Délibération n° 2025-103 du 23 octobre 2025 portant avis sur un projet de décret portant autorisation d'un traitement automatisé de données à caractère personnel dénommé « infoParquet »
| Numéro | 2025-103 |
| Date | jeudi 23 octobre 2025 |
| Nature | Délibération |
| Type d'acte | Avis |
| État | En vigueur |
| Référence | CNILTEXT000053488958 |
|
N° de demande d’avis : 25010858 |
Thématiques : transmission de signalements, plaintes, dénonciations et procès-verbaux ; article 40 du code de procédure pénale |
|
Organisme(s) à l’origine de la saisine : ministère de la justice |
Fondement de la saisine : Article 31 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés |
L’essentiel :
1. Le traitement "infoParquet" est une plateforme de transmission centralisée visant à faciliter la communication des signalements et des plaintes par l’administration ou toute personne morale chargée d’une mission de service public préalablement conventionnée aux autorités judiciaires. Ses finalités sont déterminées, explicites et légitimes.
2. La CNIL relève la difficulté qui s’attache à l’énumération anticipée et exhaustive de toutes les catégories de données à caractère personnel susceptibles d’être collectées à partir de signalements de natures très variées et de documents joints susceptibles de contenir de nombreuses données.
3. D’une part, elle considère que le décret devrait préciser la typologie des "données relatives à l’identité et à l’identification" pouvant être traitées.
4. D’autre part, elle accueille favorablement la précision, au niveau du décret, de la possible collecte incidente de "toute information ou donnée à caractère personnel" susceptible d’apparaitre dans les documents transmis, dans la mesure où des garanties sont en l’espèce mises en place pour prévenir tout traitement excessif.
___________________
La Commission nationale de l'informatique et des libertés,
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ("loi informatique et libertés"), notamment son article 31 ;
Après avoir entendu le rapport de M. Vincent Lesclous, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. La saisine
A. Le contexte
Le droit en vigueur prévoit plusieurs cas dans lesquels une personne morale ayant une mission de service public est amenée, de manière obligatoire ou facultative, à dénoncer des faits auprès du ministère public compétent. Actuellement, une partie des transmissions de signalements et de plaintes enregistrés par l’administration et les autorités dotées de pouvoirs de police judiciaire s’effectue par voie postale.
Or, conformément à l’article D.589 du code de procédure pénale (CPP), les fonctionnaires et agents exerçant des pouvoirs de police judiciaire peuvent établir, convertir et transmettre à l’autorité judiciaire des pièces de procédure sous format numérique, sans nécessité d’un support papier.
Issu de la loi n° 2019-222 du 23 mars 2019 de programmation et de réforme pour la justice, le programme "Procédure pénale numérique" (PPN) a été déployé afin de contribuer à la transformation numérique de la justice. L’objectif de ce programme est de simplifier le traitement des procédures pénales en procédant à leur dématérialisation et de faciliter la collaboration de l’ensemble des acteurs de la chaîne pénale. Conduit conjointement par les ministères de l’intérieur et de la justice, le programme PPN est à l’origine de la création du traitement "infoParquet".
B. L’objet de la saisine
La CNIL a été saisie pour avis, sur le fondement de l’article 31 de la loi du 6 janvier 1978, par le ministère de la justice d’un projet de décret portant autorisation d’un traitement automatisé de données à caractère personnel dénommé "infoParquet". Dans la mesure où ce traitement a pour vocation de faciliter la détection et la répression des infractions par l’autorité judiciaire, il relève des dispositions du titre III de la loi "informatique et libertés".
Le traitement "infoParquet" est conçu comme un canal de transmission numérique centralisé qui s’adresse à toute autorité ou personne en charge d’une mission de service public, préalablement autorisée par convention, amenée à effectuer un signalement au parquet. Ces conventions, conclues entre l’organisme et le ministère de la justice ou un tribunal judiciaire, précisent les cas d’usage du traitement ainsi que leur fondement juridique.
II. L’avis de la CNIL
A. Sur les finalités du traitement
L’article 1er du projet de décret prévoit que le traitement "infoParquet" a pour finalités :
La CNIL estime que les finalités du traitement sont déterminées, explicites et légitimes. Dans la mesure où elles sont rappelées au sein des conventions qui lient l’organisme au ministère, la Commission considère qu’elles sont exprimées suffisamment clairement aux utilisateurs du traitement.
B. Sur les catégories de données traitées
L’article 2 du projet de décret liste les données à caractère personnel et les informations pouvant être enregistrées dans le traitement en distinguant les catégories de personnes auxquelles elles se réfèrent (mis en cause, victimes, témoins éventuels des faits ou personnes susceptibles d’apporter des éléments utiles à la dénonciation, personnes utilisatrices du traitement).
a. Concernant la minimisation des données collectées
Les données pouvant être enregistrées dans le traitement sont issues :
Il résulte de ce mode de collecte, en particulier l’alimentation du traitement par des pièces jointes, une impossibilité de fixer, au niveau du décret, une liste exhaustive des catégories de données susceptibles d’être traitées.
