Radars-tronçons : mise en demeure du ministère de l’Intérieur par la CNIL

10/12/2019 – Suite à une décision de la Commission nationale de l’Informatique et des Libertés, numéro MED2019-027 du 12 novembre 2019, la Présidente de cette Autorité Administrative Indépendante vient de mettre en demeure le ministère de l’Intérieur de prendre les mesures suffisantes pour garantir la sécurité des données personnelles collectées par les radars-tronçons et s’assurer que ces données ne seront pas conservées au-delà des délais prévus par la législation.

Les radars-tronçons calculent la vitesse moyenne d’un véhicule sur une section de route grâce à des bornes de contrôle placées à plusieurs kilomètres de distance l’une de l’autre. Ces bornes sont équipées d’un système de lecture automatique de plaques d’immatriculation des véhicules (« L.A.P.I. ») qui lit les plaques, prend des clichés des véhicules et note l’heure exacte de passage.

En cas de dépassement de la vitesse maximale autorisée, le radar-tronçon envoie automatiquement les données des véhicules concernés au Centre national de traitement du contrôle automatisé de Rennes, chargé de l’envoi de la contravention.

Les radars-tronçons collectent ainsi des données sur l’ensemble des véhicules qui circulent sur la section contrôlée, qu’ils soient ou non en infraction. Ces informations sont des données à caractère personnel. Ces dispositifs doivent donc respecter la législation « Informatique et libertés ».

A l’occasion de contrôles effectués sur les radars-tronçons, la CNIL a constaté plusieurs manquements.

  1. 1. Un manquement à l’obligation de respecter une durée de conservation des données proportionnée à la finalité du traitement

La CNIL a constaté que le les durées de conservation définies par l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ne seraient pas respectées.

En particulier, le contrôle aurait permis de constater que les numéros de plaque d’immatriculation des véhicules n’ayant pas commis d’infraction seraient conservés plus de 13 mois pour les numéros complets, et plus de 4 ans pour les numéros tronqués de deux caractères, bien au-delà du délai de vingt-quatre heures prévu par l’arrêté.

Le ministère de l’Intérieur a donc été mis en demeure de respecter l’arrêté de 2004 en mettant en place un mécanisme de purge et en supprimant le stock de données qui ont été conservées plus longtemps que prévu.

  1. 2. Un manquement à l’obligation de mettre en place des mesures techniques suffisantes pour garantir la sécurité des données à caractère personnel

Le contrôle aurait permis de constater que les mesures de sécurité mises en place doivent être renforcées.

En effet, la CNIL aurait constaté un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère.

Compte tenu de ce constat, le ministère de l’Intérieur a été mis en demeure de prendre toute mesure utile pour garantir pleinement la sécurité des données personnelles traitées.

Le ministère de l’intérieur a trois mois pour se conformer à la loi « Informatique et Libertés » sur les deux manquements constatés par la CNIL.

Compte tenu notamment du nombre particulièrement important de personnes susceptibles d’être impactées par le traitement mis en œuvre et du risque particulier au regard de la vie privée en raison de la collecte de données relatives aux déplacements des personnes, cette mise en demeure a été rendue publique.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente saisira la formation restreinte de la CNIL, qui pourra prononcer une sanction.

Source : CNIL.
> Décision n°MED 2019-027 du 12 novembre 2019 mettant en demeure le ministère de l’Intérieur
> Délibération du bureau de la Commission nationale de l’informatique et des libertés n°MEDP-2019-002 du 22 novembre 2019 décidant de rendre publique la mise en demeure n°2019-027 du 12 novembre 2019 prise à l’encontre du ministère de l’Intérieur.

Cette rubrique sera prochainement restreinte

Pour rappel, cette rubrique, qui a été transférée sur un nouveau serveur et fait l’objet de tests, repassera en accès restreint au plus tard le 31 décembre 2019 et sera réservée aux organismes, associations et syndicats affiliés à l’UFEdp.

Chiffrement des mails échangés avec les clients et les collaborateurs

08/12/2019 – Les techniques modernes permettent d’échanger très rapidement des informations et documents entre une agence de recherches privée, les collaborateurs, les clients et autres professionnels concernés par un dossier (avocats, huissiers etc.).

Le courriel est, notamment, régulièrement utilisé pour recevoir ou transmettre des renseignements, des instructions, des rapports, des photographies etc.

