Lorsque la commission des Lois, à l'initiative de son Président, nous a confié ce rapport d'information sur les fichiers de police, je dois avouer que je ne m'attendais pas à découvrir un sujet aussi vaste, mais combien passionnant. Le travail a été de ce fait un peu plus long qu'initialement prévu, et la liste des personnes auditionnées et des déplacements témoigne de notre volonté de disposer d'une vision aussi complète que possible du sujet. Nous avons ainsi, entre autres, visité une brigade territoriale de gendarmerie, une direction départementale de la sécurité publique, plusieurs services de la préfecture de police de Paris, deux parquets de TGI en région parisienne, des services techniques, sans oublier la CNIL, en assistant à deux séances de droit d'accès indirect, sur le STIC et sur le fichier des renseignements généraux.
C'était d'autant plus nécessaire qu'il s'agit du premier travail d'information sur le sujet réalisé par le Parlement ; de plus, nous n'avons pas voulu nous cantonner à l'audition des principaux responsables administratifs. Les déplacements dans les services, sur le terrain, nous ont permis de rencontrer les personnels qui alimentent, exploitent ou contrôlent les fichiers, ce qui nous a donné une vision plus vivante et concrète du sujet.
C'est d'ailleurs d'une certaine manière autour de l'idée de vie des fichiers que nous avons réalisé le rapport, en nous attachant aux différentes étapes logiques que sont notamment la création, l'alimentation, le contrôle et, éventuellement, la destruction des fichiers. Je peux d'ores et déjà souligner que, même si Delphine Batho et moi-même n'avons naturellement pas été toujours d'accord, nous avons pu arriver aux mêmes conclusions pragmatiques dans bien des cas, et sur un point en particulier qui est au coeur de l'ensemble de notre démarche. D'ailleurs, sur les 57 propositions, nous n'avons que quatre divergences. D'une part, les services de police et de gendarmerie ont besoin de fichiers efficaces, d'autre part ceux-ci doivent respecter les libertés publiques, les deux points étant parfaitement complémentaires. La fiabilité et la performance des outils que sont les fichiers sont indissociables de la meilleure protection des libertés publiques et des données.
Je crois que le plus simple est d'exposer dès à présent les principales propositions du rapport, tout en soulignant les quelques points sur lesquels nous différons.
La première proposition, et sans doute la plus emblématique, concerne la clarification du cadre juridique. Actuellement, la création d'un fichier de police peut emprunter deux voies : la première est celle de la création par un acte réglementaire, après avis de la CNIL, conformément à la loi de 1978 relative à l'informatique et aux libertés. La seconde est celle de l'autorisation par un texte de loi spécifique, comme ce fut le cas pour le FNAEG ou, plus récemment, pour l'expérimentation du fichier des passagers aériens et pour le traitement automatisé des données signalétiques de véhicules (tous deux autorisés par la loi du 23 janvier 2007 relative à la lutte contre le terrorisme). En pratique, le recours à la loi est de plus en plus fréquent. Si seulement 17 % des fichiers de police ont été créés par la loi, la moitié des fichiers ayant une base législative l'ont été au cours des cinq dernières années. À notre sens, l'autorisation par la loi correspond davantage à l'article 34 de la Constitution, qui prévoit que la loi fixe les règles « concernant les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ». Une telle solution permettra, grâce au débat parlementaire, de bien exposer les objectifs poursuivis et de désamorcer des inquiétudes qui sont le plus souvent, selon moi, disproportionnées. En outre, cela sera l'occasion d'analyser les moyens consacrés effectivement au fonctionnement des outils, les études d'impact devant à ce titre être un instrument précieux.
Une fois le fichier autorisé par la loi, il restera naturellement une phase d'élaboration technique et réglementaire d'application. Plusieurs propositions visent à améliorer les rapports entre la CNIL et les services de police, ces derniers n'étant pas des plus satisfaisants, et c'est un euphémisme. Cette situation s'explique en partie par des différences d'approche, mais aussi par un cadre juridique qui ne favorise pas le dialogue entre l'autorité de contrôle et les utilisateurs de fichiers que sont la police et la gendarmerie. Il en résulte parfois de véritables blocages, coûteux en temps et en argent. Afin d'y remédier, il s'agira notamment de prévoir une mise en application par étape, associant ces deux partenaires très en amont, de façon à ne plus avoir à subir la situation actuelle où les services présentent à la CNIL un projet quasiment « bouclé » et pratiquement opérationnel. Celle-ci n'a, dès lors, le choix qu'entre accepter une forme de fait accompli ou demander des modifications qui peuvent parfois se révéler coûteuses et techniquement difficiles. De manière plus générale, il s'agit d'étendre une forme de procédure contradictoire entre les ministères et la CNIL, de façon à favoriser un dialogue constructif, un peu à la manière de ce qui existe pour les relations entre la Cour des comptes et les administrations qu'elle contrôle.
