La délibération de la CNIL sur le rappel à l’ordre des ministères de l’Intérieur et de la Justice a permis d’apprendre que le fichier de Traitement d'antécédents judiciaires (TAJ), sorte de « casier judiciaire bis », était passé de 9 à 24 millions de personnes « défavorablement connues » des services de police et de gendarmerie.

• 24 millions et moi, et moi… : un tiers de la population « défavorablement connue » de la police

Mais la Commission pointe aussi du doigt de nombreux manquements des ministères. Certains remontent à plusieurs années, voire au début de la création du fichier, en 2012. La CNIL rappelle que cela peut avoir « des conséquences considérables dans la vie des personnes », mais elle redonne tout de même deux ans aux ministères pour rentrer dans les rangs… avant de redonner deux ans si besoin ? On vous explique cette affaire en détail.

Présumés suspects : moins du tiers des affaires judiciaires sont mises à jour

Le Code de procédure pénale prévoit que certaines mises à jour du fichier « sont obligatoires en fonction de la suite judiciaire donnée à l’affaire », relève la CNIL. Dès lors, souligne (en gras) sa formation restreinte, en charge des sanctions, « les données doivent être rectifiées lors d’une requalification judiciaire et elles doivent être effacées par principe en cas de décision de relaxe ou d’acquittement », sauf si le procureur de la République, ou le magistrat référent, en demande le maintien.

Or, « de nombreux parquets ne transmettaient pas automatiquement au gestionnaire du TAJ les décisions de relaxe, d’acquittement, de non-lieu et de classement sans suite », certaines juridictions ne transmettant même « aucune décision au TAJ », au point que plus des deux tiers des fiches correspondantes ne sont pas effacées ou mises à jour :

« La formation restreinte note que le ministère de la justice a indiqué, lors des contrôles, que si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, il ne décompte qu’environ 300 000 décisions de mises à jour prises par an. »

Dit autrement : plus des deux tiers des justiciables qui ont fait l'objet d'une requalification judiciaire n'en restent pas moins fichés comme « mis en cause » (et donc « défavorablement connus ») dans le TAJ, au mépris, non pas de la « présomption d'innocence », mais bien des décisions mêmes de la Justice française.

Ce qui peut entraîner des « conséquences concrètes et graves » pour les personnes, relève la formation restreinte, notamment en matière d’enquêtes administratives préalables à l’exercice d’une profession ou à l’admission à se présenter à un concours de la fonction publique. Ce qui contrevient, aussi, à l'article 97 de la loi Informatique et Libertés (LIL), aux termes duquel « les autorités compétentes prennent toutes les mesures raisonnables pour garantir que les données à caractère personnel qui sont inexactes, incomplètes ou ne sont plus à jour soient effacées ou rectifiées sans tarder ou ne soient pas transmises ou mises à disposition ».

Fichés « à charge » par la Police, mais pas « à décharge » par la Justice

En défense, le ministère de l’Intérieur a opportunément fait remarquer que la mise à jour du fichier reposait sur le ministère de la Justice, seul à même de pouvoir être tenu pour responsable de la transmission des informations « nécessaires à l’effacement des données, à leur rectification ou à l’ajout de mention ».

Si la Police et la Gendarmerie font le job en fichant au TAJ ce pourquoi une personne a pu être « mise en cause », il revient en effet à la Justice de lui transmettre ce pourquoi elle aurait finalement été « blanchie » en faisant l'objet d'une décision de relaxe ou d’acquittement.

Les deux ministères ont en outre indiqué à la formation restreinte qu’ils menaient conjointement, « depuis 2008 », des travaux afin de « mettre en place des échanges inter-applicatifs qui permettraient une mise à jour automatisée du fichier ». Une expérimentation serait par ailleurs en cours « depuis février 2024 » au sein du tribunal judiciaire de Châteauroux, mais, précisent-ils, « cette mise en œuvre se heurte à des difficultés techniques ne permettant pas d’envisager la généralisation de ces échanges inter-applicatifs ».

