Institutions, organisations publiques ou privées, entreprises... La Cnil ne fait pas de différence quand il s'agit de remettre dans les rails un fautif pour manquement relatif au traitement ou à l'exploitation de données personnelles. Dernière victime, le ministère de l'Intérieur qui a fait l'objet de contrôles avec à la clé plusieurs injonctions pour se remettre dans les clous. Dans son viseur : le fichier de police judiciaire d'identification recensant les empreintes digitales de personnes mises à cause dans des procédures pénales (FAED).
En tout, cinq manquements ont été relevés par la commission nationale de l'informatique et des libertés : conservation de données non prévues par les textes, pendant une durée excédant celle prévue par les textes et relatives à des personnes ayant bénéficié d’un acquittement, d’une relaxe, d’un non-lieu ou d’un classement sans suite. La Cnil a aussi constaté une insuffisance de sécurité des données à cause d'un manque de robustesse d'un mot de passe et aussi l'absence d'informations auprès des personnes concernées. « Bien que le ministère de l’Intérieur ait entamé des travaux sur la plupart des manquements, la formation restreinte a néanmoins considéré les moyens engagés comme insuffisants », indique la Cnil.
6 mises en conformité à effectuer d'ici au 31 décembre 2021
A la suite de ces fautes, la commission somme le ministère de l'Intérieur de se mettre en conformité d'ici au 31 décembre 2021 pour effacer les données dont la collecte n’est pas prévue par le décret FAED, supprimer les fiches dont la durée de conservation est atteinte, s’assurer que les décisions de relaxe, d’acquittement et de correctionnalisation soient répercutées dans le FAED et que les décisions de non-lieu et de classement sans suite y soient aussi répercutées uniquement en cas de décision expresse du procureur de la République. Sans oublier de renforcer la sécurité de la connexion à ce fichier et délivrer une information aux personnes dont les empreintes sont versées dedans. A noter pour ce qui concerne la nécessité de supprimer un ancien fichier manuel qui aurait dû être détruit, la Cnil pousse le délai au plus tard au 31 décembre 2022. Les sanctions en cas de non respect de ces échéances n'ont pas été précisées.
Ce n'est pas la première fois que le gouvernement se fait tancer par la Cnil. En 2017, dans le cadre de la généralisation de la base de données TES (titres électroniques sécurisés), la commission avait émis un avis indiquant qu'elle n'était pas entouré de garanties suffisantes pour assurer un haut niveau de protection des données.