— 17 —
général sur la protection des données ou de la directive (UE) 2016/680 sur les
traitements en matière judiciaire ou policière.
Cette situation paraît satisfaisante aux rapporteurs au regard des finalités
de ces fichiers.
d. Le contrôle des juridictions nationales et européennes
Les fichiers mis en œuvre par les forces de sécurité font également l’objet
d’un contrôle juridictionnel au regard des différentes normes qui les régissent, au
plan national, par le Conseil constitutionnel, le Conseil d’État et la Cour de
cassation, et au plan européen, par la Cour européenne des droits de l’homme
(CEDH) et la Cour de justice de l’Union européenne (CJUE). Ce contrôle donne
lieu à une jurisprudence abondante, qui a fait évoluer le cadre juridique des
fichiers sur plusieurs points importants (1).
3. Des systèmes d’habilitation, d’authentification et de traçabilité sont
mis en œuvre pour garantir la protection et la sécurité des données
personnelles
Le code de déontologie de la police et de la gendarmerie nationales énonce
clairement l’obligation pour les agents de se conformer aux dispositions
législatives et réglementaires relatives à la création et à l’utilisation des fichiers et
d’alimenter et consulter ces fichiers dans le strict respect de leurs finalités et règles
propres (2).
L’habilitation, l’authentification et la traçabilité sont les trois volets du
contrôle de l’accès aux fichiers, élément essentiel de la protection des libertés
individuelles et de la sécurité des données.
La définition et la mise en œuvre des règles d’habilitation, au niveau
central dans la gendarmerie nationale et au niveau des chefs de service dans la
police nationale, sont jugées satisfaisantes par la CNIL.
L’authentification repose sur un logiciel commun à la gendarmerie et à la
police nationales, nommé Proxyma pour la gendarmerie, et CHEOPS-NG pour la
police. L’accès aux applications se fait soit à partir d’une carte professionnelle à
puce, soit par identifiant et mot de passe.
Comme le recommande la CNIL dans ses réponses écrites aux rapporteurs,
il conviendrait de supprimer définitivement l’utilisation des identifiants et mots de
passe, et de généraliser à l’ensemble des fichiers l’authentification par la carte
professionnelle qui offre plus de garanties en matière de sécurité et de
confidentialité.
(1) Cf. infra.
(2) Article R. 434-21 du code de la sécurité intérieure.