Nous nous sommes ensuite attachés à l'épineuse question de la protection des données sensibles, ce qui nous a amenés tout d'abord à préciser les caractéristiques de l'outil devant succéder au fichier des renseignements généraux (FRG). Par commodité, nous avons continué à le désigner sous l'appellation « EDVIRSP », puisque tel est le sigle prévu dans le projet de décret transmis au Conseil d'État.
Nous sommes arrivés à deux points de consensus. D'une part, il n'y a pas d'utilité à continuer à collecter dans le cadre d'un « fichier des personnalités » des données sur les personnes physiques ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif. D'autre part, le futur fichier EDVIRSP autorisé par la loi visera deux finalités : d'une part, le fichage des personnes, groupes ou organisations qui, en raison de leur activité individuelle ou collective, peuvent porter atteinte à la sécurité des personnes et des biens, par le recours ou le soutien actif apporté à la violence, ainsi que les personnes entretenant ou ayant entretenu un lien direct et non fortuit avec celles-ci. D'autre part, un fichier des enquêtes administratives, en ne conservant que les dossiers ayant fait l'objet d'une décision défavorable. Nous avons en effet découvert que certains SDIG procédaient ainsi et la généralisation de cette pratique semble souhaitable.
En revanche, nous continuons à diverger sur quelques points s'agissant de ce fichier. Pour ma part, je considère qu'il faut conserver la notion d' « origine géographique » comme élément de signalement des personnes. Ensuite, s'agissant des mineurs, je suis favorable à la possibilité de les inscrire dans le fichier à partir de treize ans, y compris dans l'application très efficace développée par la préfecture de police de Paris et dénommée GEVI (pour gestion des violences urbaines). Celle-ci mérite d'ailleurs d'être mise à la disposition des autres SDIG. Il s'agit avant tout de jouer un rôle préventif en matière de délinquance et de criminalité des bandes, l'actualité récente en ayant largement souligné la nécessité. La ministre de l'Intérieur a annoncé la création d'un nouveau fichier pour lutter contre les bandes ; nous proposons de répondre à cet objectif tout simplement en procédant à la généralisation de GEVI.
Sur cette question des mineurs, nous sommes d'accord sur la création d'un droit à l'oubli, avec un effacement de l'élément au bout de trois ans à défaut de nouvel événement, le tout sous le contrôle d'un magistrat référent.
Enfin, pour terminer sur cette question des données sensibles, après bien des débats, nous sommes convenus de la nécessité de l'abandon de la typologie ethno-raciale actuellement utilisée dans le cadre des fichiers d'antécédents judiciaires STIC et JUDEX. La ministre de l'Intérieur a d'ailleurs lancé à cet effet une expérimentation d'une forme de portrait-robot, dans lequel la couleur de la peau est une composante au même titre que celle des yeux ou des cheveux. Il s'agit de remplacer par des critères objectifs et opérationnels une typologie relevant seulement de l'usage et posant à l'évidence de nombreux problèmes, aussi bien juridiques que philosophiques.
J'en viens maintenant à des questions plus pratiques, portant sur le fonctionnement des fichiers.
De ce point de vue, les déplacements dans les services nous ont permis de mesurer les très nombreuses difficultés qui existent pour leur alimentation, et de faire en conséquence de nombreuses propositions. Pour le fichier des empreintes digitales (FAED), le principal problème réside dans le fait que la gendarmerie n'est pas dotée des terminaux de signalisation modernes dont dispose la police. Mais c'est dans le cas du STIC que les problèmes sont les plus frappants, le système étant daté techniquement et reposant largement sur des flux considérables de papiers et de nombreuses ressaisies manuelles, sources d'erreurs et consommatrices de ressources. Cette analyse est d'ailleurs conforme aux conclusions du rapport de contrôle que la CNIL a consacré récemment à ce fichier. Pour sortir de cette situation, il faut agir à la fois sur le flux et sur le stock.
