Le 28 octobre 2016, par Geneviève Koubi,

Le décret n° 2016-1447 du 26 octobre 2016 autorisant un traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » a pour objet, ainsi que le précise le résumé présenté, « d’enregistrer les données relatives aux gardes à vue afin de faciliter la conduite et la gestion du déroulement des gardes à vue dans les services de police et les unités de gendarmerie et de permettre le suivi et le contrôle des mesures de garde à vue ». Il est pourtant difficile de le considérer comme un simple "instrument de gestion »… ainsi que la Commission nationale de l’informatique et des libertés le désigne dans son avis du 26 mai 2016 [1]

Ce décret introduit dans le chapitre Ier du titre II du livre Ier du Code de procédure pénale une section 3 relative au « registre des gardes à vue dématérialisé ». L’enjeu est, selon l’article R. 15-33-77 du CPP ainsi créé, de « 1° Faciliter la conduite et la gestion du déroulement des gardes à vue dans les services de police et les unités de gendarmerie ; 2° Permettre le suivi des mesures de gardes à vue et le contrôle de leur régularité pendant et après leur mise en œuvre ». Le traitement automatisé de données à caractère personnel dénommé « Informatisation de la gestion des gardes à vue » (iGAV), mis en œuvre par le ministre de l’intérieur (direction générale de la police nationale et direction générale de la gendarmerie nationale), annoncerait donc la fin des registres papier... Mais, d’emblée, il est à noter que le traitement doit permettre le suivi de la mesure de contrainte décidée et le contrôle du déroulement de chaque mesure de garde à vue dans les services de police et les unités de gendarmerie. Ce qui ne peut être strictement enfermé dans le cadre de la gestion des gardes à vue.

.

Il est fait référence à la loi n° 2011-392 du 14 avril 2011 relative à la garde à vue qui sont pour la plupart insérées au Code de procédure pénale (CPP). Plus particulièrement en tenant compte des dispositions de l’article 64 de ce code, le but était, ainsi que la CNIL le rappelle en son avis du 26 mai 2016, de « renforcer le contrôle a posteriori, par l’autorité judiciaire, de la mesure de garde à vue ». Dans son avis du 26 mai 2016, la CNIL fait aussi mention du « registre spécial devant être tenu dans tout local de police ou de gendarmerie susceptible de recevoir une personne gardée à vue », lequel « peut être dématérialisé », et « doit porter, outre les mentions relatives au déroulement de la mesure de garde à vue, celles qui sont relatives à la réalisation de fouilles intégrales ou d’investigations corporelles internes » [2].

.

A la lecture du décret n° 2016-1447 du 26 octobre 2016, il est possible de s’interroger sur la finalité même de ce traitement automatisé de données à caractère personnel, même si la CNIL estime qu’il s’agirait essentiellement pour le ministère d’« améliorer la cohérence et la traçabilité des registres papier actuellement utilisés dans les services de police et de gendarmerie en procédant à leur informatisation ». Pour la CNIL, cette méthode réduirait « le risque d’erreurs liées à la transcription manuscrite des registres » [3] et permettrait une harmonisation des « pratiques » au sein des locaux de police et de gendarmerie.

Ainsi au lieu de plusieurs registres papier, n’existerait plus qu’un registre - informatisé. Dès lors, comme le note la CNIL dans son avis, « la centralisation des données relatives à l’ensemble des mesures de garde à vue décidée sur le territoire national, y compris lorsqu’elles ne font l’objet d’aucune suite, est susceptible de comporter certains risques liés à l’utilisation de cette application. Le déploiement du traitement iGAV doit dès lors s’accompagner de garanties suffisantes et appropriées. A cet égard, elle prend acte que ce traitement ne constitue ni un fichier d’antécédents judiciaires ni un fichier de police judiciaire et qu’il n’a pas vocation à être utilisé par les officiers de police judiciaire dans le cadre de leurs enquêtes » [4]

L’interrogation se justifie d’autant plus que la CNIL signale que « l’ensemble de la procédure n’est pas dématérialisé, dans la mesure où le ministère n’entend pas dématérialiser dans un premier temps la procédure d’émargement du registre par la personne gardée à vue ». Or, lorsque devra être intégrée la signature numérique au traitement iGAV « des modifications substantielles seraient apportées au traitement projeté » et la CNIL devra en être saisie pour avis…

Comme le remarque la CNIL, « cette informatisation facilitera par ailleurs la recherche d’informations au sein des registres de garde à vue et permettra aux états-majors des services de police et de gendarmerie d’avoir une meilleure visibilité sur le nombre de gardes à vue ». Pourtant, dans ce traitement automatisé de données à caractère personnel « Informatisation de la gestion des gardes à vue », peuvent être enregistrées des « données sensibles » puisque, ainsi que l’annonce le dernier alinéa de l’article R. 15-33-78 CPP institué par ce décret du 26 octobre 2016, « le traitement peut enregistrer celles des données prévues au présent article de la nature de celles mentionnées au I de l’article 8 de la loi du 6 janvier 1978 dans la stricte mesure où cet enregistrement est nécessaire aux finalités assignées audit traitement » [5]

.

