Le fichier Game 2010 ... aux divers enjeux. Arr. 20 mars 2012, traitement automatisé-données à caractère personnel, "Gestion de l’Activité et des Mesures Educatives 2010"

Le jeu de fichiers se poursuit [1]. Un arrêté du 20 mars 2012 prétend créer ’un traitement automatisé de données à caractère personnel dénommé "gestion de l’activité et des mesures éducatives 2010" (Game 2010)’. Comme le note la CNIL, en sa délibération n° 2012-030 du 2 février 2012 portant avis sur le projet d’arrêté, il n’y a pas fondamentalement ’création’ ; en effet, ce modèle est utilisé depuis 1993 par les services éducatifs de la direction de la protection judiciaire de la jeunesse en disposant pour l’accomplissement de leurs missions. Qui plus est, des modifications substantielles des finalités dudit traitement, revues en 2000, ont été mises en application à partir de 2009 sans tenir compte de l’avis que la CNIL avait alors émis.

Game , le traitement de "gestion de l’activité et des mesures éducatives" avait été formellement autorisé par un arrêté du 8 décembre 2000 modifiant l’arrêté du 26 avril 1993 organisant le traitement automatisé des statistiques des établissements et services de l’administration de la protection judiciaire de la jeunesse. Cet arrêté avait été pris après un avis de la CNIL du 30 novembre 2000 (n° 00.059). Par la suite, dans la mesure où Game se renouvelle au rythme des politiques technologiques [2], la CNIL avait eu à se prononcer sur la modification de ce traitement en 2009. Elle avait alors énoncé quelques recommandations essentielles. Or, il n’y eut pas d’arrêté ! La délibération de la CNIL du 29 janvier 2009 ne fut pas publiée... Les missions de contrôle diligentées par la CNIL en 2011 ont ensuite confirmé que l’application Game était mise en œuvre sans qu’il y ait eu publication de l’arrêté correspondant. Plusieurs dysfonctionnements liés au traitement Game 2000 (et ses développements) ont aussi pu être relevés, - mais non clairement signalés.

L’arrêté du 20 mars 2012 sur Game 2010 ne fait donc que régulariser une situation existante. La formulation du premier alinéa de l’article 1er de l’arrêté en rend compte : « Est autorisée la création par le ministère de la justice et des libertés d’un traitement automatisé de données à caractère personnel dénommé "gestion de l’activité et des mesures éducatives 2010" (Game 2010) mis en œuvre au sein des services de la direction de la protection judiciaire de la jeunesse. » Une application "mise en œuvre" se trouve ainsi "créée" [3].

Ceci étant dit, même si la CNIL estime que la version de l’application Game pour 2010 peut lui permettre de réitérer ses différentes observations et recommandations, elle la valide ! Pourtant, à peine saisie pour avis en 2012, la CNIL constatait que « Game 2010 fonctionne déjà en sites pilotes sur les soixante unités éducatives, services éducatifs et directions territoriales de la direction interrégionale (DIR) Grand Sud depuis la mi-juin 2010, sans qu’aucune formalité préalable auprès d’elle n’ait été effectuée préalablement au déploiement de cette expérimentation. » Donner un avis sur une application déjà utilisée revêt-il un sens ?

L’arrêté du 20 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé "gestion de l’activité et des mesures éducatives 2010", dit Game 2010, prévoit que ce Game n’est mis en œuvre que dans le secteur public, dans les unités éducatives, services éducatifs et directions territoriales [4] ; il réitère quelques-uns des principes exposés dans l’arrêté du 26 avril 1993, eux-mêmes repris dans l’arrêté du 8 décembre 2000. L’objet du traitement était à l’origine « de suivre le déroulement de chacune des mesures éducatives exercées par les établissements et services à l’égard des mineurs et des jeunes majeurs sous protection judiciaire (et) de mesurer l’activité de ces établissements et services et d’appréhender les caractéristiques principales de la population des jeunes suivis, par interrogation en temps réel du fichier nominatif des mesures éducatives » (art. 2, arr. 8 déc. 2000).

Désormais, son spectre est élargi.