En premier lieu, la CNIL relève qu’il est particulièrement difficile d’identifier à l’avance tous les types de données à caractère personnel susceptibles d’être traitées dans le cadre de la transmission de signalements de natures très variées, provenant de différentes autorités et susceptibles de concerner les faits les plus divers (CNIL, SP, 27 mai 2021, avis sur projet de décret, LRPGN, n° 2021-061, publié).
En deuxième lieu, la catégorie des "données relatives à l’identité et à l’identification des personnes physiques et morales" est susceptible de faire l’objet d’une interprétation large et de couvrir de nombreuses catégories de données (v. CNIL, SP, 10 novembre 2022, avis sur projet de décret, traitements de gestion des traces, n° 2022-110, publié). A cet égard, la CNIL :
En troisième lieu, s’agissant des pièces de procédure et des documents joints aux signalements, le II de l’article 2 du projet de décret autorise l’enregistrement de "toute information ou donnée à caractère personnel" susceptible d’y apparaître. Sur ce point, le ministère précise que la liste des données figurant au I de l’article 2 du projet de décret a été élaborée en s’inspirant d’une pratique antérieure de transmission de signalements aux différents parquets par les autorités compétentes. Le I de l’article 2 vise, par conséquent, un champ plus large que les seules données renseignées dans le formulaire et peut permettre de couvrir une partie des données contenues dans les documents.
Bien que la mention figurant au II de l’article 2 du projet de décret ne précise pas les catégories de données susceptibles d’être traitées, la CNIL accueille favorablement cette rédaction au regard des contraintes précédemment évoquées et de la mise en place de garanties, notamment le fait que ces données seront collectées sans être exploitées dans le cadre du traitement et qu’une durée de conservation réduite est prévue pour les documents afférents (voir infra, point C).
Au regard du caractère non limitatif du nombre de pièces pouvant être transmises, la CNIL prend acte de la modification du modèle de convention par le ministère afin d’alerter les organismes sur le fait que les données que ces pièces contiennent doivent s’avérer pertinentes au regard des finalités du traitement.
b. Concernant la collecte de données sensibles
Le projet de décret autorise l’enregistrement de données sensibles au sens de l’article 6 de la loi "informatique et libertés" dans la stricte mesure où ces données sont nécessaires à la poursuite des finalités définies par le projet de décret.
Ces données sont susceptibles d’être collectées via les pièces jointes versées dans le traitement.
En revanche, l’espace "commentaire" contenu dans le formulaire doit, selon les précisions apportées, exclusivement permettre aux organismes de transmettre un message à l’autorité judiciaire pour la bonne gestion du dossier et n’a donc pas vocation à contenir de données sensibles.
Dans cette perspective, l’espace "commentaire", qui équivaut à un champ libre, demeure facultatif, limité à 500 caractères et sera accompagné d’un message d’avertissement permanent visant à limiter la collecte de données à caractère personnel.
Enfin, il est prévu qu’une infobulle, à la première connexion par l’utilisateur, indique que des données sensibles ne peuvent être enregistrées dans le traitement que dans la stricte mesure où elles sont nécessaires à la poursuite de ses finalités.
La CNIL accueille favorablement la mise en place de ces garanties visant à limiter la collecte de données sensibles.
C. Sur les durées de conservation
Le projet de décret fixe les durées de conservation maximales des données enregistrées dans le traitement au regard des nécessités pratiques de leur transmission à l’autorité judiciaire. Cette transmission est assurée via une mise en relation avec le traitement "Dossier pénal numérique" (DPN).
La durée de conservation des données enregistrées est d’un mois, à compter de la création d’une nouvelle procédure, ce délai étant justifié par les contraintes de la transmission à l’autorité judiciaire.
La CNIL estime cette durée de conservation adaptée aux besoins de modification des signalements effectués par les organismes conventionnés et, ainsi, nécessaire aux finalités du traitement.
Après transmission des données à l’autorité judiciaire, les pièces jointes deviennent inaccessibles à tous les utilisateurs mais sont conservées un mois en base active avant d’être définitivement supprimées du traitement. Les données contenues dans le formulaire sont, quant à elles, conservées en fonction des besoins de la procédure.
Le ministère justifie la nécessité de conserver les données du formulaire par le souci, pour les organismes concernés, d’assurer un suivi précis des suites judiciaires apportées à leur signalement.
La CNIL prend acte de ce que les durées de conservation des données du formulaire ne peuvent pas être précisément ni uniformément définies compte tenu de la variété des signalements effectués et de la diversité des procédures qui en découle. Bien que le périmètre de ces informations soit plus restreint que celui des pièces jointes, elle recommande au ministère de veiller à une vérification régulière des données afin de procéder à leur effacement en fonction des suites judiciaires.
Enfin, dans l’attente de la mise en œuvre effective de la suppression automatique des données enregistrées dans le traitement, le ministère précise qu’elles seront supprimées manuellement.