En ce qui concerne le premier, il n'y a aucun intérêt à « stiquer » une personne dont le parquet a annoncé dans le cadre du traitement en temps réel qu'elle ne sera pas poursuivie compte tenu de l'insuffisance de charges. Les policiers doivent donc tenir compte de ces décisions, qui figurent d'ailleurs au procès-verbal, la plupart du temps. Pour le stock, nous avons constaté de visu la masse impressionnante des procédures à traiter, qui atteint par exemple presque deux ans de retard à Versailles dans le service régional chargé du contrôle de la qualité. Le recrutement ponctuel de contractuels s'impose, comme cela a d'ailleurs été fait pour réduire les retards accumulés dans la gestion du FNAEG. De même, il faut éviter que l'application ARIANE, qui doit remplacer le STIC et JUDEX, hérite du stock des erreurs accumulées. Le passage à un nouveau système plus moderne doit être l'occasion de repartir sur des bases plus saines, en engageant une forme d'« opération vérité » des fichiers d'antécédents, dont il ne faut pas se cacher qu'elle sera fort lourde.
Après la création et l'alimentation, le contrôle.
Dans le cas des fichiers d'antécédents judiciaires, il n'apparaît pas satisfaisant en pratique, qu'il s'agisse des mises à jour effectuées par les parquets au vu des suites judiciaires ou du contrôle exercé par la CNIL dans le cadre du droit d'accès indirect.
En ce qui concerne le rôle des parquets, il faudra véritablement améliorer CASSIOPEE de manière à ce que les échanges d'information soient plus efficaces lorsqu'il y a requalification des faits et pour mieux tenir compte des suites judiciaires. Par ailleurs, dans certains cas, les retards observés dans la mise à jour peuvent créer des situations très préjudiciables. Ainsi en est-il tout particulièrement pour les personnes voulant exercer un emploi dans le domaine de la sécurité privée et voyant l'emploi convoité leur échapper en raison de lourdeurs administratives différant la décision sur l'agrément préalable. Il convient donc de réduire de trois mois à un mois le délai de traitement du dossier en cas de demande de mise à jour et, surtout, de créer une procédure de traitement en temps réel pour répondre aux demandes de mise à jour présentant un degré d'urgence particulièrement élevé. Cette tâche serait confiée à un magistrat référent des fichiers d'antécédents, d'une certaine manière sur le modèle de celui contrôlant le FNAEG.
C'est sur la question du contrôle par le procureur de la République que se situe notre dernier sujet de divergence. Dans l'état actuel de la législation, qui reprend sur ce point le décret de 1991, le procureur peut demander le maintien dans un fichier d'antécédent des données d'une personne qui a fait l'objet d'une relaxe ou d'un acquittement. À mon sens, il convient de maintenir une telle possibilité, qui peut s'avérer utile dans certains cas, notamment lorsqu'il s'agit de multirécidivistes.
Le deuxième contrôle exercé sur les fichiers revient à la CNIL, au travers de l'exercice du droit d'accès indirect. Là encore, le retard est considérable et il convient de s'attaquer au « stock » des recours par l'embauche ponctuelle de personnels. On peut également penser que le maintien de la lourde procédure de droit d'accès indirect ne se justifie pas s'agissant des victimes, qui devraient pouvoir bénéficier d'un droit d'accès direct à leurs données personnelles. Enfin, dans le cas particulier du contrôle des fichiers des services de renseignement dont les textes portant création ne sont pas publiés au Journal Officiel, comme dans sur le fichier CRISTINA exploité par la DCRI, nous proposons une transmission systématique de ces textes à la délégation parlementaire au renseignement.
Convaincus de l'utilité des fichiers, nous souhaitons que leurs finalités soient bien respectées.