Le traitement a aujourd’hui pour finalités : « Pour les unités éducatives, services éducatifs du secteur public, pour les directions territoriales de la protection judiciaire de la jeunesse : - d’améliorer la mise en œuvre et le suivi des mesures et sanctions éducatives et des peines prononcées par l’autorité judiciaire à l’endroit des mineurs ou des jeunes majeurs qu’elle confie aux services et établissements du secteur public de la protection judiciaire de la jeunesse en milieu ouvert et dans le cadre du placement, et en détention (établissements pénitentiaires spécialisés pour mineurs, quartiers de mineurs en maison d’arrêt) ; - de faciliter la prise en charge éducative la plus adaptée à chaque personne suivie, notamment en mettant à disposition des personnes habilitées le détail du parcours éducatif des mineurs résultant du suivi réalisé dans les différentes structures éducatives du secteur public ; - d’améliorer l’accueil dans les services dédiés à l’insertion sociale et professionnelle des mineurs sujets d’une décision judiciaire civile ou pénale, ainsi que des mineurs et jeunes majeurs qui y sont également confiés au titre de partenariat avec les organismes publics ou parapublics en charge de l’insertion sociale de publics en grande difficulté. // Pour l’ensemble des services ci-avant désignés, pour les directions interrégionales et les services centraux de la direction de la protection judiciaire de la jeunesse : - d’exploiter, à des fins de statistiques et de pilotage, les données non personnelles et certaines données personnelles anonymisées et cryptées. » (art. 1er, arr. 20 mars 2012).

Ces formules retraduisent un dépassement de la finalité statistique [5] puisque l’application Game suppose désormais le suivi des jeunes confiés au secteur public de la PJJ, qu’ils soient sujets d’une décision judiciaire civile ou pénale. Mais encore, l’insertion sociale et professionnelle du mineur confié figurant désormais dans les finalités de Game, il est ainsi « demandé aux services éducatifs de s’assurer que chaque mineur confié et qui n’est ni scolarisé ni en formation bénéficie d’un suivi "d’activité de jour et de formation" afin d’évaluer ses compétences en début de prise en charge puis de construire un projet de réinsertion scolaire ou professionnelle, et enfin de le mettre en œuvre. » [6] En découle un ’fichier’ des mineurs et jeunes majeurs (pour)suivis par les autorités judiciaires - et pénitentiaires.

Cette dilatation conduit à un déploiement des données enregistrées (art. 2, arr. 20 mars 2012) [7] : « 1° Concernant les personnes : a) Concernant les mineurs et leur famille : Pour les personnes prises en charge : - état civil du mineur : nom de famille, prénoms, sexe, date de naissance, département de naissance (pays si né à l’étranger), adresse postale, télématique et téléphonique, quartier de résidence du mineur (zones urbaines sensibles) ; - scolarisation, formation professionnelle. Type d’établissement scolaire et classe fréquentée ; Situation de scolarisation ou de déscolarisation. / Pour l’environnement familial : - pour les parents et représentants légaux : nom de famille, prénoms, adresse postale, télématique et téléphonique ; profession des parents ; nombre de frères et sœurs, nombre de ceux vivant sous le même toit ; identité de frères ou de sœurs sujets d’une mesure judiciaire et confiés à la direction de la protection judiciaire de la jeunesse [8]. Pour les personnes détenant un mandat donné par le représentant légal du mineur : nom de famille, prénoms, adresse postale, télématique et téléphonique ; b) Concernant le personnel du ministère de la justice et des libertés : Pour les personnels de l’unité éducative en charge de l’exécution de la décision judiciaire : nom et prénoms du personnel de l’unité éducative en charge de l’exécution de la décision judiciaire (référent éducatif du mineur) ; Pour le prescripteur de la mesure : juridiction, numéro de cabinet de juge ; Pour les personnels utilisant Game 2010 : Nom, prénoms, fonction et quotité de travail, et service d’affection. / 2° Concernant les décisions judiciaires fondant la prise en charge et l’activité induite : a) Décision : type de décision, fondement juridique, numéro de dossier du parquet ou du juge ; b) Service et unité éducative chargés de l’exécution de la décision ; c) Événements : Date de début et de fin de la décision, date de suspension, prolongation, renouvellement, date de prise en charge de la décision par le service éducatif ; Pour les décisions de placement (hébergement collectif, individualisé ou pour le placement familial), motif de l’absence (autorisée, fugue, hospitalisation, incarcération, autre) et nombre de jours d’absence ; d) Contexte [9] : prise en charge intervenant conjointement ou avant/après une autre décision judiciaire, confiée à un autre opérateur (associations, aide sociale à l’enfance) ; e) Activité éducative induite par l’exécution de la décision judiciaire : Type d’activité éducative et ses objectifs pédagogiques ; Situation du mineur par rapport aux objectifs au début et en fin de prise en charge ; Service où se déroule cette activité, référent en charge de cette activité ; Date de début et de fin de cette activité, décision judiciaire liée à cette activité éducative. »

