La Commission nationale informatique et libertés a constaté plusieurs manquements dans la gestion des données contenues dans ce fichier.
Des données utiles dans le cadre d’enquêtes judiciaires, mais dont la gestion est problématique. Géré par le ministère de l’Intérieur et utilisé par les services de police, de gendarmerie et des douanes, le fichier automatisé des empreintes digitales (FAED) recense les empreintes digitales de personnes mises en cause dans des procédures pénales et des « traces » d’empreinte relevées sur les scènes de crime ou de délit. Il leur permet ainsi de relier une personne à plusieurs identités, mais aussi aux procédures dans lesquelles ses empreintes ont été relevées. Près de 6,3 millions de citoyens et 240 000 traces non identifiées y sont enregistrés.
Ce jeudi 30 septembre, la Commission nationale informatique et libertés (Cnil) a imposé des mesures correctives au ministère de l’Intérieur après avoir constaté plusieurs manquements. Parmi eux figure la présence de données telles que « le nom de la victime ou le numéro d’immatriculation d’un véhicule » qui ne font pas partie de la liste limitative des informations (nom, prénom, sexe, date de naissance, etc.) pouvant accompagner l’enregistrement d’une empreinte ou d’une trace.
Des problèmes liés à la conservation des données
La Cnil a également pointé plusieurs problèmes concernant la conservation des données dans le FAED. Elle a ainsi relevé l’existence d’un « fichier manuel conservé en format papier dans une salle dédiée au service central » comportant sept millions de fiches « signalisation », alors qu’il aurait dû être détruit depuis 2001 étant donné que la dématérialisation du FAED a commencé il y a 34 ans. Il n’est plus alimenté depuis 2017.
Par ailleurs, la police technique et scientifique a conservé les données au-delà de la durée légale prévue par les textes de loi. Lorsqu’il s’agit de mineurs, les empreintes et traces peuvent être conservées pendant 15 ans. Cette durée s’étend à 25 ans pour les adultes. Les informations des personnes innocentées par la justice ou ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite sont toujours présentes dans le FAED alors qu’elles auraient dû être effacées. « Ainsi, au jour du contrôle, certaines juridictions ne transmettaient aucune décision au FAED et d’autres n’en transmettaient que certaines. Le service gestionnaire du FAED n’était donc pas averti de l’ensemble des relaxes, acquittements, non-lieux et classements sans suite qui auraient dû entraîner la suppression des fiches correspondantes dans le FAED. »
La Cnil dénonce aussi le fait qu’aucune information ne soit directement communiquée aux personnes dont les empreintes sont collectées et communiquées au FAED. Selon elle, il est même possible que ces personnes ignorent l’existence de ce fichier alors que diverses informations comme « les finalités poursuivies par le traitement auquel les données sont destinées » devraient être à leur disposition.
La sécurité des données
Enfin, la Cnil s’inquiète de potentielles failles de sécurité avec une connexion au FAED qui s’effectue par le biais d’un identifiant et d’un mot de passe. Le régulateur considère que cela ne garantit pas un niveau de sécurité adapté au risque. Il suggère donc de renforcer les mesures de sécurité en utilisant la carte-agent unique dont chaque fonctionnaire est doté pour accéder au FAED avec un code PIN. La Cnil avait déjà signalé la faiblesse de la méthode actuelle en 2013 et le ministère de l’Intérieur avait affirmé que l’authentification par carte-agent serait imposée en 2014. Il a désormais jusqu’à la fin de l’année pour se mettre en conformité et le « fichier manuel » devra, lui, être supprimé le 31 décembre 2022 au plus tard.
