C. DES AMÉLIORATIONS POSSIBLES, À LA MARGE, POUR ASSURER LA PLEINE OPÉRATIONNALITÉ DU DISPOSITIF
Sans bouleverser ni l'organisation, ni le fonctionnement des « fiches S », des améliorations à la marge de l'outil apparaissent souhaitables pour assurer son efficacité et sa pleine opérationnalité.
1. Une nécessaire fluidification des échanges entre les services émetteurs et les utilisateurs du fichier
a) Des procédures de contrôle à simplifier
Les services utilisateurs du fichier des personnes recherchées font état de difficultés à mettre en oeuvre, dans la pratique, les consignes émises par les services de renseignement à l'égard des personnes fichées S .
Ils regrettent, en premier lieu, le manque de clarté des consignes émises par les services prescripteurs .
Jugées trop nombreuses et parfois peu explicites, les conduites à tenir seraient, pour une partie d'entre elles, difficiles à interpréter pour les agents procédant aux contrôles. Plusieurs personnes entendues par votre groupe de travail ont observé, à cet égard, que les conduites à tenir, mêlées à d'autres informations, manquaient généralement de visibilité, l'affichage prévu ne les faisant pas ressortir visuellement par rapport aux autres informations contenues dans les fiches.
Il a également été indiqué à votre rapporteur que certaines fiches S comportaient plusieurs conduites à tenir, ce qui représente une source de confusion supplémentaire pour les agents. Si, à l'occasion de son audition, la direction centrale de la police judiciaire a précisé que le fichier était conçu pour mettre en avant la conduite la plus contraignante, les services utilisateurs du fichier ont, dans leur majorité, souligné la difficulté à distinguer aisément les attentes des services prescripteurs.
En second lieu, les services utilisateurs déplorent l' insuffisante prise en compte de leurs contraintes opérationnelles .
A notamment été soulignée, à cet égard, la complexité à exécuter certaines consignes émises , le recueil d'informations se révélant souvent, dans la pratique, contradictoire avec la nécessité de ne pas attirer l'attention de la personne contrôlée.
À l'occasion de son déplacement à la direction aéroportuaire de la police aux frontières, sur le site de l'aéroport Paris-Charles-de-Gaulle à Roissy, votre groupe de travail a par ailleurs été informé des difficultés rencontrées par les agents de la police aux frontières dits de première ligne 67 ( * ) dans la mise en oeuvre des conduites à tenir inscrites dans les fiches S. Eu égard au volume important de personnes contrôlées et de « hits » détectés, ils se heurtent en effet à deux injonctions difficilement conciliables : la collecte de renseignements d'une part, la réduction des temps d'attente des passagers d'autre part.
De telles situations peuvent nuire à la qualité du contrôle effectué et des informations remontées aux services émetteurs des fiches.
Ces derniers déplorent d'ailleurs eux-mêmes des insuffisances dans la conduite des contrôles sur le terrain . À l'occasion de leur audition, les représentants de plusieurs d'entre eux ont ainsi indiqué qu'il leur arrivait parfois de constater des comportements inappropriés, voire négligents, de la part d'agents de police ou de gendarmerie effectuant les contrôles, susceptibles de mettre en péril la confidentialité du fichage.
S'il soulève des difficultés importantes pour les personnes fichées S à raison de leur radicalisation, le manque de discrétion parfois observé est également préjudiciable pour d'autres catégories de personnes fichées. Aurait par exemple été constatée, dans la période récente, une augmentation des recours effectués par des personnes appartenant aux mouvances d'ultragauche notamment pour des demandes d'effacement des données inscrites dans le fichier. Or ces recours conduisent à des procédures juridictionnelles, donc contradictoires, susceptibles d'obliger les services à révéler certaines de leurs informations et donc nuire à l'efficacité du renseignement.
Pour faciliter la réalisation des contrôles et à en améliorer la qualité, plusieurs personnes entendues par votre groupe de travail ont souligné qu'il pourrait utilement être procédé à une rationalisation des conduites à tenir et des consignes formulées dans les fiches S par les services émetteurs.
