Les fichiers BIOAP, le suivi de circulation en prison D. n° 2010-615, 7 juin 2010, création de traitements automatisés de données à caractère personnel, identification biométrique des personnes écrouées, BIOAP

Le décret n° 2010-615 du 7 juin 2010 portant création de traitements automatisés de données à caractère personnel relatifs à l’identification biométrique des personnes écrouées, dénommés "BIOAP", publié au Journal officiel du 9 juin 2010, ajoute encore aux autres traitements de données existants concernant les détenus.

L’inconvénient de ce type de fichiers est de servir implicitement une expérimentation quant aux surveillances à organiser des différents déplacements d’une personne dans un établissement public donné, notamment lorsque, pour une circulation à effectuer, des portes sont à déverrouiller, des codes sont à composer, des portiques sont à franchir, etc.

L’avis de la CNIL n° 2009-684 du 3 décembre 2009 ne formule pas de réserves, sinon une demande timide en ce qui concerne l’information, au moment de leur enrôlement, des personnes concernées, — lesquelles, du fait des circonstances dans lesquelles elles se voient placées, disposent de peu de possibilités pour faire valoir leurs droits

Ces traitements automatisés de données à caractère personnel dénommés "BIOAP" comportent des données biométriques qui ont pour ’finalités’ : « a) D’établir une carte d’identité interne des personnes écrouées ; / b) De procéder à l’identification de ces personnes, afin notamment de lutter contre des tentatives d’évasion par substitution. » (art. 1er). Sont ainsi des données retenues pour ces traitements, outre les éléments classiques d’identité (nom de famille, nom d’usage, alias et prénoms ; photographie d’identité numérisée) : numéro d’écrou ; gabarit du contour de la main ; suivi des contrôles d’identification (art. 2).

La CNIL remarque alors que « la fonctionnalité principale du traitement est l’identification par biométrie palmaire des détenus lors des entrées et sorties de l’établissement, des accès aux parloirs ou encore d’accès à certaines zones particulières (établissements de santé, par exemple). »

Ce sont donc ces suivis qui révèlent l’enjeu de la création de ces traitements informatiques : observer, surveiller, mesurer, calculer les déplacements des personnes dans une prison [1]. Cette perception est renforcée par le dispositif précisé à l’article 3 du décret. En effet, si les données à caractère personnel ne sont conservées que « jusqu’à la levée d’écrou faisant suite à la libération ou au transfèrement définitif des personnes écrouées », les enregistrements des contrôles d’identification opérés lors ce ces déplacements eux, « sont conservés un mois à compter de leur survenance ».

Exclusivement pensé à l’intérieur de chaque établissement pénitentiaire, le système d’identification biométrique se voudrait "un système d’information local". Ceci supposerait que les interconnexions entre établissements ne devraient pas avoir lieu. Mais cela supposerait encore qu’à chaque changement d’établissement, le prévenu comme le détenu sera soumis aux procédures d’identification biométrique et laissera dans chacun, au moins pendant un mois, l’empreinte de ses passages...

.

Notes :

[1] Dans sa délibération du 3 décembre 2009, la CNIL prend acte de ces précisions : « Lors de la vérification de l’identité de la personne écrouée à une borne de contrôle, celle-ci présente sa carte personnelle encodée du numéro d’écrou. A partir du numéro d’écrou encodé et imprimé sur la carte personnelle, une transmission des données se fait, depuis la base de données installée sur le serveur local vers les bornes de contrôle. Un écran de contrôle permet une première vérification visuelle par un surveillant via l’affichage du nom du détenu, de son prénom, de son numéro d’écrou et, selon le dispositif mis en place, de sa photographie. Un message apparaît sur l’écran de la borne, signalant que le lecteur biométrique est prêt à prendre le gabarit de la main de la personne écrouée. Une fois ce gabarit saisi, l’application le compare avec celui qui a été enregistré dans la base de données. Si les deux sont identiques, un message de validation de l’identité s’affiche. Dans le cas contraire, le surveillant est alerté d’un problème sur l’identification de la personne écrouée. Après avoir répété la procédure et si celle-ci reste infructueuse, la personne écrouée est conduite au greffe de l’établissement qui a initialement procédé à la prise d’empreinte digitale par encre de l’index gauche prise au moment de l’incarcération et renseignée au registre d’écrou dans le volet identité de la personne écrouée. Si l’empreinte digitale ne concorde pas, l’usurpation est avérée. Si elle concorde, le greffe procède au nouvel enrôlement de l’empreinte palmaire de la personne écrouée dans le logiciel. Enfin, pour les personnes ne pouvant pas utiliser le système de biométrie palmaire pour différentes raisons (handicap, maladie...) le contrôle se fait par l’apposition d’un cachet imprégné d’une encre sensible aux rayons ultraviolets. »