26 février 2010

Internet contentieux Compétence L’exercice à l’étranger d’une activité de casino en ligne ne prive pas le juge français de sa compétence Les casinos en ligne sont interdits dans plusieurs pays, dont la France. Pour échapper aux règles d’interdiction de ces Etats, les casinos en ligne s’installent dans des paradis fiscaux, tels Antigua ou Bélize, d’où ils sont accessibles par les joueurs, quel que soit le pays où ils se trouvent. Toutefois, l’exercice à l’étranger d’une activité de casino en ligne ne prive pas le juge français de sa compétence, dès lors que le site est destiné au public français. C’est ce que vient de juger la Cour d’appel de Versailles dans un arrêt du 4 mars 2009 à propos du site www.poker770.com établi à l’étranger (Chypre et serveurs situés en Israël). En matière de délits civils commis sur internet, deux théories s’opposent sur la question de la compétence internationale des juridictions françaises : la théorie de l’accessibilité du site et celle de l’orientation. Selon la théorie de l’accessibilité, le fait dommageable est localisé en France dès lors que le site litigieux est accessible en France. Cette théorie a été retenue par la Cour de cassation pour fonder la compétence des juridictions françaises dans l’arrêt Castellblanch du 9 décembre 2003. Dans cet arrêt, la Cour de cassation a jugé que le fait que la contrefaçon ait lieu sur un site internet, « fût-il passif », accessible en France, rendait les juridictions françaises compétentes. Selon la théorie de l’orientation, les juridictions françaises ne doivent se reconnaître compétentes qu’à la condition que le site soit orienté vers le public français. Plusieurs indices peuvent ainsi être retenus pour caractériser l’orientation d’un site vers le public français : la langue utilisée, le paiement en euro, l’affichage double du prix HT, TTC et du taux de TVA français, la possibilité de se faire livrer le produit commandé en France… Autrement dit, les tribunaux français ne doivent se reconnaître compétents que si le site litigieux présente un rattachement suffisant avec la France. La Cour d’appel de Paris, dans les arrêts Normalu de 2006 et Axa de 2007, a posé comme critère à la compétence territoriale « la caractérisation d’un lien suffisant, substantiel ou significatif entre ces faits ou actes et le dommage allégué ». La Cour de cassation a abandonné la théorie de l’accessibilité du site au profit de celle de l’orientation dans l’arrêt Hugo Boss du 11 janvier 2005, puis dans l’arrêt Lancôme du 10 juillet 2007. Dans l’arrêt du 4 mars 2009, la Cour d’appel de Versailles a retenu la théorie de l’orientation. Elle a « recherch[é] un élément ou un faisceau d’éléments permettant de justifier la compétence juridictionnelle française » ». Pour caractériser l’orientation du site www.poker770.com vers le public français, elle a retenu, notamment, la mention « premier club de poker français » qui figurait sur le site, l’indication d’un numéro de téléphone en France et la possibilité de créer un compte réel en France. Elle en a conclu que « au regard de l’ensemble de ces éléments », elle était compétente pour connaître du litige en tant que juridiction « dans le ressort [de laquelle] un des éléments constitutifs de l’infraction peut être accompli par tout internaute par la mise à disposition et l’accès à un site illégal intentionnellement dirigé vers la France, notamment pour en tirer un profit et inciter les internautes à jouer au poker en ligne ». CA Versailles 4 mars 2009 (Mise en ligne Mars 2009)

Informatique et libertés Vidéosurveillance La circulaire sur les aménagements à la réglementation sur la vidéosurveillance La circulaire du 26 octobre 2006 commente les aménagements apportés à la réglementation sur la vidéosurveillance depuis l’entrée en vigueur de la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. Ce texte décrit les procédures nouvelles que les préfets doivent mettre en œuvre ainsi que les règles de fonctionnement des commissions départementales de vidéosurveillance dont le pouvoir de contrôle a été renforcé en janvier 2006. La réglementation sur la vidéosurveillance, issue de l’article 10 de la loi du 21 janvier 1995 d’orientation et de programmation relative à la sécurité, n’étant pas adaptée à une utilisation des systèmes de caméras comme outil de prévention des actes de terrorisme, elle a été modifié en janvier 2006 de manière à faire figurer les risques d’actes de terrorisme parmi les motifs légaux pouvant justifier l’installation de caméras filmant la voie publique ou l’intérieur de lieux et établissements ouverts au public. Pour autant, le recours à la vidéosurveillance ne trouvera sa justification que dans des cas nécessairement limités comme les établissements constituant des cibles potentiellement importantes pour des attentats, tels les lieux de culte, le siège social de certaines entreprises ou des grands magasins, sans que cette liste soit limitative. Rappelons que les personnes privées et publiques qui souhaitent installer un système de vidéosurveillance doivent obtenir une autorisation préalable du préfet du département d’implantation. La demande doit être accompagnée d’un dossier complet (finalité du projet, techniques mises en œuvre, mesures de sécurité, etc.). Enfin, les normes techniques des systèmes de vidéosurveillance ont été définies dans l’arrêté paru au Journal officiel du 7 octobre 2006. Circulaire du 26 octobre 2006 Arrêté du 26 septembre 2006 (Mise en ligne Octobre 2006)

De nouvelles normes techniques pour les systèmes de vidéosurveillance Depuis la loi du 23 janvier 2006 sur la lutte contre le terrorisme, venue modifier la loi « Pasqua » de 1995, les systèmes de vidéosurveillance installés doivent être conformes à des normes techniques définies par arrêté ministériel. Le dernier arrêté en date est paru à la fin de l’été. Il spécifie, notamment, les normes à respecter pour pouvoir utiliser, dans des procédures judiciaires, les images vidéo stockées. Dans ce cas précis, le système d’enregistrement doit, en effet, avoir la capacité d’associer aux images stockées trois données essentielles, en matière de preuve : la date de la séquence vidéo, son heure et l’emplacement de la caméra. L’arrêté préconise une méthode simple, qui consiste à marquer ces informations directement sur l’image vidéo. Néanmoins, cette méthode a le désavantage de masquer des parties de l’image. Une autre méthode consiste à associer les informations avec le flux vidéo, puis de créer une liaison logicielle entre les images et le fichier d’information associé. Dans ce cas particulier, les lecteurs fournis aux services d’enquête devront disposer d’une capacité spécifique, pour réassocier les données et les images, lors de leur exploitation. Il n’est pas exigé que les systèmes intègrent des dispositifs de marquage électronique des images (parfois appelé watermarking ou filigranage), même si ces dispositifs sont les bienvenus et doivent selon l’arrêté, être encouragés. Rappelons que le public doit être informé de l’existence des systèmes de vidéosurveillance, que les images doivent être détruites dans un délai relativement court (un mois, sauf en cas de procédure judiciaire) et que les personnes doivent être informées des modalités du droit d’accès. La demande d’accès doit être adressée au responsable du système de vidéosurveillance. Cet accès aux enregistrements est de droit, mais un refus d’accès peut cependant être opposé, pour un motif tenant à la sûreté de l’Etat, à la défense, à la sécurité publique, en cas d’instruction judiciaire ou pour protéger le secret de la vie privée de tierces personnes. Arrêté du 3 août 2007 et son rectificatif paru au JO du 25 août 2007 (Mise en ligne Août 2007)

Informatique et libertés Sécurité Les nouvelles préconisations de la CNIL sur l’archivage électronique dans les entreprises La CNIL dresse un état des lieux sur les bonnes pratiques en matière d’archivage électronique dans le secteur privé. Cette recommandation constitue la nouvelle référence à prendre en compte par les entreprises et les organismes. Elle illustre un droit complexe à mettre en oeuvre (le droit à l’oubli) qui contraint les responsables de traitements et de fichiers à déterminer des durées limites de conservation selon qu’il s’agit d’archives courantes, intermédiaires ou définitives. Il en résulte un impact en terme de mesures techniques et organisationnelles sur le plan de la sécurité. Délibération n°2005-213 du 11 octobre 2005 (Mise en ligne Octobre 2005)