Eu égard aux similitudes observées entre certaines conduites à tenir, un travail pourrait, tout d'abord, être conduit par les services de renseignement, le cas échéant en collaboration avec la coordination nationale du renseignement de la lutte antiterroriste, pour réduire le nombre de conduites à tenir et en clarifier les termes .
Il apparaît également nécessaire d' améliorer l'affichage des conduites à tenir sur les fiches , de manière à en faciliter la lecture et la compréhension pour les services procédant aux contrôles. De telles évolutions permettraient de mieux cibler les contrôles et d'améliorer le service rendu aux services prescripteurs des fiches.
De l'avis de votre rapporteur, il serait également souhaitable de renforcer la formation des forces de sécurité intérieure , en particulier des agents de police et de gendarmerie de terrain, sur l'utilisation du fichier des personnes recherchées et, plus particulièrement, sur les fiches S, afin de limiter autant que faire se peut les comportements inadéquats, susceptibles de mettre en péril l'efficacité des services de renseignement.
b) Une harmonisation souhaitable des procédures de transmission d'informations
Les modalités de communication entre les services prescripteurs des fiches S et les services utilisateurs ne font, actuellement, l'objet d'aucune doctrine ni formalisation.
La transmission d'informations ne s'effectue pas par le fichier des personnes recherchées. Il appartient à chaque service prescripteur d'une fiche S de définir, dans le cadre des consignes qu'elle émet, les modalités de remontées des informations collectées à l'occasion d'un contrôle. Il est ainsi recouru, selon les cas, à la voie téléphonique ou à la remontée d'informations par messagerie électronique, voire les deux consécutivement. Le choix de l'une ou de l'autre de ces modalités est généralement fonction du profil de la personne fichée et de la conduite à tenir qui est définie. Ainsi, lorsqu'un service de renseignement souhaite pouvoir disposer d'une information immédiate sur un individu, il est probable qu'il privilégiera l'appel téléphonique.
Lorsqu'elle est effectuée par écrit, la remontée d'informations est en revanche rarement immédiate. Comme l'ont par exemple indiqué les représentants de la police aux frontières, les renseignements collectés par les agents à l'occasion d'un hit au FPR, et donc d'un contrôle de la personne, sont généralement transmis au service prescripteur sous la forme d'une « note de passage », dans un délai de 24 à 48 heures.
Plusieurs services utilisateurs entendus, en particulier la police aux frontières et la gendarmerie nationale, ont déploré cette absence d'harmonisation des modalités de communication entre services prescripteurs et services utilisateurs , estimant qu'elle était source de confusion pour les agents.
A également été regrettée l'absence d'« automatisation » dans la remontée des informations du contrôle : l'outil ne permettant pas l'information automatique du service prescripteur en cas de découverte d'une personne fichée S (« un hit »), il appartient à l'agent, lorsqu'il est en mesure de le faire, d'informer le service prescripteur de la fiche.
Au-delà des difficultés rencontrées par les services utilisateurs, votre rapporteur s'interroge sur l'efficience d'un tel système . L'absence de procédures établies, l'hétérogénéité des pratiques de transmission d'informations et le caractère exclusivement humain de la remontée d'informations sont en effet autant de paramètres qui augmentent les risques d'erreur ou de « perte en ligne » dans la transmission du renseignement.
Face à ces constats, il apparaît utile qu'une réflexion soit engagée, en collaboration entre les services prescripteurs et les services utilisateurs, sur l'amélioration des modalités de transmission des informations collectées. Votre rapporteur estime souhaitable a minima , tant pour simplifier la tâche des services utilisateurs que pour garantir la qualité des renseignements transmis, qu' une doctrine et des procédures communes à l'ensemble des services soient établies.
Pourrait également être mise à l'étude la création, au sein du FPR, d'un module spécifique dédié à la transmission des informations collectées à l'occasion d'un contrôle . Un tel dispositif serait, sans aucun doute, préférable à l'utilisation de la messagerie électronique. Il pourrait en outre permettre aux services de définir à l'avance un certain nombre de champs à remplir, afin de guider les agents chargés des contrôles dans la collecte tout autant que dans la remontée d'informations.