Au surplus, le ministère de l’Intérieur ajoute « qu’en tout état de cause, la mise à jour du fichier demeurerait incomplète et non fiable » puisqu’il n’est pas envisagé que les nouveaux cas de mise à jour du fichier prévus par l’article 230 - 8 du code de procédure pénale depuis 2018 soient communiqués lors des échanges inter-applicatifs.

Un comble : cet article précise en effet que « le procureur de la République dispose pour l'exercice de ses fonctions d'un accès direct aux traitements automatisés de données à caractère personnel » de type TAJ, de sorte de pouvoir, précisément, les mettre à jour :

« Les décisions d'effacement ou de rectification des informations nominatives prises par le procureur de la République sont portées à la connaissance des responsables de tous les traitements automatisés pour lesquels, sous réserve des règles d'effacement ou de rectification qui leur sont propres, ces mesures ont des conséquences sur la durée de conservation des données à caractère personnel. »

Une usine à gaz et cadeau empoisonné identifiés comme tels dès 2012

En outre, déplore la formation restreinte, les mesures mises en œuvre par les ministères depuis les contrôles opérés par la CNIL « s’avèrent insuffisantes » : « Notamment, le fait que les fichiers CASSIOPEE et TAJ ne soient toujours pas interconnectés, ce qui aurait pourtant permis une mise à jour automatisée du TAJ ».

Or, cette interconnexion du TAJ avec Cassiopée (pour « Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants », le fichier du ministère de la Justice utilisé pour enregistrer les informations relatives aux plaintes et dénonciations reçues par les magistrats), avait précisément été présentée, lors de la création du fichier, comme une condition sine qua non.

Les fichiers STIC et JUDEX étant truffés d'erreurs, l'objectif était de les fusionner dans un nouveau fichier, le TAJ, lui-même interconnecté avec Cassiopée, de sorte de pouvoir mettre à jour, de façon automatisée, les suites judiciaires données aux affaires traitées par les gendarmes et policiers, et donc d'expurger le TAJ des personne encore fichées comme « mises en cause », quand bien même elles auraient depuis été blanchies par la Justice.

Sauf que, comme le veut l'adage : « garbage in, garbage out » (« déchets en entrée, déchets en sortie », ou GIGO). Cette « usine à gaz » est d'autant plus déplorable qu'elle avait été identifiée dès la création du fichier, en 2012, au point que nous l'avions qualifié à l'époque de véritable « cadeau empoisonné » pour les ministères de la Justice et de l'Intérieur. Ce que ces nouvelles sanctions de la CNIL, infligées 12 ans après la création du fichier, ne font que confirmer.

Le Figaro lui-même avait qualifié Cassiopée, en mars 2011, de « grand bug informatique (qui) freine la justice ». Initialement conçu pour « fluidifier la chaîne pénale », le fichier en était en effet arrivé à « plomber souvent l’activité des services » faute d'avoir pris en compte les besoins opérationnels des magistrats et des greffiers, au point de faire peser le risque de « compromettre la validité des actes ».

Un droit à l'information limité au JO et à service-public.fr

La CNIL a également relevé que l’information communiquée aux personnes concernées lors de la collecte des données « pouvait être lacunaire, voire inexistante », au point que « les intéressés étaient susceptibles d’ignorer jusqu’à l’existence même de ce fichier », contrevenant là encore à la loi Informatique et Libertés.

En guise de défense, le ministère de l’Intérieur a soutenu que la mise à disposition des informations relatives au TAJ était « assurée par la diffusion au sein du Journal officiel de la publication de l’acte réglementaire autorisant le fichier, ainsi que par la mise à disposition de ces informations sur le site web du ministère et sur le site servicepublic.fr ».

À quoi la formation restreinte rétorque que certaines personnes dont les données sont traitées dans le TAJ « peuvent n’avoir qu’un accès limité au réseau internet (personnes détenues ou sans domicile, notamment) », et que leur droit à l’information se trouve dès lors « restreint de manière disproportionnée par une information uniquement délivrée par ce biais ».

