L’essentiel : Le Décret n° 2024-1111 du 4 décembre 2024 élargit l’accès au fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (FIJAIS) à deux nouveaux ministères : l’agriculture et la culture. Cette mesure vise à permettre aux personnels des établissements d’enseignement agricole et culturel de vérifier l’absence d’inscriptions au FIJAIS pour les candidats à des fonctions impliquant un contact avec des mineurs. La CNIL souligne la nécessité d’un encadrement rigoureux des modalités d’accès, en insistant sur l’importance de la sécurité des données et de l’authentification des utilisateurs.

Le Décret n° 2024-1111 du 4 décembre 2024

Le Décret n° 2024-1111 du 4 décembre 2024 relatif au fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes ajoute deux autorités administratives accédant aux données du fichier national judiciaire automatisé des auteurs d’infractions sexuelles ou violentes (FIJAIS).

Le ministère chargé de l’agriculture et celui de la culture

D’une part, le ministère chargé de l’agriculture afin qu’il puisse procéder, pour les personnels intervenants dans les établissements d’enseignement agricole, qu’il s’agisse d’agents titulaires ou d’agents contractuels, à l’interrogation de ce fichier.

D’autre part, le ministère chargé de la culture pour les personnels des établissements qui lui sont rattachés et dont il assure la gestion. Par ailleurs, le texte procède à la suppression de certaines références.

Le texte procède également à la codification régissant le fonctionnement du FIJAIS à la suite des modifications de l’article 706-53-10 du code de procédure pénale par les lois n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice et n° 2020-1672 du 24 décembre 2020 relative au parquet européen, à la justice environnementale et à la justice pénale spécialisée, de l’article 706-53-2 (5°) du code de procédure pénale par la loi n° 2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales et de l’article 706-53-4 du code de procédure pénale par la loi n° 2020-1672 du 24 décembre 2020.

Le FIJAIS créé par la loi n° 2004-204 du 9 mars 2004

Le FIJAIS a été créé par la loi n° 2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité. Il est tenu sous le contrôle du magistrat dirigeant le service du casier judiciaire national et est sous la responsabilité du ministère de la justice.

Il a pour finalités la prévention du renouvellement de certaines infractions à caractère sexuel et violent ainsi que l’identification de leurs auteurs. Il doit aussi permettre de faciliter le suivi des auteurs de ces infractions par les autorités judiciaires et les services de police et de gendarmerie. Il permet enfin d’exercer un contrôle de l’accès à certaines professions entraînant un contact avec des personnes mineures.

Ce traitement participant à la prévention des infractions pénales ainsi qu’aux enquêtes en la matière, il relève ainsi de la directive n° 2016/680 du 27 avril 2016 dite directive « Police-Justice » et des articles 87 et suivants de la loi du 6 janvier 1978 modifiée.

An amont, l’avis de la CNIL sur le projet de décret

La CNIL a estimé que les modalités selon lesquelles il est prévu d’ouvrir le FIJAIS aux administrations doivent faire l’objet d’un encadrement rigoureux (CNIL, SP, 8 novembre 2007, projet de décret modifiant la partie réglementaire du code de procédure pénale et relatif au FIJAIS et au casier judiciaire national automatisé, n° 2007-326, publiée).

En effet, la diversité des professions et activités concernées ainsi que la gravité des conséquences qui peuvent résulter de sa consultation à des fins administratives nécessitent une vigilance particulière.

Les modifications envisagées visent à permettre aux ministères concernés de s’assurer que les candidats ou agents à des fonctions impliquant un contact habituel avec des personnes mineures ne font pas l’objet d’une inscription au FIJAIS.

Au regard de ce qui précède, la CNIL considère que la consultation des données par les deux nouveaux accédants mentionnés apparaît justifiée et proportionnée.

L’article 706-53-7 du CPP indique que les informations contenues dans le FIJAIS sont directement accessibles, par l’intermédiaire d’un système de télécommunication sécurisé, pour les accédants prévus.