2. Un effort souhaitable en matière de fiabilisation et de confidentialité des informations enregistrées
a) Des efforts à conduire pour améliorer la fiabilité des informations saisies.
Les services utilisateurs du FPR ont fait part à votre groupe de travail d'une difficulté récurrente concernant le manque de fiabilité des données inscrites dans le fichier.
En principe, toute inscription au FPR, a fortiori d'une fiche S, doit être précédée d'une recherche préalable dans le fichier afin de vérifier s'il n'existe pas déjà une entrée concernant la personne concernée par la fiche. Force est de constater que ce mécanisme ne prévient pas contre l'inscription de deux fiches identiques ou similaires portant sur le même individu, dont le patronyme peut être orthographié plus ou moins différemment.
Un traitement des homonymes ou la possibilité d'une recherche en phonétique pourraient être de nature à prévenir l'inscription de fiches différentes concernant la même personne.
De manière générale, les erreurs introduites dans le FPR sont difficilement corrigées en l'absence de croisement avec des données authentifiant une identité, par exemple le fichier national des empreintes génétiques (FNAEG) ou le casier judiciaire.
D'autres informations peuvent faire défaut : ainsi, les adresses sont souvent manquantes ou erronées. Ces défauts peuvent être justifiés dans certains cas : au regard des finalités du FPR, il est compréhensible qu'un service demandeur inscrive une fiche S concernant une personne dont il ignore la localisation, précisément aux fins d'accéder à cette information lors de contrôles routiers fortuits. Néanmoins, il arrive également que des fiches S concernant des individus résidant en France soient renouvelées, d'année en année, sans que les informations contenues dans la fiche ne fassent l'objet d'une réelle réévaluation et d'une mise à jour.
Ce défaut d'actualisation des fiches S entraîne au moins deux conséquences dommageables.
Sur le plan opérationnel, le faible taux de mise à jour des informations, notamment des photographies, est susceptible d'allonger la durée des contrôles et donc d'en limiter l'efficacité.
Sur le plan des libertés publiques, des erreurs de saisie ou des données anciennes peuvent conduire les autorités administratives à émettre un avis négatif lors d'un « criblage » préalable à un recrutement ou à l'octroi d'un titre de séjour.
Enfin, certains choix en matière d'architecture du réseau des traitements automatisés de données concourent à affaiblir la fiabilité des données consultées. En effet, certaines interconnexions, par exemple entre le FPR et la base API-PNR, reposent sur une « base miroir » du FPR, soit une copie totale ou partielle du « vrai » FPR. Ce choix de répliquer les données dans une « base miroir », par opposition à une architecture intégralement centralisée et sécurisée des systèmes de traitements automatisés de données, facilite les consultations sur le plan ergonomique mais ne permet plus une actualisation en temps réel des données, seulement des mises à jour ponctuelles sur la base d'une « extraction » manuelle de la base originelle. Dès lors, les interrogations de ces fichiers peuvent se baser sur des données obsolètes et entraîner des « faux positifs ».
b) Une traçabilité de l'accès aux fiches S, et donc une confidentialité de celles-ci, qui reste perfectible
En application de l'article 8 du décret n° 2010-569 du 28 mai 2010, toute consultation du FPR fait l'objet d'un enregistrement comprenant l'identification du consultant, la date, l'heure et l'objet de la consultation. Ces informations sont conservées pendant un délai de cinq ans.
Cette traçabilité est complétée par la nécessité, en principe, d'une authentification préalable de chaque agent accédant au FPR. Néanmoins, la procédure d'authentification des agents, via Cheops 68 ( * ) , repose essentiellement sur l'utilisation d'un matricule et d'un mot de passe de huit caractères et non sur une authentification par la carte professionnelle.
La multiplication de publications de fiches S dans la presse, sur les réseaux sociaux ou, parfois même, la fourniture à des fins lucratives de telles informations à des délinquants ou à des criminels 69 ( * ) doivent inviter à renforcer les exigences en matière de sécurisation de l'accès aux fiches pour une meilleure confidentialité .