Informatique et libertés Sécurité Les nouveaux visas sécurisés : vers une Europe forte et indépendante ? Le 9 juillet 2008, le Parlement européen et le conseil ont adopté un règlement concernant le système d’information sur les visas (VIS) et l’échange de données sur les visas de court séjour (règlement VIS). Ce règlement vise à : définir l’objet et les fonctionnalités du VIS ainsi que les responsabilités y afférentes ; établir les conditions et les procédures d’échange de données sur les visas entre les États membres afin de faciliter l’examen des demandes de visas et les décisions y afférentes ; donner mandat à la Commission de mettre en place le VIS. Ce système d’information sur les visas repose sur une architecture centralisée et comprend une système d’information central et une interface dans chaque Etat membre. Seront enregistrées dans le Vis les données sur le demandeur (nom, prénom…), sa photographie, ses empreintes digitales et des données sur les visas demandés, délivrés, refusés, annulés, retirés ou prorogés, les photographies, et les liens avec d’autres demandes. Le règlement contient plusieurs dispositions sur la protection des données personnelles et notamment des dispositions sur la collecte des données, les droits des personnes concernées, la sécurité, la conservation des données et les accès aux données. La création de ce système d’information sur les visas et plus généralement le développement des titres de transports et d’identité sécurisés pose la question du juste équilibre entre la lutte contre la fraude et plus généralement la sécurité et la protection des libertés individuelles. Cette question se pose de plus en plus fréquemment avec le développement des technosurveillances et la création de base de données sur les individus à des fins de sécurité et de protection de l’ordre public, à l’exemple du fichier « EDVIRSP » (Exploitation documentaire et valorisation de l’information relative à la sécurité publique, anciennement Edwige). Règlement (CE) 2008/767 du 9 juillet 2008 (Mise en ligne Octobre 2008)

Informatique et libertés Sécurité Début du voyage pour le passeport biométrique « Plus de rapidité, de facilité, et de sécurité » voilà résumés les avantages décrits par le Ministre de l’intérieur lors de la remise à un administré de Chantilly, le 31 octobre dernier, du premier passeport biométrique. Conformément au règlement n°2252/2004 du 13 décembre 2004 du conseil européen, la France devra être en mesure de délivrer sur son territoire des passeports biométriques contenant les empreintes digitales numérisées de leur titulaire. Le dispositif juridique mis en place notamment par le décret n°2008-426 du 30 avril 2008, qui modifie le décret n°2005-1726 du 30 décembre 2005, a été validé par la Cnil en décembre 2007 qui a demandé, d’une part, des garanties techniques pour renforcer la protection des données qui seront ainsi centralisées sur un serveur parisien et d’autre part, un encadrement par le Conseil d’Etat. Le déploiement des machines a connu des difficultés et a pris du retard. L’Etat, qui a investi dans 4000 machines permettant de numériser la photo et quatre empreintes digitales du titulaire, doit les déployer dans près de 2000 mairies d’ici juin 2009, date butoir fixée par l’union Européenne. Egalement, le projet de loi sur la protection de l’identité, qui doit conférer aux communes une compétence spécifique à l’instruction des demandes de passeports, ne sera examiné devant le Parlement qu’en début d’année 2009. Certains élus ont fait savoir que le dispositif mis en place pose des interrogations, notamment s’agissant d’un système qui ne pourra couvrir l’ensemble du territoire ou encore sur la sécurité des liaisons informatiques concernant les données à caractères personnel. Dans ce contexte, les informations des cinq départements pilotes (Gironde, Aube, Loire-Atlantique, Nord et Oise) devraient permettre de répondre à ces questions, d’évaluer également le temps de traitement des demandes face à de nouvelles exigences en matière biométrique qui concernent la sécurité des données. Pour les maires, il apparaît nécessaire de revoir le montant et le déclenchement de l’indemnisation des communes, fixé à 3 200 euros par machine et par an pour les frais qu’elles engageront pour les demandeurs d’un passeport qui ne résideraient pas sur leur territoire. Le directeur de l’agence nationale des titres sécurisés a, par ailleurs, précisé, le 29 octobre dernier, que des machines supplémentaires seraient mise à dispositions des communes et que serait financé des projets d’accessibilité des mairies dans la limite de 4000 euros par projet. Communiqué du Ministère de l’intérieur du 31 octobre 2008 (Mise en ligne Novembre 2008)

