Nouveau service de Plainte en ligne (PEL) : ce qu’il faut savoir

Le traitement « Plainte en ligne » (PEL) est un téléservice facultatif permettant, sous certaines conditions, un dépôt de plainte totalement dématérialisé. La PEL a un périmètre défini, cohérent avec les autres téléservices de signalement ou de plainte.

Le traitement « Plainte en ligne » (PEL)

Le traitement « Plainte en ligne » (PEL) permet à la victime d’une infraction, ou à son représentant légal, d’adresser une plainte par voie électronique (ordinateur, ordiphone ou tablette) lorsque les faits sont constitutifs d’une atteinte aux biens (vol, dégradation, escroquerie, etc.) et l’auteur inconnu. Ce traitement permettra également de limiter le travail de saisie des enquêteurs : les éléments de texte rédigés par le déclarant sont recueillis puis intégrés directement dans les logiciels de rédaction de procédure (LRP) de la police nationale et de la gendarmerie nationale.

Les victimes ont le choix entre utiliser le téléservice PEL ou se déplacer physiquement en commissariat ou en brigade de gendarmerie.

Le décret n° 2018-388 du 24 mai 2018 relatif au téléservice de « Pré-plainte en ligne » (PPEL), qui supposait un rendez-vous systématique avec un agent, est abrogé par le projet de décret. La PEL permet le traitement totalement dématérialisé du dépôt de plainte.

Le nouveau Décret n° 2024-478 du 27 mai 2024

Le nouveau Décret n° 2024-478 du 27 mai 2024 autorise le ministre de l’intérieur à mettre en œuvre un traitement de données à caractère personnel dénommé « plainte en ligne » (PEL) ayant pour finalités de permettre le dépôt de plainte des usagers de manière dématérialisée, d’obtenir un rendez-vous auprès d’un service de police ou de gendarmerie et de permettre aux services d’instruire la plainte et d’informer les personnes concernées des suites réservées à celles-ci.

Le décret définit les finalités du traitement, la nature et la durée de conservation des données enregistrées ainsi que les catégories de personnes ayant accès à ces données ou en étant destinataires. Il précise également les modalités d’exercice des droits des personnes concernées. 

Régime juridique de la plainte en ligne

Le traitement PEL est un téléservice qui a pour finalités de :

– permettre à la victime ou à son représentant légal d’effectuer une plainte en ligne, contre un auteur inconnu, pour une des infractions dont la liste est fixée par arrêté du garde des sceaux, ministre de la justice et, le cas échéant, d’obtenir un rendez-vous auprès d’un service de police nationale ou d’une unité de gendarmerie nationale afin de finaliser sa démarche ;

– permettre aux personnels de la police nationale et les militaires de la gendarmerie nationale d’instruire la plainte effectuée par la victime ou son représentant légal et de les informer des suites réservées.

Le champ infractionnel concerné est volontairement plus restrictif que celui de la PEL. En effet, la PEL est limitée aux infractions dont il résulte un préjudice matériel pour la victime (enjeu assurantiel) :

– les délits d’appropriations frauduleuses prévus et réprimés aux articles 311-1 à 314-13 à l’exclusion des infractions prévues et réprimées aux articles 311-4-2, 313-6, 313-6-1, 314-5, 314-6, 314-7, 314-8 et 314-9 du code pénal (CP) ;

– les délits de destructions, dégradations et détériorations prévus et réprimés aux articles 322-1 à 322-18 du CP à l’exclusion des infractions prévues et réprimées aux articles 322-3 3°, 322-3-1, 322-3-2 et 322-14 du CP ;

– le délit de fuite prévu et réprimé à l’article 434-10 du CP ;

– les contraventions contre les biens prévues et réprimées par les articles R. 631-1, R. 632-1, R. 634-1, R. 635-1, R. 635-2 et R. 635-8 du CP.

Il ressort de l’analyse d’impact relative à la protection des données (AIPD) qu’à l’issue du renseignement du formulaire de plainte en ligne, l’enquêteur peut :

– valider la télédéclaration et intégrer les éléments dans les LRP ;
– prendre rendez-vous avec l’usager par téléphone afin de compléter sa déclaration et finaliser sa démarche sur site ;
– rejeter la télédéclaration si celle-ci ne comporte pas les éléments constitutifs d’une infraction pénale éligible au dispositif de la PEL.

La page d’accueil du site internet PEL rappellera à l’usager les finalités du traitement et l’incitera à vérifier qu’il respecte les critères pour continuer sa démarche (majorité, infraction d’atteintes aux biens hors infractions du ressort d’autres applications, auteur inconnu).