En outre, la formation restreinte rappelle que les mineurs doivent bénéficier d’une information adaptée « aux besoins des personnes vulnérables telles que les enfants », de sorte qu'ils puissent comprendre le traitement mis en œuvre et ses implications, ainsi que les droits dont ils disposent et le moyen de les exercer.

Elle relève enfin que l’affiche apposée dans les lieux accessibles au public relative au TAJ « ne permet pas » aux personnes concernées de connaître les données traitées « puisque seules les photographies des personnes sont indiquées comme étant susceptibles d’être mentionnées dans le fichier ».

Le ministère s'engage à respecter la loi au plus tard fin 2025

En réponse, le ministère « indique souhaiter néanmoins assurer une meilleure transparence de l’information », en fournissant aux personnes mises en cause, dans le cadre de la garde à vue et de l’audition libre, des formulaires précisant l’ensemble des informations relatives au TAJ. Les directions générales de la Gendarmerie nationale (DGGN) et de la Police (DGPN) « envisagent également la création d’un support illustré spécialement dédié à leur intention ».

S’agissant des personnes victimes, la DGPN « s’engage à mettre à jour le récépissé de dépôt de plainte afin d’y ajouter toutes les mentions nécessaires relatives au TAJ ». Le ministère de l’Intérieur propose également de « réaliser une affiche spécifique au TAJ », et indique enfin que l’ensemble de ces formulaires « seront intégrés au plus tard au deuxième semestre 2025 ».

Si la formation restreinte considère que le manquement à la loi Informatique et Libertés « est constitué pour les faits passés », elle n'en considère pas moins que le ministère de l’Intérieur « s’est mis en conformité » (quand bien même cela n'arrivera, au mieux, que plus de 13 ans après la création du fichier), « de sorte qu’il n’y a pas lieu à adresser une injonction sur ce point ».

11 gendarmes pour gérer les demandes de droit de 24 millions de fichés

La CNIL a enfin relevé que « les services gestionnaires du TAJ éprouvent des difficultés à obtenir des réponses de la part des parquets consultés dans le cadre des demandes de droit d’accès de particuliers », et considère que « cela porte atteinte à l’effectivité des droits » (d’accès, d’effacement et de rectification) des personnes fichées.

Le ministère de l’Intérieur confirme que les services dédiés « rencontrent des difficultés » dans la mise en œuvre du traitement du droit d’accès au TAJ dans le délai légal de deux mois « en raison de réponses incomplètes, tardives, voire à une absence de réponse de la part des parquets ».

Pour sa défense, le ministère explique avoir « optimisé » son organisation afin d’ « accélérer » le traitement des demandes de droits d’accès. Il évoque « notamment » la création d’une cellule « uniquement dédiée » aux demandes des droits d’accès au sein du service central du renseignement criminel de la gendarmerie nationale « depuis le 8 février 2024 » (soit près de 12 ans après la création du TAJ). Elle permettrait, « lorsque la suite judiciaire est connue », un traitement des demandes « allant de trois à dix jours ».

Une réorganisation du service D@TA-I (le département des technologies appliquées à l’investigation du département du fichier d'antécédents judiciaires, DFAJ) a également été menée « afin de répondre aux obligations légales et réglementaires », aux attentes de la CNIL « et aux fortes exigences de qualité attendues ». Le ministère précise que deux officiers y encadrent désormais le groupe de traitement des droits d’accès, lui-même composé de « onze effectifs ».