Informatique et libertés Secteur santé La Cnil valide le dispositif «Web médecin» Jugeant satisfaisante l’expérimentation menée auprès de quelques départements, la Cnil a décidé d’autoriser la mise en oeuvre au niveau national, du dispositif du « Web médecin ». Rappelons que ce dispositif a pour objectif d’améliorer les soins apportés aux patients en favorisant une information exhaustive, par voie électronique, des médecins sur les prescriptions dont les patients ont bénéficié au cours des 12 derniers mois. La Cnil a toutefois émis un certain nombre de recommandations : d’une part l’obligation pour les médecins de se doter d’un antivirus et d’un pare-feu mis à jour régulièrement afin de réduire les risques d’intrusion sur leurs ordinateurs et d’autre part le caractère primordial de l’information des patients sur les opérations susceptibles d’être réalisées avec la carte Vitale. Le cœur de ce dispositif repose en effet sur l’accord préalable et exprès du patient avant toute consultation par le médecin. Enfin ce fichier ne pourra pas être consulté par les médecins du travail et les médecins experts ainsi que par les médecins des compagnies d’assurance. Cnil, en bref, 10 octobre 2007 (Mise en ligne Octobre 2007)

Informatique et libertés Secteur santé L’expérimentation du dossier pharmaceutique prorogée jusqu’au 15 février 2008 ! La Commission nationale de l’informatique et des libertés a prorogé l’expérimentation du dossier pharmaceutique (DP). La délibération du 15 mai 2007 portant autorisation des applications informatiques nécessaires à la mise en œuvre de la phase expérimentale du dossier pharmaceutique a en effet été prorogée le 29 novembre 2007. Le DP vise à favoriser la coordination, la qualité, la continuité des soins et la sécurité de la dispensation des médicaments, produits et objets assimilés (CSP, art. L 4211-1). Le projet concerne 23 000 pharmaciens (Métropole et Dom). La phase d’expérimentation ayant pris fin le 15 novembre 2007, le Conseil national de l’ordre des pharmaciens (CNOP) a fait part à la Cnil de son souhait de poursuivre l’expérimentation et d’en étendre le champ géographique. A cette fin, il a fait parvenir à la Cnil une demande d’extention contenant un bilan des expérimentations. Dans l’attente de l’examen des documents, la Cnil a autorisé jusqu’au 15 février 2008, la poursuite de l’expérimentation dans les six départements pilotes : Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône, et Seine-Maritime. Rappellons que le DP est un dossier informatisé accessible via internet, que les pharmaciens d’officines ouvrent à chaque bénéficiaire de l’assurance maladie, avec son accord (CSP, art. L 161-36-4-2.) et qui permet le regroupement et le partage entre les pharmaciens, des informations relatives aux médicaments et aux produits de santé délivrés. Le DP a pour principal objectif de sécuriser la dispensation des médicaments. Les bases légales de dossier pharmaceutique sont définies par la loi n°2007-127 du 30 janvier 2007 ratifiant l’ordonnance du 26 août 2005 relative à l’organisation de certaines professions de santé. Les dossiers pharmaceutiques sont hébergés chez un hébergeur agréé. Le Groupement d’intérêt économique GIE SANTEOS a été retenu par le Cnop, après un appel d’offres, comme unique hébergeur du DP. Délib. 2007-367 du 29 novembre 2007 Paru dans la JTIL n°19/2008 p.2 (Mise en ligne Janvier-Février 2008)