Cela passe par un contrôle étroit des utilisations afin de lutter notamment contre la vente d'information, mieux connue en argot policier sous le nom de « tricoche ». En l'espèce, l'informatique est un atout car elle permet une grande traçabilité, ce qui n'était pas le cas avec les fichiers papiers. Les sanctions disciplinaires prononcées en la matière sont de plus en plus sévères et la publicité qui leur est donnée contribue à l'effet extrêmement dissuasif. Il reste à se doter en ce domaine d'outils plus modernes de détection en temps réel des comportements anormaux. Respecter les finalités, c'est aussi s'assurer que l'utilisation des fichiers d'antécédents judiciaires dans le cadre d'enquêtes administratives obéisse à une exigence particulière de discernement. À cet égard, nous pensons qu'il est utile de systématiser la pratique existant déjà dans certains départements et consistant, pour les services enquêteurs, à entendre la personne faisant l'objet d'une enquête administrative et figurant dans un fichier d'antécédent. Il s'agit ainsi qu'une simple « erreur de jeunesse » n'ait pas des conséquences démesurées.
Le respect des finalités doit aussi passer par la mise en place de fichiers ayant un objet bien défini et correspondant à un besoin clairement identifié des enquêteurs. De ce point de vue, j'ai été impressionné par la qualité de deux outils développés récemment par la préfecture de police de Paris et destinés à opérer des rapprochements entre infractions. Le premier, CORAIL, vise à moderniser le traitement des télégrammes internes à la police judiciaire dits « dix points » ou « onze points », qui décrivent des infractions. Le second, LUPIN, permet de mieux lutter contre les cambriolages en mettant en évidence leur caractère sériel et en exploitant les données concernant les modes opératoires, recueillies par la police technique et scientifique sur les lieux d'infraction. Les deux démarches présentent des points communs : elles ont été initiées par les utilisateurs, pour répondre très précisément à leurs besoins ; les projets ont été réalisés en interne et très rapidement pour un coût modique, en utilisant les compétences informatiques des personnels. Il s'agit, à mon sens, d'un bon exemple du type de démarches à encourager pour améliorer le taux d'élucidation.
Pour terminer mon propos, je considère qu'il y a des cas où il faut assurer une bonne transition d'un fichier à l'autre, voire où il faut régler les conditions de la disparition d'un fichier.
Nous avons abordé ces questions, une fois encore, avec la volonté très claire de permettre aux services de police et de gendarmerie de travailler dans de bonnes conditions.
De ce point de vue, il faut mettre fin à un imbroglio juridique qui empêche actuellement les SDIG de fonctionner efficacement.
L'article premier du décret du 27 juin 2008 dispose que « la collecte et l'enregistrement de nouvelles données dans [le fichier des renseignements généraux] sont interdits à compter du 1er juillet 2008 ». Si le fichier des renseignements généraux ne peut plus être alimenté, il peut néanmoins être consulté jusqu'au 31 décembre 2009, date de sa disparition définitive. Seul pouvait donc être alimenté, à partir du 1er juillet 2008 et en remplacement du FRG, le traitement EDVIGE. Or, la décision de retrait de ce nouveau fichier de renseignement, prise en octobre 2008 par la ministre de l'Intérieur et définitivement actée par le décret du 19 novembre 2008, a été accompagnée par une note de son directeur de cabinet rappelant que le retrait du décret du 27 juin 2008 ôtant « rétroactivement toute existence juridique à EDVIGE », il fallait en anticiper tous les effets de manière préventive et que de ce fait, je cite : « il convient […] de cesser toute alimentation ou consultation du fichier, et de retirer de ce fichier les données qui ont pu y être intégrées depuis la publication du décret ». Au cours de nos déplacements, plusieurs agents et responsables des SDIG ont indiqué combien cette situation pratique et juridique était délicate et démotivante pour les services.
Nous proposons donc, dans l'attente d'une loi autorisant la création du futur fichier EDVIRSP, de permettre à titre provisoire et sur la base du décret de 1991, l'alimentation et la consultation du FRG.
Le second point délicat concerne la disparition programmée au 24 octobre 2010 du fichier alphabétique de renseignements (FAR) de la gendarmerie. Il s'agit d'un immense fichier papier qui fait, pour ainsi dire, partie des traditions de la gendarmerie. Or, alors que sa disparition est programmée par la loi, nous avons pu constater qu'il est toujours alimenté et que les personnels sont inquiets de la disparition de cet outil. Il faut dans les meilleurs délais, d'une part définir la nature du fichier destiné à succéder au FAR, d'autre part établir des directives précises à l'attention des brigades territoriales pour le transfert, l'archivage et la destruction de l'immense masse de données figurant dans ce fichier (60 millions de fiches et 20 millions de personnes…).