Or nul ne peut, aujourd’hui, contester que les mails peuvent être interceptés par des tiers non autorisés, ce qui peut entraîner, par exemple, de graves violations de la vie privée du client, l’interception de secrets commerciaux, médicaux, familiaux, industriels, financiers et bancaires et une violation du secret professionnel et du code de déontologie prescrit par le Code de la Sécurité Intérieure.

De telles interceptions pourraient donc avoir des conséquences désastreuses sur la vie d’une famille ou d’une entreprise, et pourraient même servir à faire pression sur le client pour ne pas révéler à des tiers ou aux enquêtés les informations illégalement captées !

La loi Informatique et Libertés imposait, dans son ancien article 34, au responsable d’un traitement informatique, de prendre toute précautions pour que les données personnelles ne puissent être interceptées par des tiers non autorisées :

Ancien art. 34 Loi informatique et libertés : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Les pénalités pour avoir enfreint ces dispositions sont très sévères et visées à l’article 226-17 du Code pénal qui dispose :

Art. 226-17 Code pénal : Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Ainsi le non respect, même oubli involontaire ou simple négligence, de cette obligation de protection des données personnelles, entraîne des pénalités plus fortes (voire disproportionnées) qu’une atteinte volontaire au secret professionnel qui n’est puni que d’un an de prison et de 15000 euros d’amende !

La Commission nationale de l’informatique et des libertés sanctionne de plus en plus sévèrement les atteintes à la sécurité des informations personnelles et, en 2006, elle a relevé dans un rapport de sa formation restreinte, concernant les agences de recherches privées, des atteintes à ce principe :

Sécurité des données collectées

Extraits du rapport CNIL :

« Les contrôles diligentés par la CNIL ont révélé de graves manquements au principe de sécurité consacré par l’article 34 de la loi du 6 janvier 1978 modifiée le 6 août 2004.

Ainsi par exemple : La plupart des sociétés contrôlées [ndlr : des agences de recherches privées] ne disposent d’aucun dispositif physique ou logique permettant de sécuriser l’accès aux données personnelles enregistrées dans leurs traitements manuels ou automatisés. Ainsi plusieurs sociétés contrôlées par la CNIL n’ont mis en place aucun mot de passe pour accéder au contenu de leurs ordinateurs ; la plupart des cabinets contrôlés n’ont pas défini de niveaux d’habilitation dans l’accès aux informations selon la qualité des agents intervenant dans le processus d’enquête ni de journalisation des accès aux données ; aucun des cabinets contrôlés n’a mis en œuvre des mesures permettant de sécuriser l’envoi d’informations à leurs clients effectués sur Internet, notamment au moyen de la messagerie électronique ».

L’article 34 ancien de la loi informatique et liberté est, aujourd’hui, remplacé par le règlement général sur la protection des données (le « R.G.P.D »), et l’on retrouve, désormais, l’obligation de protéger les données personnelles des clients sous son article 32 qui dispose :

Article 32 – Sécurité du traitement

1 – Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; (…)

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

2 Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite (…).

En cas d’infraction à ces mesures destinées à protéger les données personnelles, la C.N.I.L. peut, également, infliger une amende administrative, sans préjuger de sanctions disciplinaires qui pourraient être prononcées par le C.N.A.P.S. pour ne pas avoir respecté le code de déontologie.

Cet aspect de la protection des courriels, ne semble pas avoir été suffisamment pris en compte par nos confrères, ou certains d’entre eux qui se contentent d’une mention ajoutée à leurs mails, stipulant que le courriel est confidentiel et qu’en cas d’erreur de transmission il est interdit de le conserver, que les informations doivent être détruites, ajoutant parfois que la divulgation des renseignements reçus constituerait une violation du secret professionnel. Or, c’est l’enquêteur qui est tenu au secret professionnel et pas un tiers qui recevrait par erreur le message, d’une part, et, d’autre part, c’est à l’enquêteur – et à lui seul – de prendre les dispositions pour empêcher que les courriels qu’il transmet ne puissent être interceptés ou transmis à des tiers non autorisés. Il est donc, juridiquement, seul responsable – administrativement, disciplinairement et pénalement – pour ne pas avoir pris les mesures de protection nécessaires.