Il lui sera également indiqué qu’il ne pourra finaliser sa démarche totalement en ligne que sous certaines conditions : authentification au moyen de FranceConnect, absence de violences ou de menaces, cohérence et complétude de la déclaration et clarté du récit soumises à l’appréciation de l’enquêteur.

Un majeur protégé pourra indiquer le type de mesure de protection dont il fait l’objet et les coordonnées de son tuteur ou de son curateur. La CNIL comprend que ces données sont collectées en vue d’informer le tuteur ou le curateur de la démarche de la personne reconnue vulnérable par la loi et du fait qu’elle sera éventuellement entendue par un agent en présentiel.

La victime dispose, tout au long de sa démarche, de la possibilité d’abandonner le processus de plainte en ligne et d’opter pour un dépôt de plainte classique. Un rendez-vous en unité de police ou de gendarmerie est obligatoire lorsque les informations renseignées par le déclarant relèvent des exceptions à l’établissement d’une plainte totalement dématérialisée (par exemple, infraction commise avec violences ou menaces, incohérences et manque de clarté du récit). Il permettra le contrôle des informations renseignées, à l’occasion de l’échange entre le déclarant et l’agent.

Le traitement PEL est limité aux infractions contre les biens et lorsque l’auteur est inconnu ; il s’inscrit dans un cadre déjà existant comprenant le dépôt de plainte en ligne pour les arnaques sur internet (THESEE) et pour le signalement de la fraude à la carte bancaire (PERCEVAL). L’orientation de l’usager s’effectue en fonction de l’infraction concernée notamment via le service « Ma Sécurité ». Il n’y a pas de chevauchement du champ infractionnel entre ces différents téléservices.

Plainte en ligne : la position de la CNIL

La CNIL estime que les finalités du traitement PEL sont déterminées, explicites et légitimes. Elles sont rappelées de manière satisfaisante à l’usager qui s’apprête à remplir sa télédéclaration.

Sur les catégories de données traitées

1. Concernant la collecte de données sensibles via les champs libres

Le décret liste les données à caractère personnel pouvant être collectées dans le traitement selon la distinction entre les différentes catégories de personnes conformément à l’article 98 de la loi « informatique et libertés » (personne physique ou morale déposant plainte, témoins éventuels, description physique du ou des auteurs présumés, personnels de police nationale et de la gendarmerie nationale).

La PEL vise à collecter les informations factuelles et contextuelles les plus précises possibles et permettre ce recueil dans un délai très court afin de faciliter l’élucidation des infractions. A ce titre, des champs normés, liés aux référentiels des LRP, sont utilisés mais de nombreux champs libres demeurent et concernent notamment :

– les circonstances de l’infraction (exposé des faits et violences subies le cas échéant) : ces données permettent de contextualiser et de définir la nature et la gravité de l’infraction ;
– le lieu des faits pour précisions ;
– la description du ou des auteurs : un menu déroulant aurait induit le choix d’une valeur par défaut ne garantissant pas la précision et exactitude de l’identification de l’individu ;
– la description des témoins.

Le ministère a précisé que ces champs libres sont réduits et guidés par des questions afin de limiter la collecte à des informations strictement nécessaires à la description de l’infraction (s’agissant notamment des catégories de données liées aux « circonstances de l’infraction » et à la « description du ou des auteurs »).

Les déclarations en ligne doivent être reprises sans altération dans les LRP, ce qui implique la collecte de données sensibles, à l’exception des données génétiques et biométriques.

Les télédéclarations validées sont stockés dans le coffre-fort numérique certifié SecNumCloud. Aucune modification des documents n’est alors possible (intégrité des données). L’usager tout comme l’agent ne disposent pas d’accès direct au coffre-fort numérique. En revanche, les déclarations n’entrant pas dans le champ du traitement, par mésusage du déclarant, sont supprimées de la PEL mais peuvent justifier l’ouverture d’une enquête distincte.

La collecte de ces catégories de données est adéquate, pertinente et nécessaire pour que la victime puisse fournir l’ensemble des éléments utiles au traitement de son dépôt de plainte en ligne.

La CNIL a précisé qu’elle est consciente de la difficulté particulière qui s’attache à l’énumération anticipée de tous les types de données à caractère personnel pouvant être traitées dans le cadre d’une déclaration en ligne complétée par des usagers, et susceptible de concerner les faits les plus divers (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié). La collecte de ces données devra être précédée d’un avertissement rappelant aux usagers qu’elles ne peuvent conduire à la désignation nominative de l’auteur présumé des faits, conformément aux finalités du traitement.

Aucun outil de requête n’est accessible dans l’application PEL pour effectuer des recherches sur les informations et les données sensibles collectées dans les champs libres.