L’article 706-53-11 du même code prévoit qu’aucun rapprochement ni aucune connexion au sens de l’article 33 de la loi du 6 janvier 1978 modifiée ne peuvent être effectués entre le FIJAIS et tout autre fichier ou recueil de données nominatives détenus par une personne quelconque ou par un service de l’Etat ne dépendant pas du ministère de la justice.

Les administrations prévues en tant qu’accédants peuvent interroger les informations contenues dans le FIJAIS par un système de télécommunication sécurisé mis en place par ces ministères (recherche par identité complète uniquement).

La CNIL prend acte de ce que les ministères de l’agriculture et de la culture n’ont pas vocation à faire des demandes par liste d’identités compte tenu de la volumétrie des consultations annoncée. Elle constate que ces modalités d’interrogation sont conformes aux articles 706-53-7 et 706-53-11 du CPP.

En tout état de cause, elle rappelle que l’interrogation du FIJAIS par ces nouveaux accédants ne devra pas conduire, conformément à l’article 706-53-11 du CPP, à la mise en œuvre d’un rapprochement.

Les autres modifications opérées par le projet de décret ont pour objet de mettre la partie réglementaire du CPP relative au FIJAIS en conformité avec les évolutions législatives intervenues depuis 2019. Le projet de décret vise à modifier :

• les conditions d’inscription au FIJAIS prévues à l’article R. 53-8-12 du CPP, le placement sous contrôle judiciaire n’étant plus une condition d’inscription des personnes en examen au FIJAIS ;
• les catégories de décisions judiciaires enregistrées dans le FIJAIS conformément à l’article R. 53-8-4 du CPP, les décisions de non-lieu, de cessation ou de mainlevée de ce contrôle n’étant plus enregistrées dans le traitement ;
• les conditions d’effacement des données prévues à l’article R. 53-8-36 du CPP dans la mesure où la cessation et la mainlevée du contrôle judiciaire ne sont plus des conditions d’effacement des données ;
• la compétence pour connaître des recours contre les décisions de refus du procureur de la République d’effacement ou de rectification des données, désormais attribuée au président de la chambre de l’instruction de la cour d’appel et non plus au juge des libertés et de la détention.

L’extension du traitement aux deux ministères prévus par le décret n’appelle pas de mesures de sécurité supplémentaires, mais appelle à accroître la vigilance à porter sur la gestion des accès déployés, en raison de la dispersion et la diversité prévisible des utilisateurs accédant au traitement. Elle rappelle que des procédures d’habilitation doivent être définies par les deux nouveaux ministères accédants avant l’accès au FIJAIS.

Compte tenu de la sensibilité particulière des données enregistrées dans ce fichier, des mesures doivent être prises afin d’assurer plus largement la sécurité des accès au FIJAIS et la confidentialité stricte des données consultées. Ces mesures doivent faire l’objet de procédures écrites.

La CNIL relève que l’accès aux données est limité aux utilisateurs dûment habilités en raison de leurs attributions et dans la limite du besoin d’en connaître. Pour une partie des utilisateurs, cet accès est conditionné à un mécanisme d’authentification reposant sur l’utilisation d’une carte agent combinée avec un code individuel. Toutefois, la CNIL regrette l’existence de situations dérogatoires d’accès par identifiant et mot de passe.

La CNIL relève également que la politique d’habilitation spécifique existante sur ce traitement sera applicable aux nouveaux accédants.

Toutefois, les accédants du ministère de l’agriculture utiliseront une authentification par un certificat cryptographique et les modalités d’authentification des accédants du ministère de la culture sont en cours de définition. Compte tenu de la sensibilité des données collectées, la CNIL recommande fortement de ne permettre l’accès aux données qu’après une authentification forte multi-facteur, comprenant au moins deux facteurs d’authentification différents, pour tous les accédants.

Par ailleurs, la CNIL prend acte du plan d’action de l’analyse d’impact relative à la protection des données (AIPD) visant à réduire la vraisemblance des risques identifiés. Elle regrette toutefois que ce plan d’action ne précise pas de calendrier prévisionnel pour le déploiement des mesures complémentaires. La CNIL encourage donc le ministère à poursuivre les travaux de sécurisation du traitement.