Comment protéger les courriels confidentiels

Il existe pourtant des solutions, de simples à un peu plus complexes, pour sécuriser les mails et exonérer sa responsabilité, car il est impossible de garantir à 100% la non interception d’un mail et le non piratage de son ordinateur, alors que même des administrations sont « hackées » par des pirates. Mais il est possible de mettre en œuvre des mesures techniques qui pourront limiter, voire empêcher des tiers de prendre connaissance des données, même s’ils arrivent à intercepter un courriel : c’est le chiffrement des messages électroniques et plusieurs solutions sont envisageables en fonction du destinataire.

a) certificat électronique : échanges de mails entre des agences et/ou collaborateurs : la mise en place d’un certificat électronique sur son client de messagerie (Outlook, Thunderbird etc..) permet ainsi d’échanger des courriels chiffrés dans le texte et dans les documents joints (seul l’objet du message ne l’est pas). L’inconvénient est la durée de validité limitée du certificat qu’il faut donc renouveler (généralement annuellement) et il ne faut pas effacer l’ancien pour pouvoir continuer à déchiffrer les messages émis. Par contre il suffit de cliquer, dans son client de messagerie sur « signer » et « chiffrer » pour que le message soit envoyé de façon sécurisé, sans besoin d’un mot de passe (il faut, au départ, échanger, entre destinataire(s) et expéditeur(s) le certificat pour que les messages puissent être sécurisés. (à noter que le certificat électronique ne fonctionne pas avec les webmails).

b) messagerie chiffrée : il existe aujourd’hui des messageries sécurisées qui permettent l’envoi d’un message chiffré que le destinataire ne pourra ouvrir que s’il possède un mot de passe, préalablement convenu (par exemple à l’ouverture du dossier). A titre d’exemple il en existe une située en Confédération Helvétique, qui propose un compte gratuit (mais limitée en archivage à 500Mo) et des options payantes pour une capacité de stockage supérieure et des services supplémentaires. L’accès au compte est protégé par un voire deux mots de passe, et le site permet non seulement l’envoi de courriels sécurisés mais aussi de limiter la validité des messages qui peuvent être effacés automatiquement après une durée choisie par l’expéditeur. Concrètement le serveur envoi un lien au destinataire qui lui permet d’accéder au message. Il rentre alors un mot de passe convenu avec l’expéditeur et peut, ainsi, prendre connaissance du courriel qui reste entreposé sur le serveur ce qui empêche toute interception par des tiers non autorisés. Il existe, bien sûr, d’autres messagerie sécurisées. Chacune proposant des fonctionnalités différentes il convient de vérifier celle qui convient le mieux à l’activité concernée et qui assure la meilleure sécurité pour des mails sensibles ou confidentiels. Le choix d’un service à l’abri des curiosités commerciales ou administratives peut s’avérer une bonne option.

c) logiciels : Une autre possibilité s’offre pour protéger, par exemple, un rapport et des documents, en usant d’un logiciel de chiffrement sérieux, efficace et recevant des mises à jour régulières pour combler les failles de sécurité. Ainsi un rapport rédigé avec un traitement de texte pourra être exporté au format pdf, puis chiffré avec un bon logiciel cryptant fortement, tel que, par exemple, PDFxChangeViewer, ou son successeur PDF-Xchange Editor.

Le logiciel choisi doit être suffisamment puissant pour que le chiffrement ne puisse être « cassé » facilement par des logiciels qui circulent sur Internet et qui permettent de briser un cryptage, par exemple au format PDF.

Par ailleurs, plusieurs options de chiffrement peuvent être également proposés par un même logiciel* et il convient, dans ce cas, de choisir le plus fort*.

* (A titre de simple exemple, pour PDFxChangeViewer : compatibilité avec Acrobat le plus récent + niveau AES 256 bits + mot de passe très fort pour ouvrir le document à communiquer au destinataire + second mot de passe très fort pour empêcher toute modification du document, ce dernier ne devant pas être communiqué au client).

Il est très important de choisir un logiciel de bonne réputation et recevant régulièrement des mises à jour afin que les failles de sécurité puissent être comblées. Il existe aussi des logiciels qui permettent de chiffrer directement n’importe quel document et qui, grâce à une extension (on parle de module auto-décryptable), ouvre au destinataire une fenêtre lui permettant de rentrer un mot de passe (éviter les modules avec extension en « .exe » car les messages sont souvent rejetés par les fournisseurs Internet pour des raisons de sécurité).

