Traitement de données personnelles effectuées par les autorités policières et judiciaires – Contradictions avec des réponses fournies dans le passé

D’Äntwert op dës parlamentaresch Fro, fann der ënnert dësem Link: QP799

Monsieur le Président,

Nous avons l’honneur de vous informer que conformément à l’article 83 du Règlement de la Chambre des Députés, nous souhaiterions poser une question parlementaire à Monsieur le Ministre de la Sécurité intérieure et à Monsieur le Ministre de la Justice au sujet du traitement de données personnelles effectuées par les autorités policières et judiciaires.

Elle fait suite aux réponses fournies par Messieurs les Ministres notamment à notre question parlementaire n°752.

Plusieurs contradictions avec des réponses fournies dans le passé sautent aux yeux.

– Premièrement, alors qu’en réponse à la question parlementaire n°640, le gouvernement indiquait que « Accès op de “Fichier central” hunn d’OPJ an APJ zum Zweck vun der Präventioun, Recherche an Feststellung vun Infractiounen », il a dans le cadre de notre question parlementaire n°752 fait l’aveu que d’autres services étatiques avaient également accès audit fichier, e.a. le Service de renseignement, tandis que d’autres services étatiques peuvent obtenir des informations issues dudit fichier.

– Ensuite, et comme l’a, à juste titre, mis en exergue le Tageblatt dans son éditorial :

„Mit ihrer Stellungnahme widerspricht die Regierung ihren ersten Aussagen. In einer Antwort auf eine parlamentarische Anfrage vor zwei Wochen hatte sie behauptet, dass es keine Datenbank gebe, in denen strafrechtliche Informationen gespeichert seien, die sich nicht im Strafregister befinden.“

Nous notons ensuite que les autorités policières continuent de stocker des données concernant toute sorte de personnes en violation des principes de droit applicables en matière de protection des données et des recommandations émises par l’Autorité de contrôle.

Dans son rapport annuel pour les années 2011 et 2012 et publié en mars 2013, l’autorité de contrôle visée à l’article 17 de la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel (« Autorité de contrôle ») avait relevé diverses périodes durant lesquelles la banque de données INGEPOL opérée par la police n’avait pas de base réglementaire. Selon l’autorité de contrôle précitée, de telles périodes de “vide juridique” seraient inadmissibles.

Or, d’après les informations à notre disposition, cette situation s’est pourtant reproduite entre le 1er juin et le 20 août 2018 malgré les mises en garde expresses et répétées de l’autorité précitée depuis mars 2013.

  1. Messieurs les Ministres peuvent-ils expliquer ce nouveau “vide juridique” et le sort réservé aux données traitées durant cette période de vide juridique ?

D’après les informations fournies par Messieurs les Ministres, “La Police et le Ministère Public travaillent à la mise en place d’un système de transmission automatisé d’informations succinctes sur le suivi réservé par les autorités judiciaires aux procès-verbaux transmis par la Police afin notamment d’assurer qu’en cas d’acquittement, l’accès aux données par les policiers soit supprimé et que les données en question soient transférées à la partie archivage où elles ne peuvent être accédées que sur autorisation écrite du Procureur général d’État ou d’un de ses adjoints.”

Nous notons à cet égard que déjà l’article 6 du règlement grand-ducal du 2 octobre 1992 établissait des règles claires en ce qui concerne le traitement à réserver à certains faits inscrits dans le fichier central Ainsi, l’article 6 du règlement précité disposait déjà que:

« Art. 6. (1) Les informations relatives aux personnes visées sous 1°, 2° et 3° du paragraphe (1) de l’article 5 sont retirées de la partie documentaire de la banque et transférées à la partie archives dans les conditions suivantes:

  1. a) en cas de décision de non-lieu ou de décision définitive d’acquittement;
  2. b) en cas de condamnation lorsque l’inscription de la condamnation est effacée du casier judiciaire;
  3. c) en l’absence de décision judiciaire:

– si les faits constatés aux procès-verbaux ou rapports constituent des contraventions, deux ans après leur constatation;

– si les faits constatés aux procès-verbaux ou rapports constituent des délits, six ans après leur constatation;

– si les faits constatés aux procès-verbaux ou rapports constituent des crimes, dix ans après leur constatation.

(2) Le procureur général d’Etat peut cependant autoriser la conservation dans la partie documentaire des informations relatives à des crimes et délits au-delà du délai indiqué, tant que la prescription de l’action publique n’est pas acquise. »

Le rapport annuel pour 2013 de l’Autorité de Contrôle avait déjà  identifié des problèmes de feedback de la part de la justice sur la suite réservée aux procès-verbaux, en particulier en cas de classement, d’acquittement ou de non-lieu. Nous notons que malgré le changement d’approche opéré par la loi du 1er août 2018 et malgré les critiques et recommandations de l’Autorité de Contrôle émises sous l’empire de la loi de 2002 et le règlement grand-ducal précité, ces problèmes n’ont toujours pas encore été résolus.

  1. Messieurs les Ministres peuvent-ils confirmer ces informations ?
  1. Pour quelles raisons les critiques et recommandations émises par l’Autorité de Contrôle en mars 2014 (rapport 2013) n’ont-elles, quelque 5 ans plus tard, toujours pas été suivies d’effet ?
  1. Messieurs les Ministres ne considèrent-ils pas que le délai de conservation de 10 ans généralement applicable aux procès-verbaux et rapports ne soit excessif et qu’il faille distinguer au cas par cas notamment eu égard à la gravité des faits constatés ?

Nous sommes par ailleurs consternés que la police gère et exploite toujours un fichier appelé partie archivage, malgré le fait que le règlement grand-ducal du 2 octobre 1992 relatif à la création et à l’exploitation d’une banque de données nominatives de police générale ne soit plus en vigueur.

  1. Sur quelle base les procès-verbaux et rapports sont-ils toujours transférés à la partie archivage ? Qui a accès à cette partie et à quelles fins ?

Selon l’article 33 du règlement général sur la protection des données, les violations susceptibles d’engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées à la Commission nationale pour la protection des données.

  1. Messieurs les Ministres peuvent-ils confirmer que le responsable du traitement a procédé à ladite notification ?
  1. Messieurs les Ministres peuvent-ils confirmer que les personnes concernées sont informées de manière spontanée des accès non autorisés aux données personnelles les concernant ? Combien de telles notifications y a-t-il eu au cours des derniers mois ?
  1. A défaut de notification, Messieurs les Ministres peuvent-ils nous informer des raisons à la base du refus de communication de ces informations aux personnes concernées ?
  1. Toujours, et à défaut de notification, comment les personnes concernées pourront-elles exercer leur droit de rectification ?

D’après Messieurs les Ministres, le terme « fiche » serait inapproprié, alors que « le système ne fonctionne pas suivant l’approche d’une fiche par personne ».

  1. Messieurs les Ministres peuvent-ils nous informer si le système en place ne permet pas d’effectuer des recherches par personne et de générer des fiches par personne?

Nous vous prions d’agréer, Monsieur le Président, l’expression de nos salutations distinguées.

Gilles Roth

Laurent Mosar

Députés

Zréck