuée au président de la chambre de l’instruction de la cour d’appel et non plus au juge des libertés et de la détention.

L’extension du traitement aux deux ministères prévus par le décret n’appelle pas de mesures de sécurité supplémentaires, mais appelle à accroître la vigilance à porter sur la gestion des accès déployés, en raison de la dispersion et la diversité prévisible des utilisateurs accédant au traitement. Elle rappelle que des procédures d’habilitation doivent être définies par les deux nouveaux ministères accédants avant l’accès au FIJAIS.

Compte tenu de la sensibilité particulière des données enregistrées dans ce fichier, des mesures doivent être prises afin d’assurer plus largement la sécurité des accès au FIJAIS et la confidentialité stricte des données consultées. Ces mesures doivent faire l’objet de procédures écrites.

La CNIL relève que l’accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d’en connaître. Pour une partie des utilisateurs, cet accès est conditionné à un mécanisme d’authentification reposant sur l’utilisation d’une carte agent combinée avec un code individuel. Toutefois, la CNIL regrette l’existence de situations dérogatoires d’accès par identifiant et mot de passe.

La CNIL relève également que la politique d’habilitation spécifique existante sur ce traitement sera applicable aux nouveaux accédants.

Toutefois, les accédants du ministère de l’agriculture utiliseront une authentification par un certificat cryptographique et les modalités d’authentification des accédants du ministère de la culture sont en cours de définition. Compte tenu de la sensibilité des données collectées, la CNIL recommande fortement de ne permettre l’accès aux données qu’après une authentification forte multi-facteur, comprenant au moins deux facteurs d’authentification différents, pour tous les accédants.

Par ailleurs, la CNIL prend acte du plan d’action de l’analyse d’impact relative à la protection des données (AIPD) visant à réduire la vraisemblance des risques identifiés. Elle regrette toutefois que ce plan d’action ne précise pas de calendrier prévisionnel pour le déploiement des mesures complémentaires. La CNIL encourage donc le ministère à poursuivre les travaux de sécurisation du traitement.

Elle rappelle enfin que les exigences de sécurité prévues à l’article 99 de la loi « informatique et libertés » nécessitent la mise à jour régulière de l’AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.