Choisir un mot de passe très fort : Bien évidemment il convient de choisir un mot de passe robuste, capable de résister à une attaque dite par « force brute ». Il doit être composé de majuscules, minuscules, chiffres et caractères spéciaux. Un minimum de 15 à 20 caractères est conseillé. Il existe, par ailleurs, des services Internet proposant un générateur de mot de passe fort ou très fort, tel celui de l’antivirus Avast qui permet d’en créer jusqu’à 50 caractères (ne surtout pas oublier de le noter au dossier !).

d) double sécurité : Rien ne vous empêche d’utiliser une messagerie sécurisée pour envoyer un document déjà chiffré avec un logiciel externe ce qui constituera une double sécurité mais nécessitera, alors, de prévoir 2 mots de passe pour le destinataire, un pour ouvrir le message et un second pour ouvrir le document chiffré.

e) destruction d’un document informatisé : tout document archivé (y compris des messages) sur un ordinateur peut être, bien sûr, détruit, mais il convient de savoir que sa destruction simple ne permet pas de le faire disparaître définitivement. Il existe de nombreux utilitaires (y compris gratuits) qui permettent de récupérer des documents effacés, volontairement ou par erreur (exemple: Recuva). Pour détruire définitivement un fichier confidentiel il convient d’utiliser un logiciel qui permet de détruire le document à la méthode Gutmann (35 passes) ce qui devrait le rendre très difficilement récupérable, voire pratiquement irrécupérable pour des non spécialistes. Cette méthode consiste en un algorithme qui permet d’effacer le contenu d’un fichier de façon sure en réécrivant des données aléatoires sur la région à effacer. On trouve pour ce faire des logiciels gratuits (Eraser, CCleaner, etc.), et d’autres payants (Anti-virus AVAST version premium etc.).

Conclusions : Ces mesures de protection ne devraient peut-être pas résister à des agences gouvernementales, mais elles devraient, au moins, protéger clients et confrères contre des interceptions par des non spécialistes, d’une part, mais aussi dégager la responsabilité de l’agence dans le cadre de la loi Informatique et Liberté et du R.G.P.D.

Rapprochez-vous d’un expert en sécurité informatique qui pourra vous apporter toutes précisions sur le meilleur moyen de protéger vos archives et vos courriels et, le cas échéant, vous former à leur utilisation (l’Université Paris 2 aborde ces problèmes dans le cadre de la licence).

Mais, à titre accessoire, rappelons que, dans le cadre de dossiers véritablement sensibles, la plus simple mesure pour éviter des interceptions est de privilégier le bon vieil envoi par lettre recommandée avec accusé de réception, soit, encore mieux, de remettre le rapport directement au destinataire. (La communication de données très sensibles doit être évitée que ce soit par Internet, la télécopie, la téléphonie et les messages électroniques de type SMS ou MMS).

Nouvelle carte nationale d'identité pour 2021

03/12/2019 – Le gouvernement vient d’annoncer qu’une nouvelle carte nationale d’identité est en préparation (Source : JO Sénat du 28/11/2019).

Vingt-six États membres de l’Union européenne délivrent des cartes d’identité à leurs ressortissants, et la possession d’une carte d’identité est courante et obligatoire dans quinze d’entre eux.

Conformément à la législation de l’Union européenne sur la libre circulation des personnes (directive 2004/38/CE10), les cartes d’identité peuvent être utilisées par les citoyens de l’Union comme documents de voyage, à la fois pour voyager à l’intérieur de l’Union européenne et pour entrer dans l’Union européenne en provenance de pays tiers, et elles sont en effet fréquemment utilisées pour voyager.

Actuellement, les niveaux de sécurité des cartes nationales d’identité délivrées par les États membres et des titres de séjour des ressortissants de l’Union européenne résidant dans un autre État membre et des membres de leur famille varient considérablement, ce qui accroît le risque de falsification et de fraude documentaire et entraîne des difficultés pratiques pour les citoyens lorsqu’ils cherchent à exercer leur droit à la libre circulation.

Le renforcement de la sécurité des documents est un élément important pour améliorer la sécurité à l’intérieur de l’Union européenne et à ses frontières.

Ainsi, le Conseil de l’Union européenne et le Parlement européen ont adopté le 20 juin 2019 un règlement sur le renforcement de la sécurité des cartes d’identité délivrées aux citoyens de l’Union et des permis de séjour délivrés aux citoyens de l’Union européenne et aux membres de leur famille exerçant leur droit à la libre circulation.