Dans sa délibération du 2 février 2012, la CNIL remarque que « l’acte réglementaire autorisant le traitement est un arrêté, forme juridique qui ne permet pas d’envisager le traitement de données sensibles relevant de l’article 8 de la loi du 6 janvier 1978 modifiée. »

Pourtant, notant que « de telles données peuvent être utiles concernant le suivi quotidien des mineurs placés ou incarcérés », elle observe que, par ailleurs, le traitement mis en œuvre par la direction de l’administration pénitentiaire (GIDE [10]) peut enregistrer des données sensibles ... conformément aux textes en vigueur.

Puisqu’en ce qui concerne les mineurs placés, les différents traitements "papier" ou informatisés qui ont pour objet le suivi quotidien des mineurs contiennent de telles données, notamment en matière de santé, la CNIL choisit de ne pas s’y opposer en ce qui concerne Game 2010 ... même si l’acte réglementaire fait défaut.

Presque pour se dédouaner de cette posture peu vigilante, la CNIL annonce que « la direction de la protection judiciaire de la jeunesse du ministère est actuellement en train d’élaborer un projet de décret recensant les informations que les unités éducatives sont légitimes à détenir pour l’hébergement des mineurs, tant en matière de santé que du parcours éducatif ou judiciaire. » [11] La situation est cocasse : l’arrêté précède-t-il le décret dont il devrait être une des applications ? La hiérarchie des normes ne s’en trouve-t-elle pas remise en cause ?

Les personnels qui peuvent accéder au traitement Game 2010 sont nombreux ! Ce sont, en premier lieu, « les personnels de la protection judiciaire de la jeunesse individuellement désignés et spécialement habilités exerçant leurs missions au sein :- des unités éducatives, des services éducatifs du secteur public de la direction de la protection judiciaire de la jeunesse ; - des directions territoriales de protection judiciaire de la jeunesse ; - des quartiers de mineurs des maisons d’arrêt et des établissements pénitentiaires spécialisés pour mineurs. » Pour une gestion ’efficace’ d’un tel traitement, ce sont aussi « les personnels de secrétariat spécialement et nominativement habilités à cette fin par les responsables d’unité éducative, les directeurs d’unité ou de service ou établissements éducatifs, les directeurs territoriaux lorsque ces personnels de direction délèguent les tâches de saisie et consultation de l’application. Ces personnels délégués sont alors dénommés "référents administratifs" » [12].

Mais encore, peuvent y accéder : « l’auditeur en direction interrégionale de la protection judiciaire de la jeunesse chargé d’auditer un service ou une unité éducative. L’accès de l’auditeur aux données personnelles est alors strictement limité aux seuls mineurs confiés au service objet de l’audit et pour sa durée. Cette personne est habilitée par le directeur interrégional de la protection judiciaire de la jeunesse ; les membres de l’inspection de la protection judiciaire de la jeunesse, placés sous l’autorité directe du directeur de la protection judiciaire de la jeunesse (administration centrale) lorsqu’ils effectuent l’inspection d’un établissement ou d’un service, l’accès aux informations nominatives intervenant alors dans la limite des seuls mineurs suivis par la structure éducative inspectée et pour la durée de ladite inspection ; les personnels pénitentiaires individuellement désignés et spécialement habilités exerçant leurs missions en établissements pénitentiaires pour mineurs et quartiers de mineurs en maison d’arrêt. »

Des informations personnelles sont aussi consultables, de manière individualisée, par le référent éducatif ou le surveillant en site pénitentiaire [13] - nécessairement habilités - lorsqu’elles concernent les mineurs pris en charge dans l’établissement au moment de la consultation.