Informatique et libertés Secteur police, gendarmerie et douane Quel avenir pour les fichiers des renseignements généraux ? Un décret pris le 27 juin 2008 est venu modifier le décret 91-1051 du 14 octobre 1991 régissant les fichiers gérés par les services des renseignements généraux, dont l’abrogation est fixée à la date du 31 décembre 2009. Il est également prévu l’abrogation du fichier informatisé du terrorisme (FIT) créé par le décret 91-1052 du 14 octobre 2001, dès l’entrée en vigueur du nouveau dispositif réglementaire. Ce nouveau dispositif emporte également modification des dispositions de l’article 1er du décret 2007-914 du 15 mai 2007 par l’insertion d’une mention faisant état d’un « décret portant création au profit de la direction centrale du renseignement intérieur d’un traitement automatisé de données à caractère personnel dénommé CRISTINA » (Centralisation du renseignement intérieur pour la sécurité du territoire et les intérêts nationaux). La Cnil, saisie par le ministère de l’Intérieur, s’est prononcée le 16 juin dernier en rendant un avis favorable avec réserves. Décret 2008-631 du 27 juin 2008 Délibération 2008-177 du 16 juin 2008 Délibération n°2008-175 du 16 juin 2008 Décret n°2007-914 du 15 mai 2007 (Mise en ligne Juin 2008)

Informatique et libertés Secteur police, gendarmerie et douane Quant EDVIGE est rebaptisé EDVIRSP… Le fichier EDVIGE (Exploitation documentaire et valorisation de l’information générale) devient EDVIRSP (Exploitation documentaire et valorisation de l’information relative à la sécurité publique) aux termes d’un projet de décret transmis le 20 septembre dernier pour avis à la Cnil ainsi qu’aux partenaires sociaux consultés. Ce texte en projet fait interdiction aux services de renseignement de collecter, conserver et traiter des données personnelles, hormis celles concernant « les personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique », exception faite des informations relatives à la vie sexuelle ou à la santé des personnes. Les données traitées peuvent concerner des mineurs de treize ans et plus s’ils sont susceptibles de menacer la sécurité publique, les données traitées étant effacées à la majorité. Le nouveau texte devrait être publié avant la fin de l’année, lorsque l’avis sollicité aura été rendu par la Cnil. Projet de décret du 24 septembre 2008 (Mise en ligne Octobre 2008)

Informatique et libertés Secteur police, gendarmerie et douane Rejet du référé-suspension contre le fichier Edvige Le Conseil d’Etat a rejeté le 29 octobre 2008, le recours en référé-suspension déposé le 27 octobre par plusieurs associations et syndicats. Le gouvernement ayant pris la décision de procéder au retrait du décret portant création d’un traitement automatisé de données à caractère personnel dénommé « Edvige », le juge des référés du Conseil d’Etat rejette pour défaut d’urgence la demande de suspension de l’exécution de ce décret. CE, référé, 29 octobre 2008, n° 321413, 321705 et 3217 (Mise en ligne Novembre 2008)

Informatique et libertés Secteur police, gendarmerie et douane Retrait du décret portant création du fichier EDVIGE Le décret portant création d’un traitement automatisé de données à caractère personnel dénommé EDVIGE (Exploitation documentaire et valorisation de l’information générale) a été retiré aux termes d’un second décret, pris en date du 19 novembre 2008. Plusieurs recours avaient été introduits à son encontre devant le Conseil d’État. Le Gouvernement ayant annoncé son retrait imminent, le juge des référés du Conseil avait rejeté, le 29 octobre, pour défaut d’urgence, le recours en référé-suspension déposé par plusieurs associations et syndicats (CE 29-10-2008). Un projet de décret, instaurant un second fichier baptisé EDVIRSP (Exploitation documentaire et valorisation de l’information relative à la sécurité publique), est actuellement soumis pour avis à la Cnil avant d’être ensuite présenté au Conseil d’État (projet de décret du 24-9-2008). Le texte en projet fait interdiction aux services de renseignement de collecter, conserver et traiter des données personnelles, hormis celles concernant « les personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique », exception faite des informations relatives à la vie sexuelle ou à la santé des personnes. Ce nouvel instrument juridique devrait entrer en vigueur à la fin de l’année 2008. Décret 2008-1199 du 19 novembre 2008 Décret 2008-632 du 27 juin 2008 CE, référé, 29 octobre 2008, n° 321413, 321705 et 3217 (Mise en ligne Décembre 2008)