Ce texte prévoit la mise en place dans les États membres d’une carte nationale d’identité en format carte de crédit (ID-1) devant comporter une zone de lecture automatique et respecter les normes de sécurité minimales fixées par l’Organisation de l’aviation civile internationale (OACI). Elle devra également inclure une photographie et deux empreintes digitales du titulaire de la carte, stockées à un format numérique, sur une puce sans contact.

Le chapitre II de ce règlement détaille en son article 3 les exigences générales, y compris les éléments de sécurité minimaux, auxquelles les futures cartes nationales d’identité devront satisfaire. Elles s’inspirent des spécifications du document 9303 de l’OACI communes aux documents de voyage lisibles à la machine et assurent l’interopérabilité mondiale lorsque ces documents sont vérifiés par inspection visuelle ou par des moyens de lecture par machine.

Publié au journal officiel de l’Union européenne le 12 juillet, ce texte sera applicable à partir du 2 août 2021 et aura donc vocation à harmoniser le format des cartes nationales d’identité au sein de l’Union européenne au format ID-1 et à en renforcer la sécurité.

Les travaux de mise en œuvre de ce règlement intègrent les réflexions menées par la direction de programme interministérielle mise en place en janvier 2018 par les ministres de l’intérieur, de la justice et le secrétaire d’État au numérique pour dégager des solutions d’identification numérique sécurisées au regard du règlement sur l’identification électronique et les services de confiance pour les transactions électroniques (eIDAS) permettant aux usagers de s’identifier sur internet pour l’accomplissement de démarches en ligne notamment administratives.

Abrogation de la contribution sur les activités privées de sécurité

04/12/2019 – L’article 1609 quintricies du Code général des impôts avait créé une taxe dite « contribution sur les activités privées de sécurité » dont le montant (§ VII de l’article) s’ajoutait au prix acquitté par le client.

La TVA venait s’ajouter à cette taxe ce qui revenait à payer, une fois de plus, une taxe sur les taxes fiscales.

Les taux, à l’origine, s’élevaient, selon les cas, à 0,50%, et 0,7% mais l’article 17 de la Loi n° 2014-1655 du 29 décembre 2014 de finances rectificatives pour 2014 était venue en minorer le montant à 0,45%, et 0,65% à compter du 1er janvier 2015 (toujours à charge des clients des agences de recherches privées), puis à 0,4% et 0,6% à compter du 1er janvier 2016.

L’article 26 de la loi n° 2018-1317 du 28 décembre 2018 de finances pour 2019 a, finalement, abrogé l’article 1609 quintricies du code général des impôts et les références à ce texte dans d’autres articles du C.G.I.

La « contribution sur les activités privées de sécurité » disparaît donc avec la fin de l’année 2019 et, à compter du 1er janvier 2020, elle ne doit plus être perçue sur les relevés de frais et honoraires.

N’hésitez pas à obtenir confirmation de cette information auprès de votre expert-comptable, de votre centre de gestion agréé ou auprès de votre inspecteur des impôts.

Journée de grève du 5 décembre 2019

Chacun a pu entendre la mobilisation des syndicats de salariés, de la société civile et de certaines organisations politiques, appelant à la grève pour le jeudi 5 décembre 2019.

Ces manifestations diverses et variées, notamment contre la réforme des retraites, touchent de nombreuses catégories professionnelles, les hôpitaux, les salariés, les fonctionnaires, la SNCF, les enseignants, les avocats etc.

Il est donc évident qu’aucune activité ne sera possible à cette date.

La SNCF estime (selon les informations diffusées par la presse) que 90% du trafic serait interrompu. Certains médias pensent que la grève pourrait être poursuivie au moins jusqu’au 8 décembre 2019.

Il est donc conseillé à nos confrères d’éviter, à ces dates, les missions comportant des filatures ou nécessitant des déplacements que ce soit en voiture ou en transports en commun.

Ce sera, peut-être, l’occasion de travailler sur l’informatique, de préparer la comptabilité de l’année, de garder les enfants ou d’aller se ressourcer … à la campagne … mais, en tous les cas, pas celle de circuler !

Bon courage à tous !

Carte professionnelle du détective : le point

01/12/2019 : Le problème des cartes professionnelles de la profession, a été soulevé, depuis de nombreuses années, tant par les syndicats, que des parlementaires et même, en 2008, par la Cour des Comptes.