La CNIL prend acte de l’engagement du ministère de mettre en œuvre, selon le calendrier détaillé dans l’analyse d’impact relative à la protection des données (AIPD), un mécanisme de suppression automatique des données à l’expiration des délais indiqués dans le projet de décret.
D. Sur les accédants au traitement
Le projet de décret prévoit que seuls peuvent accéder au traitement les agents individuellement désignés, spécialement habilités appartenant aux autorités compétentes et expressément conventionnées. L’accès aux données et aux fonctionnalités du traitement sera limité selon les missions et le besoin d’en connaître.
Il ressort des précisions apportées que les accès seront déterminés et encadrés par des conventions conclues avec des acteurs variés et potentiellement très nombreux. Dans ce contexte, un comité de suivi trimestriel aura vocation à procéder à la vérification régulière des habilitations.
La CNIL accueille favorablement ces garanties de suivi qui permettent de limiter les risques de multiplication d’accès illégitimes à l’applicatif.
E. Sur les mesures de sécurité
Concernant l’authentification des utilisateurs, la CNIL prend acte de l’engagement du ministère de mettre en œuvre une authentification dite de vérification en deux étapes, permettant de limiter le risque d’usurpation d’identité. La CNIL invite néanmoins le ministère à s’interroger sur la possibilité du déploiement à terme d’une solution d’authentification multifacteur, au-delà de la solution en deux étapes.
En outre, la CNIL prend acte de la confirmation du ministère concernant la mise en place d’une journalisation applicative.
Elle rappelle néanmoins sa recommandation sur le déploiement d’une mesure technique de surveillance active de ces journaux applicatifs, en vue de permettre la détection d’actions malveillantes au sein du traitement.
Enfin, la CNIL prend acte de l’engagement du ministère de mettre en œuvre le chiffrement des bases de données du traitement.
Elle rappelle la nécessaire mise en œuvre de ces différents engagements au plus tôt afin de sécuriser le traitement projeté.
La présidente,
M.-L. Denis
Délibération n° 2026-026 du 19 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique relatif à la mise en oeuvre d’une analyse discursive et interactionnelle en intervention précoce en psychiatrie
L'Université de Montpellier Paul-Valéry a sollicité un avis de la CNIL sur un projet de recherche en psychiatrie impliquant le traitement de données sensibles. La Commission a émis un avis favorable, assorti de recommandations pour atténuer les risques de réidentification, notamment par la pseudonymisation et la suppression des données non pertinentes après analyse. Elle rappelle également l'obligation d'informer les personnes concernées et de vérifier l'application de la dérogation prévue pour la recherche scientifique.
19/03/2026
Délibération n° HABS-2026-001 du 19 mars 2026 habilitant des agents de la Commission nationale de l’informatique et des libertés à établir un rapport en application du cinquième alinéa de l'article 22-1 de la loi n° 78-17 du 6 janvier 1978 modifiée
La CNIL, en tant qu'organisme concerné, a adopté une délibération interne portant habilitation. Cette décision vise à habiliter vingt-cinq agents spécifiques de sa direction des contrôles et des sanctions à établir des rapports dans le cadre de ses pouvoirs de contrôle. Les habilitations sont accordées pour une durée de cinq ans et remplacent une précédente délibération. Aucune sanction n'est mentionnée, cette délibération étant un acte d'organisation interne de l'autorité.
19/03/2026
Délibération n° 2026-023 du 12 mars 2026 portant avis sur un projet de loi renforçant la sécurité du quotidien
La CNIL émet un avis sur un projet de loi du ministère de l'Intérieur visant à renforcer la sécurité du quotidien. Elle relève plusieurs manquements ou risques concernant l'élargissement de l'usage des caméras individuelles à des acteurs privés, l'expérimentation prolongée de traitements algorithmiques sur vidéosurveillance et drones, et la généralisation des dispositifs LAPI avec des durées de conservation allongées. La Commission souligne la nécessité de strictes limites, d'un meilleur encadrement et du respect du principe de proportionnalité pour ces dispositifs intrusifs, afin de protéger les libertés individuelles.
12/03/2026
Délibération n° 2026-019 du 05 mars 2026 portant avis sur un projet de traitement à des fins de recherche scientifique dont l’objectif est d’étudier l’état du droit de la filiation procréative des personnes transgenres (PROTRANS)
L'Université Lumière Lyon 2 a sollicité un avis de la CNIL pour un projet de recherche scientifique sur la filiation procréative des personnes transgenres, impliquant le traitement de données sensibles. La CNIL émet un avis favorable mais formule des recommandations, notamment sur la nécessité de clarifier la répartition des responsabilités entre les universités co-responsables du traitement. Elle souligne également les risques de collecte incidente de données lors des entretiens et de réidentification des personnes, en raison du faible nombre de participants et de la collecte d'informations telles que la commune de naissance dans les décisions de justice.
05/03/2026