Peuvent aussi accéder aux données, cette fois-ci, "non nominatives" donc "anonymisées" (placées sur InfoGame), « les personnels du ministère de la justice et des libertés appartenant : - à la direction interrégionale ; - à la direction d’administration centrale de la protection judiciaire de la jeunesse, notamment l’inspection de la protection judiciaire de la jeunesse et les bureaux concernés par les statistiques et le pilotage (sous-direction du pilotage et de l’optimisation des moyens) ... [tandis que] les administrateurs appartenant aux services informatiques placés sous l’autorité de la direction de la protection judiciaire de la jeunesse et du secrétariat général du ministère de la justice et des libertés n’ont accès qu’aux outils d’exploitation ou de gestion de la base de données et de l’Infocentre mais pas à leurs données. » En fait, cette modélisation profile la création d’une base de données nationale quant aux parcours éducatifs des mineurs « résultant du suivi réalisé dans les différentes structures éducatives du secteur public ». Cependant, « si la constitution d’une base centrale peut effectivement présenter certains avantages », la CNIL rappelle « que toutes les mesures de sécurité et de traçabilité doivent être mises en œuvre afin de garantir la confidentialité des données » [14].

Mais il serait tout aussi indispensable de garantir l’effacement ’automatique’ des données au terme signifié dans l’arrêté ! En effet, aux termes de l’arrêté du 20 mars 2012, les données enregistrées « sont automatiquement supprimées trois ans après la fin de l’exécution de la mesure ou sanction éducative ou peine. Les mises à jour utiles de l’application sont réalisées en cas d’amnistie, de réhabilitation ou de grâce. / Les données relatives à l’annuaire des utilisateurs sont mises à jour en cas de mutation, détruites six mois après le départ de l’agent des services éducatifs ou de la direction territoriale. »

Quoiqu’il en soit, force est de constater que, dans un espace de temps assez bref, nombreux sont les textes concernant la création, la modification, l’extension de fichiers divers qui s’amplifient considérablement [15]

Notes :

[1] V. par ex. : F.A, « Game 2010 : le nouveau fichier des mineurs délinquants ».

[2] Le repérage des modifications se réaliserait-il par l’adjonction les chiffres de la décennie ?

[3] ... Mais une régularisation efface-t-elle des irrégularités ?

[4] - ce qui exclut le secteur associatif.

[5] V. sur le site "performance-publique.budget.gouv.fr", le relevé des indicateurs de Game 2010.

[6] CNIL, délib. n° 2012-030 du 2 février 2012. — ce, indépendamment des dispositifs du décret n° 2012-282 du 29 février 2012 pris pour l’application de la loi n° 2011-1940 du 26 décembre 2011 visant à instaurer un service citoyen pour les mineurs délinquants (JO 1er mars 2012).

[7] Même si la CNIL rappelle que « les données renseignées doivent être pertinentes, adéquates et non excessives et doivent être communiquées à l’intéressé, à sa demande » (délib. n° 2012-030 du 2 février 2012), certaines d’entre elles semblent en final ne pas l’être.

[8] A ce propos, la CNIL avait demandé auparavant que les informations concernant la fratrie, et notamment l’identité des frères et/ou sœurs du mineur pris en charge, ne soient collectées "qu’au titre d’autres mesures judiciaires"... ce qui a donc été retenu.

[9] Pour la CNIL, « la rubrique "contexte" de cette catégorie comporte des informations relatives à la "prise en charge intervenant conjointement ou avant/après une autre décision judiciaire", confiée à un autre opérateur (association, aide sociale à l’enfance). » Ne faudrait-il pas cependant s’en préoccuper ?

[10] D. n° 2011-817 du 6 juillet 2011 portant création d’un traitement de données à caractère personnel relatif à la gestion informatisée des détenus en établissement (GIDE), JO 8 juill. 2011.

[11] V. cependant, D. n° 2010-214 du 2 mars 2010 relatif au ressort territorial, à l’organisation et aux attributions des services déconcentrés de la protection judiciaire de la jeunesse, JO 4 mars 2010.