De plus, les services inscripteurs des fiches S n'ont pas accès à l'identité de l'ensemble des agents ayant consulté telle fiche. Seule une enquête disciplinaire ou judiciaire sur des divulgations graves d'informations contenues dans des fiches S peut conduire la direction centrale de la police judiciaire à communiquer, sur réquisition, l'identité des personnes ayant consulté telle ou telle fiche.
Votre rapporteur s'inquiète néanmoins des consultations des fiches S du FPR réalisées en dehors des strictes nécessités de service et invite à une plus grande traçabilité et à une plus grande transparence en la matière . Ainsi, les services inscripteurs pourraient être informés via une mention automatique sur la fiche de toutes les consultations de ladite fiche et de l'identité de l'agent en question.
Par ailleurs, la détermination de profils types associés à des référentiels de droits d'accès permettrait de mettre en oeuvre un système de détection et d'alerte concernant les accès non justifiés : par exemple, il apparaîtrait anormal qu'un agent chargé de la sécurité publique dans un département consulte un nombre particulièrement élevé de fiches S, dont la majorité ne sont pas localisés dans son département. Pourrait également constituer une anomalie le fait pour un agent d'une sous-préfecture chargé de l'instruction d'un nombre très limité de demandes de titres d'identité d'accéder très régulièrement à des fiches S.
Votre rapporteur appelle enfin au renforcement de la sécurisation du FPR , concernant plus particulièrement les données intéressant « la sûreté de l'État, la défense ou la sécurité publique ». Il rappelle qu'en application de l'article 70-15 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés , créé par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles , aux fins de transposer la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 70 ( * ) , le FPR devra faire l'objet, au plus tard le 6 mai 2026 71 ( * ) , d'un journal des opérations de consultation et de communication permettant d'en établir le motif, la date, l'heure, voire même l'identité des personnes qui consultent les données ou qui en sont destinataires. Ce journal, qui pourra être utilisé aux fins de « vérification de la licéité du traitement, d'autocontrôle, de garantie de l'intégrité et de la sécurité des données » et devra être mis à disposition de la CNIL, exige une adaptation informatique du FPR.
*
* *
Telles sont ainsi les raisons pour lesquelles il importe de démythifier les fiches S. Simples outils de collecte d'informations, elles ne constituent ni un indicateur de dangerosité ni un outil de suivi de la radicalisation. Dès lors, elles ne peuvent pas fonder des décisions administratives ou judiciaires.
L'efficacité des fiches S, et plus largement de nos outils de renseignement, en particulier en matière de prévention du terrorisme, repose essentiellement sur la confidentialité de leur usage, qu'il convient de préserver.
Votre rapporteur souligne que les fiches S s'inscrivent dans un arsenal de mesures de surveillance, passives et actives. Force est toutefois de constater que l'évolution de la menace terroriste, essentiellement de nature endogène, bouleverse les cadres de référence de nos services de renseignement, notamment eu égard à l'anticipation des passages à l'acte. Les voies d'un renforcement de l'efficacité de l'action de nos services de renseignement en matière de lutte antiterroriste résident désormais prioritairement dans une évaluation plus fine des signaux faibles et dans la définition de protocoles de surveillance adaptés à ces nouvelles menaces.
* 67 Les agents de la police aux frontières de première ligne sont chargés de procéder aux vérifications des documents d'identité et de voyage ainsi que des obligations prévues par la réglementation transfrontalière aux points de passage frontaliers.
* 68 Cheops est un portail sécurisé permettant d'accéder à de multiples applications, par exemple le FPR mais également des applications d'enregistrement vidéo des gardes à vue ou de comptes-rendu d'enquêtes.
* 69 En septembre 2018, un agent de la DGSI surnommé « Haurus » a été mis en examen pour avoir vendu des informations consultées notamment dans le FPR (par exemple, les conduites à tenir en cas de contrôle de tel individu).
* 70 Directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
* 71 Cette obligation entre en vigueur à une date fixée par décret et au plus tard le 6 mai 2023 si une telle obligation exigerait des efforts disproportionnés ou le 6 mai 2026 lorsque, à défaut d'un tel report, il en résulterait de graves difficultés pour le fonctionnement du système de traitement automatisé.