Dans 60 % des cas, les parquets ne répondent pas

La formation restreinte considère cela dit que « seul le ministère de la Justice peut permettre le traitement des demandes d’accès, de rectification ou d’effacement lorsque les suites judiciaires sont inconnues des services gestionnaires du TAJ », et cela, « malgré l’optimisation » de l’organisation des services gestionnaires par le ministère de l’Intérieur :

« Elle relève que lors des contrôles, la délégation a été informée que dans 60 % des cas, les parquets ne répondent pas aux demandes des services gestionnaires saisis de demande d’accès. Elle constate donc qu’un nombre important de demande de suites judiciaires dans le cadre des droits d’accès reste sans réponse de la part des parquets. »

Le ministère de la Justice indique quant à lui qu’une dépêche du 31 juillet 2015 (faisant suite à la précédente mise en demeure de la CNIL, en date de février 2015) avait été diffusée à l’ensemble des procureurs généraux et des procureurs de la République. Il soutient en outre que le stock de demandes restant à traiter était « passé de 777 dossiers au 31 décembre 2022 à 511 au 31 décembre 2023 ».

La formation restreinte relève que ce reliquat « démontre la persistance du manquement », et considère que les deux ministères « ne sont pas en mesure » de prendre en compte les droits d’accès, de rectification et d’effacement des personnes dont les données figurent dans le TAJ dans les délais prévus.

La CNIL (re)donne deux ans aux ministères pour se conformer à la loi

En conclusion, la CNIL souligne qu'elle avait déjà évoqué les problèmes posés par le TAJ dans son rapport d’activité de 2018, et qu'elle y formulait déjà « plusieurs points d’attention » sur le nouveau dispositif d’exercice direct des droits, « de sorte que la problématique relevée lors des contrôles de 2022 n’est pas nouvelle ».

Rappelant que les données sont conservées au TAJ « pour des durées allant de cinq à 40 ans » pour les infractions les plus graves, la formation restreinte relève que, « malgré la sensibilité du fichier, de nombreuses données y sont conservées en raison d’un défaut de mise à jour » du fichier.

Or, le maintien de mentions inexactes « est de nature à porter gravement atteinte, et de façon potentiellement irréversible », aux droits fondamentaux des personnes qui font l’objet d'enquêtes basées sur ce fichier :

« La formation restreinte rappelle que la présence dans le TAJ peut avoir des conséquences considérables dans la vie des personnes, notamment en cas d’infractions, mais aussi lorsque des enquêtes administratives sont opérées en cas de demande d’acquisition de la nationalité française, participation à un concours [administratif, ndlr] ou encore avant l’attribution d’un emploi dont l’accès est règlementé. »

Si la formation restreinte se dit « consciente des contraintes, financières, techniques et organisationnelles, pesant sur les ministères », elle estime néanmoins que ces derniers « n’ont pas engagé les moyens suffisants à la mise en conformité du fichier », malgré la nécessité de s’assurer que les données qu’ils traitent sont exactes et tenues à jour et que l’information et les droits des personnes sont respectés.

Ce pourquoi elle a donc décidé de « prononcer un rappel à l'ordre » à l'encontre des deux ministères (qu'elle ne peut pas sanctionner financièrement, cf notre décryptage « Il y a 20 ans, la CNIL se couchait devant l’État »), ainsi qu'une « injonction de mettre en conformité » le fichier afin qu'il se conforme à la loi Informatique et Libertés, et en particulier de :

• prendre des mesures pour mieux assurer l’exactitude des données, en particulier en garantissant la prise en compte des décisions de non-lieu et de relaxe dans le TAJ ; ces mesures pourraient notamment consister en un dispositif permettant la répercussion automatisée de ces décisions de justice dans le TAJ ;
• garantir l’effectivité des droits des personnes, par exemple en mettant en place une procédure effective et généralisée à l’ensemble des juridictions visant à ce qu’une réponse soit systématiquement apportée dans les deux mois aux services gestionnaires du TAJ à la suite d’une demande d’exercice de droits.

La formation restreinte, qui « souligne l’ancienneté de la problématique », a également assorti ces injonctions d’un délai de mise en conformité « expirant le 31 octobre 2026 ».