Informatique et libertés Secteur police, gendarmerie et douane Vers un renforcement du contrôle et de l’encadrement juridique des fichiers de police Un rapport émanant du Groupe de travail chargé «d’examiner les conditions de mise en œuvre des fichiers de police judiciaire et administrative» a été présenté par le criminologue Alain Bauer au ministre de l’Intérieur, Madame Michèle Alliot Marie, le 10 décembre 2008. Ce rapport, intitulé «Mieux contrôler la mise en œuvre des dispositifs pour mieux protéger les libertés», recense les nombreux fichiers tenus par la police nationale, les services de renseignements, la police judiciaire et la gendarmerie nationale. Il s’attache plus particulièrement à mettre en exergue leurs caractéristiques intrinsèques et la manière dont ils sont renseignés, actualisés, consultés, détruits ou archivés. Les préconisations du rapport ont pour finalité le renforcement du contrôle des 45 fichiers existant, la simplification de l’exercice du droit d’accès et de recours, la modernisation du cadre juridique et l’optimisation des outils de travail à disposition des forces de l’ordre. Il est recommandé ainsi d’introduire plus de transparence et de lisibilité notamment en vue de garantir le respect des libertés individuelles. Parmi les 26 propositions dont fait état le présent rapport, il est proposé de réformer les dispositions applicables à la collecte de données concernant les mineurs surveillés, en garantissant un droit à l’oubli par l’effacement automatique du fichier dès la majorité, associé à un contrôle annuel de la validité de leur inscription. Il est également conseillé l’attribution d’un droit à l’information des personnes acquittées, considéré comme «préalable» à l’exercice d’un droit de recours, voire leur retrait des fichiers retraçant les antécédents judiciaires. Le rapport évoque également les fichiers classés Secret défense, pour lesquels la création d’une commission spéciale est recommandée. Enfin, les critères retenus pour la description des personnes recherchées ne font pas l’objet de remaniements. La classification existante, fondée sur «des types», reste donc en vigueur. Rapport Alain Bauer du 10 décembre 2008 (Mise en ligne Décembre 2008)

Informatique et libertés Secteur police, gendarmerie et douane La Suisse entre dans l’espace Schengen Le 12 décembre 2008, la Suisse est devenue, aux côtés de la France, de la Belgique, de l’Allemagne, du Luxembourg, des Pays-Bas, de l’Espagne, du Portugal, de l’Autriche, de l’Italie, de la Grèce, de la Norvège, de l’Islande, de la Suède, du Danemark, de la Finlande, de l’Estonie, de la République tchèque, de la Lituanie, de la Hongrie, de la Lettonie, de Malte, de la Pologne, de la Slovaquie et de la Slovénie, le 25ème pays membre de l’espace Schengen. La Suisse a aboli les contrôles d’identité aux frontières au profit du système d’information et de recherches unique, le «système d’information Schengen » ou «SIS», qui constitue un outil essentiel de la coopération judiciaire et policière entre les Etats membres de l’espace Schengen. Le SIS, créé par la Convention d’application de l’Accord de Schengen du 19 juin 1990, est un fichier commun à l’ensemble des Etats membres de l’espace Schengen, qui a pour objet de centraliser et de faciliter l’échange d’informations sur les personnes recherchées, portées disparues ou interdites d’entrée, ainsi que sur les biens perdus et volés, détenues par les services chargés de missions de police, afin de préserver l’ordre et la sécurité publics. A ce jour, la banque de données SIS contient environ 27 millions de signalements, dont 26 millions concernant des objets (véhicules, billets de banque, titre d’identité, armes à feu…). Parmi le million de données concernant les personnes, 730 000 sont relatives à des cas d’interdiction d’entrée dans l’espace Schengen, 70 000 à des personnes recherchées et 23 000 à des personnes sous mandat d’arrêt en vue d’une extradition. Une autorité de contrôle, l’Autorité de contrôle commune Schengen, a été instituée pour contrôler le bon fonctionnement du SIS au regard de la réglementation sur la protection des données à caractère personnel ( durée de conservation, droit d’accès notamment). Le système d’information Schengen de deuxième génération (SIS II) devrait être prochainement opérationnel. Il s’étendra aux infractions relevant de la criminalité organisée, à la lutte contre le terrorisme et à la protection des personnes ou victimes. Des données et fonctionnalités nouvelles seront ajoutées, principalement des données biométriques (photographies et empreintes digitales) et la mise en relation de signalements. Commission européenne, communiqué de presse du 12-12-2008 (Mise en ligne Décembre 2008)

