Arrêté du 15 octobre 2014 relatif à la mise en œuvre de traitements automatisés de données à caractère personnel dénommés « logiciel d'uniformisation des procédures d'identification » (Lien Legifrance, JO 24/10/2014, p. 17656)

    L'arrêté pris après avis de la CNIL autorise le directeur général de la police nationale, le directeur général de la gendarmerie nationale et le préfet de police à mettre en œuvre des traitements automatisés de données à caractère personnel dénommés « logiciel d'uniformisation des procédures d'identification » (LUPIN). La finalité de ces traitements est, dans le cadre des enquêtes préliminaires ou de flagrance ou des investigations diligentées en application d'une commission rogatoire, l'identification des auteurs des infractions prévues aux articles 311-1 à 311-13 du code pénal (vol simple et vols aggravés) et 322-5 à 322-11-1 du même code (destructions, dégradations et détériorations dangereuses pour les personnes), par l'enregistrement d'informations collectées par les officiers et agents de police judiciaire ainsi que par les agents spécialisés, techniciens ou ingénieurs de police technique et scientifique sur les lieux de commission de ces infractions.

    Les données collectées sont relatives aux victimes, aux mis en cause et à la commission des faits.

    Les données à caractère personnel sont conservées pendant trois ans à compter de leur enregistrement.

    Les destinataires des données enregistrées dans les traitements envisagés sont les agents de la police nationale et les militaires de la gendarmerie nationale, individuellement désignés et spécialement habilités par leurs chefs de service ou commandants d'unité, affectés dans les services et unités de police judiciaire mettant en œuvre les traitements, dans la limite du besoin d'en connaître. Sont aussi destinataires de tout ou partie des données et informations enregistrées dans les traitements les officiers et agents de police judiciaire de la police et de la gendarmerie nationales pour les recherches relatives aux infractions dont ils ont à connaître ainsi que les magistrats du parquet et les magistrats instructeurs pour les recherches relatives aux infractions et aux procédures.

    Les consultations des traitements font l'objet d'un enregistrement comprenant l'identifiant du consultant, la date et l'heure de la consultation. Ces informations sont conservées cinq ans à compter de leur enregistrement.

    Les droits d'information et d'opposition prévus respectivement aux articles 32 et 38 de la loi du 6 janvier 1978 ne s'appliquent pas au présent traitement. Conformément aux dispositions des articles 41 et 42 de la même loi, le droit d'accès aux données s'exerce auprès de la Commission nationale de l'informatique et des libertés (CNIL). Les victimes ayant des données ou information enregistrées dans les traitements disposent d'un droit d'accès direct auprès du gestionnaire du fichier. Elles bénéficient également d'un droit d'opposition une fois l'auteur des faits condamné.

    L'arrêté fait application de l'article 26-I (2°) de la loi du 6 janvier 1978 modifiée et il constitue un acte réglementaire unique au sens de l'article 26-IV de la même loi, permettant ainsi la déclaration de plusieurs traitements. En effet, en vertu de ces dernières dispositions, les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires peuvent être autorisés par un acte réglementaire unique. La mise en œuvre de ces traitements par les différents services et unités relevant de la police nationale, la gendarmerie nationale ou la préfecture de police doit être précédée d'un engagement de conformité faisant référence au présent arrêté. L'engagement doit comporter un dossier technique de présentation, permettant à la commission d'exercer son contrôle a priori sur les fonctionnalités exactes de chaque traitement, son architecture technique ainsi que les mesures de sécurité encadrant le traitement projeté. Le traitement LUPIN mis en œuvre depuis plusieurs années par la préfecture de police de Paris a été déclaré à la CNIL.

    Concrètement, comme l'expose la délibération de la CNIL portant avis, la finalité des traitements envisagés est outre l'identification des auteurs d'infractions, d'améliorer la « main courante police technique et scientifique », en permettant d'enregistrer les données constatées sur les scènes où les vols ont été commis alors que les traces relevées sur la scène de l'infraction sont envoyées à l'identité judiciaire. En cas d'identification positive dans les traitements de police technique et scientifique - fichier national automatisé des empreintes génétiques (FNAEG) et fichier automatisé des empreintes digitales (FAED) -, l'identité judiciaire communique aux services l'identité du mis en cause. Les données enregistrées dans les traitements projetés sont ensuite exploitées par les enquêteurs, notamment par l'intermédiaire de rapprochements permettant d'établir des liens entre des traces ou des modes opératoires caractéristiques constatés sur plusieurs lieux d'infractions différents. Plusieurs fonctionnalités, telles que, par exemple, des cartographies sur une infraction et une période déterminées ou des recherches par mode opératoire, permettent aux enquêteurs d'établir des liens entre plusieurs procédures et de mettre ainsi en lumière des séries de faits. Les traitements envisagés ne relèvent pas de la définition des fichiers d'analyse sérielle, notamment dans la mesure où ils portent sur la petite et moyenne délinquance.

    Voir aussi la Délibération n° 2014-303 du 10 juillet 2014 portant avis sur un projet d'arrêté relatif à la mise en œuvre de traitements automatisés de données à caractère personnel dénommés « logiciel d'uniformisation des procédures d'identification » (LUPIN).

Rubriques :  défense, police, sécurité civile / médias, télécommunications, informatique

Voir aussi :
Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés