Fichiers de police judiciaire et protection des données personnelles : le contrôle grandissant de la chambre criminelle (2024-2026)
I. L’architecture tentaculaire des fichiers de police judiciaire et les tensions avec la protection des données personnelles
A. Le paysage fragmenté des traitements de données à finalité répressive
Le code de procédure pénale consacre, depuis la loi du 14 mars 2011 d’orientation et de programmation pour la performance de la sécurité intérieure, un arsenal de traitements automatisés de données à caractère personnel mis à la disposition des services d’enquête. Le fichier de traitement des antécédents judiciaires (TAJ), issu de la fusion des anciens fichiers STIC et JUDEX par le décret du 17 décembre 2012, en constitue la pièce maîtresse. Il recense, selon le dernier rapport de la Commission nationale de l’informatique et des libertés, plusieurs dizaines de millions de fiches concernant tant les personnes mises en cause que les victimes d’infractions, pour des durées de conservation pouvant atteindre quarante années pour les crimes les plus graves.
À ce fichier central s’ajoutent le fichier des personnes recherchées (FPR), le fichier automatisé des empreintes digitales (FAED) qui recense près de sept millions d’empreintes, le fichier national automatisé des empreintes génétiques (FNAEG) dont le périmètre n’a cessé de s’étendre depuis sa création par la loi du 17 juin 1998, le système de lecture automatisée des plaques d’immatriculation (LAPI), le système national des permis de conduire (SNPC) et le fichier de gestion des antécédents et des suites judiciaires (GASPARD). Chacun de ces traitements obéit à un régime juridique propre, défini par les articles 230-6 à 230-44 du code de procédure pénale et leurs décrets d’application respectifs.
L’architecture CHEOPS-NG (circulation hiérarchisée des enregistrements opérationnels de la police sécurisés), mise en oeuvre par l’arrêté du 19 octobre 2001, fédère ces applications au sein d’un portail unique, dont l’accès est conditionné à une habilitation générale délivrée par le ministère de l’intérieur. Cette fédération technique soulève une difficulté juridique majeure : l’habilitation au portail CHEOPS vaut-elle habilitation à chacun des fichiers qu’il agrège ? La chambre criminelle a répondu par la négative dans un arrêt de principe du 4 novembre 2025 qui constitue l’un des apports jurisprudentiels les plus significatifs de la période récente.
L’ampleur de ces traitements n’a cessé de croître. La loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur a étendu les possibilités de consultation du TAJ aux enquêtes administratives préalables au recrutement dans certains emplois sensibles, tandis que la loi du 13 juin 2025 visant à renforcer la lutte contre le narcotrafic a accru les interconnexions entre fichiers aux fins de détection des organisations criminelles. Cette expansion continue interroge, dans un État de droit, l’équilibre entre l’efficacité des investigations pénales et la protection des données personnelles des citoyens, dont le nombre de personnes fichées ne cesse d’augmenter sans qu’elles en aient nécessairement conscience.
La problématique revêt une acuité particulière dans le contentieux de la garde à vue et de l’instruction préparatoire, où les données collectées dans le cadre coercitif de l’enquête alimentent des traitements pérennes sans que la personne concernée dispose de voies de recours aisément mobilisables. La défense pénale doit désormais intégrer, dès le stade de la garde à vue, la perspective du devenir des données personnelles dans les fichiers de police, bien au-delà de l’issue immédiate de la procédure.
Le cadre européen exerce une pression normative croissante. La directive 2016/680 du 27 avril 2016, dite directive police-justice, transpose dans le champ répressif les principes du Règlement général sur la protection des données : limitation des finalités, minimisation des données, durées de conservation proportionnées, droit d’accès et de rectification. Le Conseil constitutionnel, dans sa décision n° 2011-625 DC du 10 mars 2011 relative à la loi LOPPSI 2, avait déjà posé les jalons du contrôle constitutionnel en exigeant que les données exploitées par le logiciel de reconnaissance faciale soient « nécessairement seulement celles obtenues au cours de la procédure en cours ». La Cour de justice de l’Union européenne, dans l’arrêt La Quadrature du Net du 6 octobre 2020, a imposé un contrôle juridictionnel préalable pour les ingérences graves dans les données de connexion, tandis que la Cour européenne des droits de l’homme a rappelé, dans l’arrêt Benedik c. Slovénie du 24 avril 2018, que la conservation des données relatives à l’identification des utilisateurs d’internet constitue une ingérence dans la vie privée devant être prévue par une loi accessible et prévisible.
B. Le droit à l’effacement à l’épreuve de la finalité répressive
Le droit à l’effacement des données personnelles constitue un droit fondamental, consacré par l’article 17 du RGPD pour les traitements de droit commun et par l’article 16 de la directive 2016/680 pour les traitements policiers et judiciaires. En matière de fichiers de police, l’article 230-8 du code de procédure pénale organise les modalités de rectification et d’effacement des données inscrites au TAJ, tandis que l’article R. 40-27 du même code fixe les durées de conservation en fonction de la nature et de la gravité des faits. Le dispositif est complété par les articles R. 40-24 à R. 40-28 qui régissent l’ensemble des opérations de collecte, de consultation et d’effacement.
La question la plus aiguë est celle de la survie des données personnelles après l’annulation de l’acte qui en a justifié l’enregistrement. Une garde à vue annulée par la chambre de l’instruction emporte-t-elle l’obligation d’effacer les données personnelles qui y ont été recueillies ? La chambre criminelle a tranché par une réponse négative, aux termes d’un arrêt publié au Bulletin le 27 janvier 2026 (pourvoi n° 25-85.550) :
« L’article 230-8 du code de procédure pénale ne prévoit pas l’effacement de plein droit des données personnelles dans un fichier d’antécédents judiciaires lorsque des pièces de la procédure à l’occasion de laquelle elles ont été recueillies ont été annulées. Il s’ensuit que de telles données demeurent, sauf décision des autorités compétentes, inscrites pour la durée prévue à l’article R. 40-27 du code de procédure pénale. »
La Cour étend à la matière des fichiers le principe de la circonscription des nullités, déjà affirmé par son arrêt du 4 novembre 2025 (pourvoi n° 25-80.688, publié au Bulletin) : il résulte de l’article 174 du code de procédure pénale que l’annulation d’un acte ou d’une pièce dans une procédure est circonscrite à celle-ci. L’annulation ne rejaillit donc pas sur les traitements automatisés qui en ont conservé la trace, ce qui conduit à une situation juridique paradoxale : une personne dont la garde à vue a été judiciairement annulée peut conserver des données dans un fichier de police pendant des décennies.
Cette solution, rigoureuse sur le plan de l’orthodoxie procédurale, suscite néanmoins une critique sérieuse au regard de l’article 8 de la Convention européenne des droits de l’homme : le maintien d’une donnée personnelle dont le support procédural a été annulé caractérise une ingérence continue dans la vie privée, dont la légitimité au regard du but poursuivi n’est pas automatiquement acquise. La Commission nationale de l’informatique et des libertés a d’ailleurs relevé, dans son rapport annuel 2025, que les demandes d’effacement du TAJ connaissent une augmentation constante, reflet d’une sensibilité sociale accrue à la question du fichage policier.
La Cour de cassation elle-même semble mesurer la tension. Dans un arrêt remarqué du 10 juin 2026 (pourvoi n° 25-84.293), elle a censuré, pour défaut de motivation, une ordonnance du président de la chambre de l’instruction qui avait rejeté une demande d’effacement des données du TAJ sans procéder au contrôle de proportionnalité exigé par la Convention européenne :
« En se déterminant ainsi, sans vérifier, comme cela lui était demandé, la proportionnalité du maintien de ces données au regard de l’article 8 de la Convention européenne des droits de l’homme, le président de la chambre de l’instruction a méconnu le texte susvisé. »
Cet arrêt marque une avancée significative. Il impose au juge saisi d’une demande d’effacement un examen concret de la proportionnalité du maintien des données, et non un simple renvoi à la finalité abstraite du fichier. La pesée des intérêts devient un office juridictionnel à part entière : le juge doit confronter la gravité des faits à l’origine de l’enregistrement, l’ancienneté de ceux-ci, l’impact concret sur la vie professionnelle et personnelle du requérant, et l’absence de mention de l’intéressé au bulletin n° 2 du casier judiciaire. Cette méthodologie, empruntée à la Cour européenne des droits de l’homme, enrichit substantiellement l’office du juge pénal en matière de données personnelles.
II. La réponse jurisprudentielle : un contrôle juridictionnel renforcé sur l’accès et l’exploitation des fichiers
A. Le verrouillage de l’habilitation des agents consultants
L’accès aux fichiers de police judiciaire est subordonné, en vertu de l’article 15-5 du code de procédure pénale, à une habilitation spéciale et individuelle des agents qui les consultent. Ce texte, issu de la loi du 3 juin 2016 renforçant la lutte contre le crime organisé, dispose que « l’absence de mention de l’habilitation spéciale et individuelle permettant à un personnel de procéder à la consultation de traitements au cours d’une enquête ou d’une instruction, dont la réalité peut être contrôlée à tout moment par un magistrat, à son initiative ou à la demande d’une personne intéressée, n’emporte pas, par elle-même, nullité de la procédure ».
La portée de cette habilitation a donné lieu à un contentieux nourri, dont l’enjeu pratique est considérable : une consultation irrégulière d’un fichier nominatif peut entraîner la nullité des actes dont elle constitue le support nécessaire, privant ainsi l’accusation d’éléments de preuve déterminants. La défense pénale a compris l’intérêt stratégique de cette voie de contestation, particulièrement dans les dossiers de criminalité organisée où les recoupements entre fichiers constituent le coeur de l’enquête.
La chambre criminelle a considérablement renforcé son contrôle sur ce point par un arrêt du 4 novembre 2025 (pourvoi n° 25-81.899, publié au Bulletin), qui constitue désormais la décision de référence en la matière. Dans cette affaire, les enquêteurs avaient consulté le TAJ et le FPR en se prévalant de leur habilitation au portail CHEOPS. La chambre de l’instruction avait validé cette consultation au motif que l’habilitation CHEOPS, qui fédère l’ensemble des applications du ministère de l’intérieur, emportait nécessairement habilitation à chacun des fichiers agrégés. La Cour de cassation casse cette analyse en des termes qui ne laissent aucune place à l’ambiguïté :
« Il ne peut être déduit de la circonstance que les agents ayant procédé aux consultations litigieuses étaient autorisés à accéder au portail sécurisé CHEOPS qu’ils étaient spécialement et individuellement habilités à consulter spécifiquement les fichiers TAJ et FPR, de sorte qu’il appartenait à la chambre de l’instruction, le cas échéant en ordonnant un supplément d’information, de vérifier la réalité d’une telle habilitation spéciale et individuelle pour chacun de ces fichiers. »
Cet arrêt consacre une exigence d’habilitation granulaire, fichier par fichier. L’accréditation générale au portail fédérateur ne saurait tenir lieu d’habilitation spéciale pour chacun des traitements qu’il agrège. Il impose également à la chambre de l’instruction une obligation de vérification effective, au besoin par un supplément d’information, lorsque la défense conteste la régularité des consultations. Cette obligation pèse sur le juge d’instruction comme sur la chambre de l’instruction : le magistrat ne peut se contenter de présumer la régularité des accès, il doit en établir positivement l’existence par des vérifications concrètes.
La même rigueur se retrouve dans le contrôle de l’habilitation des agents recourant à la reconnaissance faciale via le TAJ. Dans un arrêt du 9 octobre 2024 (pourvoi n° 24-80.871, publié au Bulletin), la chambre criminelle a jugé que les articles 230-6 et suivants du code de procédure pénale, qui permettent aux enquêteurs de recourir à cette technique sans autorisation préalable d’un magistrat, sont conformes à la Convention européenne, mais à une double condition : d’une part, que seules les données des personnes déclarées coupables des infractions les plus graves puissent être contenues dans le fichier dont dépend l’outil utilisé ; d’autre part, et c’est le point essentiel, que « le juge, saisi par voie de requête en nullité, puisse vérifier que seuls des agents spécialement habilités à cette fin ont accédé à ce fichier ». La validation de l’outil technique est ainsi subordonnée à l’effectivité du contrôle juridictionnel de l’habilitation des agents qui le mettent en oeuvre.
Cette jurisprudence s’inscrit dans une ligne continue de la chambre criminelle en matière de fichiers. Dès le 12 avril 2023, dans un arrêt publié au Bulletin (pourvoi n° 22-85.944), la Cour avait jugé que le visa apposé sur les résultats de la consultation du système LAPI par un agent habilité « implique nécessairement que cet agent a lui-même consulté le fichier pour en extraire les renseignements remis à l’auteur de la réquisition ». Plus récemment, le 12 mai 2026 (pourvoi n° 25-87.407, publié au Bulletin), elle a rappelé que la personne mise en examen qui utilise un véhicule volé n’a pas qualité pour agir en annulation du procès-verbal relatant l’identification de ce véhicule par consultation du système LAPI, n’ayant aucun droit sur celui-ci. L’arrêt du 13 janvier 2026 (pourvoi n° 24-82.422, publié au Bulletin) applique un raisonnement analogue en matière de visites domiciliaires de l’Autorité de la concurrence : le salarié a seul qualité pour contester les saisies portant atteinte à sa vie privée ou à la protection de ses données personnelles, à l’exclusion de la société qui l’emploie.
B. Le contrôle de proportionnalité comme boussole du juge pénal face aux ingérences numériques
Le second mouvement jurisprudentiel majeur réside dans l’émergence d’un contrôle de proportionnalité substantiel, qui transcende le seul formalisme des habilitations pour s’attacher à l’équilibre entre l’ingérence numérique et les droits fondamentaux. Ce contrôle, qui irrigue désormais l’ensemble du contentieux des fichiers et des mesures d’investigation numérique, constitue une évolution notable de l’office du juge pénal.
La chambre criminelle a, dans un arrêt du 18 novembre 2025 (pourvoi n° 25-82.785, publié au Bulletin), posé une règle structurante en matière de mesures techniques d’investigation. Elle énonce qu’à l’expiration de la durée autorisée pour une mesure d’interception de correspondances ou de géolocalisation en temps réel, la mesure doit cesser, « la poursuite de la mesure au-delà de la période autorisée, suivie de la reprise de celle-ci, même autorisée par le magistrat compétent, portant nécessairement atteinte au droit au respect de la vie privée de la personne concernée ». La Cour impose ainsi une discontinuité effective des mesures intrusives : le simple renouvellement formel, fût-il rétroactif, ne suffit pas à purger l’atteinte résultant d’un fonctionnement ininterrompu du dispositif technique. Il n’en va autrement qu’en cas de contraintes techniques dûment établies par les pièces de la procédure ou si celles-ci font apparaître que le dispositif a été effectivement désactivé à l’expiration de la durée autorisée.
En matière d’exploitation des données contenues dans les téléphones portables saisis, l’arrêt du 19 mai 2026 (pourvoi n° 25-87.563, publié au Bulletin) a validé le principe selon lequel « en donnant régulièrement son assentiment, en application de l’article 76 du code de procédure pénale, à la fouille de ses effets personnels et à la saisie de tout objet utile à la manifestation de la vérité que ceux-ci pourraient contenir, une personne consent à l’exploitation des données à caractère personnel contenues dans les téléphones saisis à cette occasion, y compris par le recours à une personne qualifiée sur le fondement de l’article 77-1 de ce code ». Cette jurisprudence élargit la portée du consentement donné lors de la perquisition à l’exploitation technique subséquente, y compris par des experts extérieurs. Elle confère au consentement initial, pourtant donné dans le cadre contraignant d’une mesure coercitive, une portée qui dépasse substantiellement l’objet immédiat de la fouille.