Informatique et libertés Secteur police, gendarmerie et douane La Cnil contrôle pour la première fois le STIC (Système de Traitement des Infractions Constatées) Créé officiellement par décret du 5 juillet 2001, le STIC est un fichier de police informatisé du Ministère de l’Intérieur regroupant les informations concernant les auteurs d’infractions interpellés par les services de la police nationale. Il comprend également les données relatives aux victimes de ces infractions, ainsi que l’identification des objets volés ou détournés. Initialement un instrument d’enquête judiciaire, il est devenu également un instrument d’enquête administrative à l’occasion notamment du recrutement de divers personnels. La Cnil a estimé que près d’un million d’emplois seraient concernés par la consultation du STIC à des fins d’enquête administrative. En outre, ce fichier va prochainement être fusionné avec un autre fichier géré par la gendarmerie, dénommé « système judiciaire de documentation et d’exploitation » ou JUDEX, la nouvelle application se dénommant « ARIANE ». Ces enjeux expliquent que la Cnil ait pris l’initiative de dresser un état des lieux du fonctionnement du STIC. Au vu des dysfonctionnements constatés, la Cnil a présenté, le 20 janvier dernier, un rapport aux termes duquel elle a émis un certain nombre de propositions, dont l’objectif majeur est d’assurer l’exactitude des informations figurant dans le STIC. Afin d’apprécier les efforts accomplis pour remédier à ces problèmes, la Cnil s’est enfin engagée à opérer un contrôle dans les mêmes conditions avant le 31 décembre 2011. Cnil, rapport du 20 janvier 2009 (Mise en ligne Janvier 2009)

Informatique et libertés Secteur justice Fichier judiciaire national automatisé des auteurs d’infraction sexuelles Le FIJAIS créé par la loi du 9 mars 2004(1) a pour but de favoriser la prévention de la récidive des auteurs d’infraction sexuelle déjà condamnés et l’identification et la localisation des auteurs de ces mêmes infractions. La loi du 12 décembre 2005(2) sur la récidive des infractions pénales a étendu le contenu et la finalité de ce fichier. Ce fichier concerne également les crimes de meurtre ou assassinat commis avec torture ou acte de barbarie, les crimes de torture ou d’acte de barbarie et les meurtres ou assassinats commis en état de récidive légale. Ces modifications ont conduit à un changement de dénomination du fichier dénommé désormais « fichier judiciaire national automatisé des auteurs d’infraction sexuelle ou violente » (FIJAISV). (1) Loi n°2004-204 du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité (2) Loi n°2005-1549 du 12 décembre 2005 sur la récidive des infractions pénales (Mise en ligne Décembre 2005)

Informatique et libertés Secteur justice Le renforcement de la lutte contre la criminalité transfrontalière Le Conseil de l’Union européenne a adopté, le 23 juin 2008, deux décisions relatives à l’approfondissement de la coopération transfrontalière, notamment en vue de lutter contre le terrorisme, la criminalité transfrontalière et l’immigration illégale. Il s’agissait pour le Conseil de procéder à la transposition des principes fondamentaux du traité du 27 mai 2005, dit traité de Prüm, dans le cadre juridique de l’Union européenne. Les dispositions normatives communes nécessaires à la mise en oeuvre administrative et technique de la coopération prévue par la décision 2008/615/JAI ont été adoptées le même jour, aux termes de la décision 2008/616/JAI. Ces décisions visent à instaurer des procédures favorisant l’échange de données rapides, efficaces et à faible coût entre les Etats membres en vue de renforcer la coopération policière et judiciaire au sein de l’Union. L’accent est mis également sur la protection des données, dans le prolongement de la Convention du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard des traitements automatisés de données à caractère personnel. Décision 2008/615/JAI du 23 juin 2008 Décision 2008/616/JAI du 23 juin 2008 (Mise en ligne Octobre 2008)