2. Concernant la collecte de photographies des biens

Le décret prévoit la collecte de photographies et documents justificatifs relatifs aux objets volés ou dégradés. Ces informations doivent permettre de confirmer les déclarations de l’usager et de qualifier l’infraction ou de déterminer l’ampleur du préjudice (par exemple, dégradations, vols par effraction ou à la roulotte).

Le ministère a apporté des garanties de nature à empêcher que les usagers n’enregistrent des photographies de personnes dans le traitement : l’agent peut trier les pièces jointes transmises par le déclarant sur l’application PEL, avant de les intégrer dans les LRP.

Les durées de conservation des données

En cours de réalisation de la déclaration par l’usager, les données constituant le brouillon sont conservées au maximum sept jours à compter de leur enregistrement (premiers éléments et pièces jointes éventuelles). Ce délai s’applique également aux pièces jointes annexées à la PEL.

Une fois la télédéclaration finalisée par l’usager, elle est transmise dans le coffre-fort numérique où elle est conservée pour une durée de six mois, quelle que soit la suite donnée au dépôt de plainte en ligne (validation, rejet, rendez-vous physique pour la compléter ou transmission vers un LRP pour génération du procès-verbal de plainte).

Le ministère justifie cette durée de conservation par la nécessité de :

– prévoir un délai suffisant afin de pouvoir contacter l’usager pour compléter sa déclaration ;
– permettre au service de police ou de gendarmerie concerné de répondre à l’usager en cas de contestation de celui-ci en s’appuyant sur l’ensemble des éléments du dossier. Ce délai est identique à celui à partir duquel un plaignant peut demander les suites de sa plainte au procureur de la République.

Cette durée de conservation de six mois des données enregistrées dans le coffre-fort numérique est proportionnée aux besoins exposés par le ministère.

A noter :

– un dispositif d’effacement automatique des données à caractère personnel recueillies sera mis en œuvre à l’expiration du délai de six mois à compter de leur enregistrement ;
– un effacement manuel anticipé est possible pour faire droit à un usager qui le demanderait en application de l’article 106 de la loi « informatique et libertés ». La suppression des données sera limitée à l’application PEL et n’aura pas d’effet sur les données transmises dans les LRP, dont les règles de fonctionnement relèvent des textes réglementaires qui leur sont propres.

Les mises en relation avec d’autres traitements

Le traitement PEL est mis en relation avec les traitements suivants :

– FranceConnect, qui met à disposition des usagers un mécanisme d’authentification unique (« fédérateur d’identités ») pour tous les téléservices de l’administration. Le dispositif s’appuie sur des fournisseurs d’identité qui garantissent l’identification électronique de la personne concernée. À la première utilisation de la PEL, l’usager peut faire le choix de s’identifier par FranceConnect ou non. Dans ce dernier cas, il lui est demandé de créer un espace usager avec un identifiant et un mot de passe et un rendez-vous avec l’agent est alors obligatoire ;

– LRPGN et LRPP : l’application PEL transmet aux LRP les télédéclarations récupérées dans le coffre-fort numérique. Les données doivent être reprises en intégralité, soit de façon automatique lors de l’intégration des déclarations dans les LRP, soit de façon manuelle pour les pièces jointes conservées par les agents.

Le recours au téléservice FranceConnect permet de simplifier la démarche de plainte en ligne et d’en assurer la traçabilité et le suivi et permet d’éviter les principaux risques d’usurpation d’identité. Le fait de ne pas recourir à ce dispositif n’empêche pas l’utilisation de la PEL mais impose d’effectuer un rendez-vous. L’agent pourra, à cette occasion, contrôler l’identité et les déclarations du déclarant.

Par ailleurs, le traitement peut faire l’objet d’interconnexions et de rapprochements manuels avec LRPGN et LRPPN via le numéro de télédéclaration.

L’information des personnes

Les personnes sont informées conformément à l’article 104 de la loi « informatique et libertés » par les mentions présentes sur le site web du ministère. Ces mentions sont prévues dans les CGU, accessibles dans un onglet en bas de page du site de la PEL. Aucune information individuelle ou particulière des personnes concernées n’est directement accessible sur le site de la PEL.

Les mesures de sécurité

Sont mises en place sur le portail usager et le coffre-fort numérique des solutions de chiffrement à l’état de l’art permettant d’assurer la confidentialité des données traitées.

Une authentification forte par carte agent est nécessaire pour accéder au portail agent de la PEL.

La mise en œuvre d’une journalisation conservée pour une durée de six mois sur le portail usager et pour une durée de trois ans pour le portail agent. Des mécanismes sont mis en œuvre pour assurer l’intégrité et la non modification des données apportées par les usagers dans leur déclaration lors de leur intégration dans les LRP.