L’arrêt du 10 février 2026 (pourvoi n° 25-80.486) complète ce dispositif en soumettant l’exploitation des données du SNPC et des traitements automatisés de la sécurité intérieure à un cadre juridique strict, sous le visa combiné des articles 15-5, 230-10 et R. 40-28 du code de procédure pénale. La Cour vérifie la conformité de chaque consultation à l’habilitation de l’agent, à la finalité du traitement et aux exigences de l’arrêté d’autorisation.
Dans le champ spécifique de la protection des correspondances de l’avocat, la chambre criminelle a rendu le 23 juin 2026 (pourvoi n° 25-84.652, publié au Bulletin) un arrêt qui éclaire d’un jour nouveau l’articulation entre secret professionnel et données personnelles. La Cour y rappelle que le magistrat qui effectue une perquisition au cabinet d’un avocat veille à ce qu’aucun document relevant de l’exercice des droits de la défense ne soit saisi, en précisant que cette protection s’apprécie au regard de la procédure dans laquelle la perquisition a été autorisée, et non de la seule procédure dans laquelle l’avocat perquisitionné intervient effectivement. Cette approche fonctionnelle du secret professionnel rompt avec une conception strictement procédurale et protectrice des droits de la défense, en garantissant l’inviolabilité des correspondances même lorsqu’elles se rattachent à un dossier distinct.
L’arrêt du 10 juin 2026 (précité, n° 25-84.293) sur le contrôle de proportionnalité du maintien des données au TAJ s’inscrit dans la même dynamique de fond. Il impose au juge de confronter la durée et la nature de l’atteinte aux données personnelles avec le but légitime poursuivi, opérant ainsi une balance concrète des intérêts qui fait écho à la méthodologie de la Cour européenne des droits de l’homme dans l’arrêt M. K. c. France du 18 avril 2013. Le juge ne peut plus se borner à invoquer abstraitement la finalité du fichier : il doit démontrer, par des motifs propres à l’espèce, que le maintien des données est proportionné au regard des circonstances particulières du requérant.
Conclusion
Le panorama jurisprudentiel 2024-2026 de la chambre criminelle révèle un double mouvement qui structure désormais le contentieux des fichiers de police judiciaire. D’un côté, la Cour valide les principaux outils techniques mis à la disposition des enquêteurs — reconnaissance faciale via le TAJ, exploitation des téléphones portables saisis, conservation pérenne des données en dépit de l’annulation des actes de procédure — au nom de l’efficacité répressive et de la finalité constitutionnelle de recherche des auteurs d’infractions. De l’autre, elle érige des garde-fous procéduraux dont l’exigence ne cesse de croître : habilitation nominative et individuelle pour chaque fichier consulté, motivation renforcée des décisions de refus d’effacement, contrôle concret de proportionnalité, obligation de vérifier effectivement les accès par un supplément d’information si nécessaire.
Ce contrôle juridictionnel renforcé traduit une prise de conscience, par la Haute juridiction, de la puissance des traitements automatisés de données dans la procédure pénale contemporaine. Il offre aux praticiens du droit pénal — avocats de la défense comme conseils des parties civiles — des leviers contentieux substantiels pour contester l’exploitation irrégulière des données personnelles de leurs clients dans les fichiers de police. La maîtrise de ces mécanismes, qu’il s’agisse des nullités de la procédure, du référé-effacement devant le président de la chambre de l’instruction, du supplément d’information ou du recours gracieux préalable devant le procureur de la République, constitue désormais un volet indispensable de la défense pénale à l’ère numérique.
Maître Hassan KOHEN, avocat au barreau de Paris, intervient en droit pénal et procédure pénale devant l’ensemble des juridictions répressives. Le cabinet assiste les personnes mises en cause comme les parties civiles dans tous les contentieux touchant à la régularité de la procédure, aux nullités et à la protection des données personnelles, notamment en matière d’effacement des fichiers de police, de contestation des mesures d’investigation numérique et de défense pénale.
Téléphone : 06 89 11 34 45
Email : [email protected]
Transmettez les pièces de votre dossier au cabinet. Maître Hassan KOHEN vous répond personnellement sous 24 heures avec une première analyse stratégique.