Informatique et libertés Secteur justice Extension de l’accès au Fijais Un décret, pris le 6 octobre 2008, relatif au fichier judiciaire national automatisé des auteurs d’infractions sexuelles ou violentes (Fijais) et au casier judiciaire national automatisé, est venu modifier la partie réglementaire du code de procédure pénale. Ce texte complète les dispositions du décret du 30 mai 2005 afin d’intégrer les prescriptions de la loi du 9 mars 2004 portant adaptation de la justice aux évolutions de la criminalité, de la loi du 12 décembre 2005 relative au traitement de la récidive des infractions pénales et de la loi du 5 mars 2007 afférente à la prévention de la délinquance. Placé sous le contrôle du magistrat en charge du casier judiciaire national, le Fijais est alimenté par les magistrats, les services de police et de gendarmerie intervenant au cours de la procédure pénale. Il fixe renferme, en son article 3, la liste des administrations d’Etat autorisées à interroger le fichier à partir de la seule identité d’une personne afin de connaître son inscription éventuel au Fijais, les motifs de la décision de condamnation et les circonstances de l’infraction. La Cnil, saisie pour avis par le ministère de la Justice, a précisé que les « modalités selon lesquelles il est prévu d’ouvrir le Fijais aux administrations doivent faire l’objet d’un encadrement particulièrement rigoureux » en vue de préserver la confidentialité des données traitées. Elle préconise également de stipuler, dans les textes d’applications, les activités et professions susceptibles de donner lieu à l’interrogation du Fijais pour l’examen des demandes de recrutement, d’affectation, d’autorisation, d’agrément ou d’habilitation déposées auprès des administrations concernées. La Cnil, prenant acte de ce que la consultation du Fijais devrait s’effectuer par l’intermédiaire du réseau sécurisé AdER, « estime toutefois qu’une procédure d’évaluation de la sécurité, destinée à garantir qu’une demande d’accès au Fijais est sécurisée, devrait être établie et lui être communiquée« . Elle recommande en outre qu’il soit fait état des destinataires des données lors de l’information des personnes inscrites au Fijais. Elle estime enfin nécessaire que « les décisions de refus d’agrément prises à la suite d’une consultation du Fijais, lorsqu’elles sont notifiées, comportent également une information sur le fait que ce fichier a été consulté« . La Commission a considéré que les autres modifications n’appelaient pas d’observations particulières. Décret 2008-1023 du 6 octobre 2008 Délibération 2007-326 du 8 novembre 2007 (Mise en ligne Novembre 2008)

Informatique et libertés Secteur justice Rétention de sûreté : premier décret d’application ! Un décret, publié au Journal officiel du 5 novembre 2008, vient compléter le code de procédure pénale par l’insertion d’un chapitre III consacré à la surveillance et la rétention de sûreté (article R. 53-8-40 et s.). Il est édicté en vue de l’application de la loi n°2008-174 du 25 février 2008 relative à la rétention de sûreté et à la déclaration d’irresponsabilité pénale pour cause de trouble mental, parallèlement à un second décret relatif au placement sous surveillance électronique mobile des condamnés à l’encontre desquels a été décidée une mesure de sûreté. Le décret fixe la composition des juridictions régionales et nationales de la rétention de sûreté, ainsi que les modalités de leur fonctionnement. Des précisions sont également apportées concernant la procédure de placement en rétention de sûreté. L’organisation des centres socio-médico-judiciaires de sûreté, de même que l’étendue et les modalités d’exercice des droits des personnes retenues sont également envisagées. Décret 2008-1129 du 4 novembre 2008 Décret 2008-1130 du 4 novembre 2008 (Mise en ligne Décembre 2008)