[12] Encore des référents ! V. Gk, « Une fonction à définir : le "référent-..." ».

[13] Les personnels pénitentiaires disposent de leur propre application : GIDE ; les données sur les mineurs qui y sont enregistrées sont conséquentes. La CNIL relève toutefois que « la saisie dans Game 2010 d’informations sur les mineurs détenus par les personnels pénitentiaires permettra de mettre en perspective l’action éducative antérieure en milieu ouvert et l’action éducative en milieu fermé. Cela facilitera également la préparation de la sortie et le suivi du mineur en milieu ouvert. Dans ces conditions, la commission estime que ces personnels sont légitimes, au regard des finalités du traitement, à y accéder. »

[14] CNIL, délib. n° 2012-030 du 2 février 2012.

[15] Par exemple et entre autres, sur une année, en ne prenant en considération que les décrets : D. n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne, JO 1er mars 2011 ; D. n° 2011-340 du 29 mars 2011 portant création d’un traitement de données à caractère personnel relatif à la gestion de l’information et la prévention des atteintes à la sécurité publique, JO 30 mars 2011 ; D. n° 2011-366 du 4 avril 2011 portant autorisation d’un traitement automatisé de données à caractère personnel dénommé "Orchestra" relatif à la gestion des ressources humaines du ministère des affaires étrangères et européennes, JO 6 avr. 2011 ; D. n° 2011-397 du 13 avril 2011 autorisant la création d’un traitement de données à caractère personnel dénommé "Exécution des services commandés pour la réalisation des transfèrements et extractions" (ESCORTE), JO 15 avr. 2011 ; D. n° 2011-373 du 5 avril 2011 portant autorisation d’un traitement automatisé de données à caractère personnel des agents relevant du ministère de l’intérieur dénommé "Dialogue", JO 7 avr. 2011 ; D. n° 2011-632 du 7 juin 2011 portant création d’un traitement automatisé de données à caractère personnel, dénommé "Arhmonie", du personnel du service de santé des armées, JO 9 juin 2011 ; D. n° 2011-817 du 6 juillet 2011 portant création d’un traitement de données à caractère personnel relatif à la gestion informatisée des détenus en établissement (GIDE), JO 8 juill. 2011 ; D. n° 2011-1447 du 7 novembre 2011 portant création d’un traitement automatisé de données à caractère personnel dénommé "application des peines, probation et insertion" (APPI), JO 8 nov. 2011 ; D. n° 2011-1966 du 26 décembre 2011 portant création d’un traitement automatisé de données à caractère personnel dénommé "Orchestra Air" du personnel de l’armée de l’air, JO 28 déc. 2011 ; D. n° 2011-2096 du 30 décembre 2011 portant modification et création de traitements automatisés de données à caractère personnel relatifs au revenu de solidarité active et à l’allocation aux adultes handicapés, JO 31 déc. 2011 ; D. n° 2012-295 du 1er mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé "pensions militaires d’invalidité", JO 3 mars 2012 ; D. n° 2012-342 du 8 mars 2012 portant création d’un traitement automatisé de données à caractère personnel dénommé « SIRHEN » relatif à la gestion des ressources humaines du ministère de l’éducation nationale, de la jeunesse et de la vie associative et du ministère de l’enseignement supérieur et de la recherche, JO 10 mars 2012 (v. « Le chant des SIRHEN »). Et pour quelques arrêtés, en forme de rappel : Arr. 16 nov. 2011, "traitement relatif au suivi de l’usage des armes" : « Fichier TSUA ... dans la police » : Arr. 16 févr. 2012, "répertoire national des identifiants élèves, étudiants et apprentis" : « L’identifiant national élève (INE) : le fichage des étudiants aux fins statistiques ? » ; Arr. 21 sept. 2011, "gestion des étrangers en situation irrégulière" (GESI). « GESI : un fichier pour la gestion des étrangers en situation irrégulière » ; Arr. 20 févr. 2012, automatisation, registre des entrées et sorties, recours en matière de contravention (ARES) : « ARES, un fichier des procédures contraventionnelles »...