L’article R. 15-33-78 CPP donne donc la liste des données à caractère personnel qui forment le traitement iGAV.

Peuvent y être enregistrées les données concernant la personne faisant l’objet de la mesure de garde à vue : « a) Nom(s), prénom(s), alias éventuels ; b) Date et lieu de naissance, nationalité ; c) Domicile ; d) Photographie ; e) Antécédents judiciaires justifiant des mesures de sûreté particulières ; f) Éléments connus relatifs à la santé de la personne » [6], ainsi que celles concernant ses droits [7] : « a) Droits demandés ou refusés ; b) Dates et heures de l’avis à l’avocat ; c) Identité de l’avocat ; d) Dates, heures et durée du ou des entretiens avec l’avocat ; e) Avis demandés, dates et heures des avis effectués ; f) Identité du médecin ; g) Date et heure de l’examen médical ; h) Avis du médecin sur la compatibilité ou l’incompatibilité de l’état de santé de la personne avec la mesure [8] ; i) Suivi d’un traitement médical ; j) Identité de l’interprète ; k) Date et heure de la présence de l’interprète ; l) Identité des personnes prévenues : proche, curateur, tuteur, employeur ; m) Date et heure d’avis aux autorités consulaires si la personne placée en garde en vue est de nationalité étrangère ».

S’y ajoutent : « 5° Effets personnels écartés au début de la garde à vue et restitués à l’issue [9] ; 6° Mesures de sûreté pratiquées sur la personne en garde à vue. »

De même, sont intégrées au fichier iGAV des données concernant la mesure de garde à vue : « a) Raisons ayant conduit au placement de la personne en garde à vue, circonstances de l’interpellation ; b) Date et heure du début de la garde à vue ; c) Date et heure des prolongations (avec ou sans présentation préalable au magistrat) de la garde à vue ; d) Date et heure de la fin de la garde à vue ; e) Numéro de procédure ; f) Cadre d’enquête ; g) Dates et heures des auditions, confrontations, perquisitions et parades d’identification ; h) Dates et heures des fouilles intégrales réalisées par l’officier de police judiciaire ; i) Date et heures des investigations corporelles réalisées à la demande de l’officier de police judiciaire ; j) Dates et heures des repos et des repas ; k) Contre-indications alimentaires [10] ; l) Surveillance particulière dont fait l’objet la personne ; m) Identité des magistrats intervenant dans la garde à vue ; n) Suites de la garde à vue ». [11]

.

La CNIL estime « indispensable qu’un contrôle régulier des données collectées au titre de ces différentes catégories soit mis en œuvre afin de s’assurer de l’absence de collecte, dans ce cadre, de données susceptibles de faire apparaître, directement ou indirectement, les origines raciales ou ethniques et les opinions religieuses des personnes gardées à vue, ainsi que de données qui n’emporteraient aucune conséquence sur la mesure de garde à vue. »

L’article R. 15-33-80 et l’article R. 15-33-81 CPP, issus du décret du 26 octobre 2016, disposent, pour le premier : « Les données à caractère personnel et informations mentionnées à l’article R. 15-33-78 sont conservées pendant une durée de un an à compter de leur enregistrement. / A l’issue de ce délai, les données à caractère personnel et informations mentionnées à l’article R. 15-33-78 sont conservées pendant une durée de neuf ans et uniquement accessibles aux personnes mentionnées aux 3° et 4° du I et au II de l’article R. 15-33-79. » ; pour le second : « Les créations, mises à jour, suppressions et consultations font l’objet d’un enregistrement comprenant l’identifiant de l’auteur, la date, l’heure et l’objet de la consultation. Les informations relatives à ces consultations sont conservées pendant cinq ans. » - ce qui est nettement insuffisant au regard des pratiques qui sont faites des fichiers de police, ne seraient-ils que de « gestion »...

... Ce qui transparaît d’ailleurs dans la remarque de la CNIL émise à l’occasion de son avis du 26 mai 2016 et qui ne se discerne pas dans le décret du 26 octobre 2016 : « le ministère a indiqué que le traitement iGAV, qui repose sur l’utilisation d’une application nationale, doit être interconnecté avec les logiciels de rédaction de procédures de la police et de la gendarmerie nationale (LRPPN 2 et LRPGN), créés par les décrets du 27 janvier 2011 susvisés. Il est ainsi prévu que les données concernant l’identité de la personne, son placement en garde à vue, les éventuelles prolongations et la fin de la mesure soient importées de ces traitements. Si la commission relève que la mise en œuvre de ces interconnexions est de nature à simplifier la tenue et la gestion des registres de garde à vue, elle observe que les décrets précités relatifs à la mise en œuvre des traitements LRPPN 2 et LRPGN ne permettent pas l’enregistrement des données relatives au placement de la personne en garde à vue, aux prolongations et aux dates de fin de la mesure. La commission prend dès lors acte des précisions du ministère, selon lequel les décrets portant création de ces traitements seront modifiés. Elle rappelle néanmoins que la collecte de ces données, par la mise en œuvre d’interconnexions avec les traitements précités, ne peut intervenir en l’absence de telles modifications. » [12]

.