Ce faisant, la CNIL, qui les avait pourtant mis en garde en 2012, 2013 et 2018, et déjà mis en demeure en 2015, (re)donne donc deux ans de plus aux ministères pour qu'ils parviennent à respecter la loi Informatique et Libertés de 1978, ce qu'ils n'ont toujours pas été capables de faire 12 ans après la création du TAJ en 2021, mais également 18 ans après avoir pourtant commencé à travailler de concert pour « mettre en place des échanges qui permettraient une mise à jour automatisée du fichier ».

Les sanctions que peut prendre la CNIL à l’encontre de l’État sont limitées

Nous avons contacté la CNIL afin de savoir pourquoi elle avait décidé d’accorder deux années supplémentaires aux ministères, après autant de mises en garde et déjà deux mises en demeure. Nous avons aussi demandé des précisions quant à ses réelles possibilités d’action et de sanction face aux ministères.

Pourquoi le communiqué de la CNIL ne mentionne pas le fait que le TAJ contenait « plus de 24 millions de fiches de personnes physiques mises en cause » (+ 167 % par rapport à 2012) comme le précise sa délibération de la formation restreinte ?

CNIL : Ces éléments figurent dans la délibération rendue publique. Dans son communiqué la CNIL s’est surtout appliquée à rendre compréhensible un sujet techniquement complexe et la nature des manquements qui, en tant que tels ne sont pas liés à la volumétrie, même s’il s’agit d’un élément de contexte important.

La CNIL a-t-elle interrogé les ministères afin de comprendre ce qui expliquerait qu'autant de personnes puissent ainsi être "défavorablement connue" de la police et de la gendarmerie ?

Ce point n’entre pas dans le champ de compétence de la CNIL dont la mission est uniquement de vérifier si les conditions dans lesquelles les données sont traitées sont conforme à la législation.

Comment les ministères expliquent-ils que les fichiers CASSIOPEE et TAJ ne soient toujours pas interconnectés… alors qu'ils y travaillent depuis 2008 et que c'était l'un des enjeux majeurs du TAJ, créé en 2012 ?

Il faut demander au ministère

Comment le ministère de la Justice explique-t-il que si plus d’un million de décisions devraient donner lieu à des mises à jour chaque année, il ne décompte qu’environ 300 000 décisions de mises à jour prises par an ?

Il faut demander au ministère

La CNIL avait déjà attiré l'attention des ministères sur ces problèmes en 2012, 2013 et 2018 (au moins), et les avait aussi déjà mis en demeure en 2015 : pourquoi ne pas sévir davantage ?La CNIL a-t-elle la possibilité légale de faire plus que des mises en garde, des rappels à l’ordre et des injonctions, ou bien les « armes » législatives dont vous disposez face aux ministères sont limitées à ces seules actions ?

Les sanctions que la CNIL peut prendre à l’encontre de l’Etat concernant des fichiers mis en œuvre à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales sont limitées au rappel à l’ordre et à l’injonction de mise en conformité. Consciente que cette procédure n’était pas la première sur le sujet, la formation restreinte a prononcé une injonction avec un délai long mais impératif qui court jusqu’en 2026, et surtout a mis en cause et enjoint, en plus du ministère de l’intérieur, le ministère de la justice, alors que le décret désigne le ministère de l’intérieur comme responsable de traitement. C’est la première décision de ce type pour un fichier public.

En réponse à notre enquête, maître Alexandre Archambault précise de son côté que « Comme pour la mise en jeu de la responsabilité de l'État pour les délais de justice, si la CNIL ne peut sanctionner (car c'est la loi) les ministères, cela ne prive nullement les justiciables d'engager des contentieux indemnitaires devant le juge administratif ».

NB : la CNIL et service-public.fr précisent que les personnes susceptibles d'y être fichées comme « mises en cause » ou « victimes » peuvent faire valoir leur droit d'accès et de rectification en adressant un courrier au Ministère de l'Intérieur Place Beauvau 75008 Paris, accompagné d'une copie recto-verso de leur titre d'identité.