Elle rappelle enfin que les exigences de sécurité prévues à l’article 99 de la loi « informatique et libertés » nécessitent la mise à jour régulière de l’AIPD et de ses mesures de sécurité au regard de la réévaluation régulière des risques.

Q/R juridiques soulevées :

Quel est l’objet principal du Décret n° 2024-1111 du 4 décembre 2024 ?

Le Décret n° 2024-1111 du 4 décembre 2024 a pour principal objectif d’ajouter deux nouvelles autorités administratives qui pourront accéder aux données du fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes, connu sous l’acronyme FIJAIS. Ces deux ministères sont le ministère chargé de l’agriculture et le ministère chargé de la culture. Cette extension d’accès vise à renforcer la sécurité et la prévention en matière d’infractions sexuelles et violentes, notamment en ce qui concerne les personnels intervenant dans les établissements d’enseignement agricole et culturel.

Quelles sont les finalités du FIJAIS ?

Le FIJAIS a été créé pour plusieurs finalités essentielles. Tout d’abord, il vise à prévenir le renouvellement de certaines infractions à caractère sexuel et violent. Cela signifie qu’il cherche à réduire le risque que des individus ayant déjà commis de telles infractions ne récidivent. Ensuite, le FIJAIS permet d’identifier les auteurs de ces infractions, facilitant ainsi le suivi par les autorités judiciaires, ainsi que par les services de police et de gendarmerie. Enfin, il joue un rôle crucial dans le contrôle d’accès à certaines professions qui impliquent un contact avec des personnes mineures, garantissant ainsi une protection accrue des plus vulnérables.

Quel est le rôle de la CNIL dans le cadre de ce décret ?

La Commission Nationale de l’Informatique et des Libertés (CNIL) a un rôle de régulation et de protection des données personnelles dans le cadre de l’ouverture du FIJAIS aux nouvelles administrations. Elle a exprimé la nécessité d’un encadrement rigoureux des modalités d’accès aux données, en raison de la diversité des professions concernées et des conséquences potentielles de leur consultation. La CNIL a également souligné que les ministères concernés doivent s’assurer que les candidats ou agents à des fonctions impliquant un contact habituel avec des mineurs ne sont pas inscrits au FIJAIS. Elle a jugé que la consultation des données par les nouveaux accédants est justifiée et proportionnée, tout en insistant sur la nécessité de respecter les conditions d’accès et de sécurité des données.

Quelles modifications le décret apporte-t-il au fonctionnement du FIJAIS ?

Le décret modifie plusieurs aspects du fonctionnement du FIJAIS, notamment en ce qui concerne les conditions d’inscription, les catégories de décisions judiciaires enregistrées, et les conditions d’effacement des données. Par exemple, le placement sous contrôle judiciaire n’est plus une condition d’inscription au FIJAIS. De plus, certaines décisions judiciaires, comme celles de non-lieu ou de cessation de contrôle, ne seront plus enregistrées dans le fichier. Les recours contre les décisions de refus d’effacement ou de rectification des données sont désormais attribués au président de la chambre de l’instruction de la cour d’appel, plutôt qu’au juge des libertés et de la détention.

Quelles sont les recommandations de la CNIL concernant la sécurité des données ?

La CNIL a formulé plusieurs recommandations pour garantir la sécurité des données dans le cadre de l’accès au FIJAIS. Elle insiste sur la nécessité d’une authentification forte multi-facteur pour tous les accédants, afin de protéger les données sensibles. Elle a également noté que l’accès doit être limité aux utilisateurs dûment habilités, en fonction de leurs attributions et du besoin d’en connaître. Des procédures d’habilitation doivent être mises en place par les ministères concernés avant l’accès au FIJAIS, et des mesures de sécurité doivent être définies pour assurer la confidentialité des données consultées. Enfin, la CNIL a souligné l’importance de mettre à jour régulièrement l’analyse d’impact relative à la protection des données (AIPD) pour s’adapter aux évolutions des risques.