Il semblait donc utile de faire un point complet sur les cartes professionnelles concernant les agents de recherches privées en fonction du mode d’exercice (enquêteur salarié d’un cabinet, directeur d’une agence, profession libérale ou collaborateur indépendant).

1. Les enquêteurs salariés d’une agence de recherches privées.

Juridiquement, les enquêteurs salariés sont tenus par la loi (art. L622-19 du CSI) de posséder une carte professionnelle délivrée par le C.N.A.P.S., établissement public administratif chargé d’une mission de police administrative :


Art. L622-19 CSI : Nul ne peut être employé pour participer à l’activité mentionnée à l’article L. 621-1 : [ndlr : l’article précise ensuite les conditions imposées pour exercer conditions d’exercice) Le respect de ces conditions est attesté par la détention d’une carte professionnelle délivrée par la commission d’agrément et de contrôle territorialement compétente selon des modalités définies par décret en Conseil d’État. La carte professionnelle peut être retirée lorsque son titulaire cesse de remplir l’une des conditions prévues aux 1°, 4° ou 5°.(…)

Telle était la volonté du législateur, sauf que le pouvoir réglementaire (Ministère de l’Intérieur) par un décret d’application a choisi d’opter pour une carte dématérialisée, donc « virtuelle », c’est à dire un enregistrement informatique dont l’inscription est confirmée par un simple courrier de l’établissement public, comme le relève la Cour des comptes (cf. infra). Ainsi l’article R622-10 du C.S.I. dispose :

La carte professionnelle mentionnée à l’article L. 622-19 est délivrée, sous la forme dématérialisée d’un numéro d’enregistrement, par la commission locale d’agrément et de contrôle dans le ressort de laquelle le demandeur a son domicile.

L’objet de cette carte professionnelle était de permettre de contrôler que les conditions d’exercice, notamment de moralité, d’honorabilité et d’aptitude professionnelle exigées par la réglementation étaient bien remplies, mais aussi de permettre d’en justifier vis à vis des tiers et d’en faciliter la vérification.

Ainsi l’article R631-25 du code de la sécurité intérieure dispose que :

Présentation de la carte professionnelle. Les salariés doivent être en mesure de présenter leur carte professionnelle à toute demande des clients, des mandants ou des autorités et organismes habilités ».

Or il n’existe pas de carte professionnelle matérialisée délivrée par l’autorité publique, permettant ces contrôles.

Le Ministère de l’Intérieur a promulgué un texte renvoyant sur les employeurs le soin d’établir une carte professionnelle matérialisée interne à l’entreprise, document qui doit être remis aux enquêteurs salariés :

Art. R622-16 CSI : L’employeur remet à l’employé une carte professionnelle propre à l’entreprise. Cette carte, qui comporte une photographie récente de son titulaire, mentionne : 1° Le nom, les prénoms, la date de naissance et l’activité du titulaire ;2° Le nom, la raison sociale et l’adresse de l’employeur ainsi que l’autorisation administrative prévue à l’article L. 622-9 ; 3° Le numéro de carte professionnelle délivrée par la commission locale d’agrément et de contrôle. La carte professionnelle remise à l’employé par son employeur doit être présentée à toute réquisition d’un agent de l’autorité publique et restituée à l’employeur à l’expiration du contrat de travail.

Ce texte n’apporte évidemment aucune garantie sérieuse quant à l’authenticité d’un document présenté au public ou aux autorités, par exemple pour justifier une présence prolongée devant des établissements sensibles (Postes, établissements financiers et bancaires, commerces ou établissements sensibles etc.).

N’importe quel terroriste, n’importe quel criminel ou délinquant peut – à cause d’une législation laxiste – fabriquer une fausse carte de détective ou d’enquêteur privé pour préparer un délit ou un crime, d’autant plus que le titre (détective, enquêteur privé, enquêteur de droit privé, agent de recherches privées…) n’est pas , non plus, protégé et que n’importe qui peut s’en prévaloir.

De longue date, la profession a lancé des alertes sur les cartes professionnelles, et la nécessité d’en sécuriser la présentation, la forme et les mentions, autant que l’authenticité. L’obligation de posséder une carte matérialisée et délivrée par l’autorité publique (et non créée par un professionnel, une entreprise, un syndicat ou une association) constitue la seule garantie sérieuse pour y parvenir.

En 2018, la Cour des comptes, elle même, s’est inquiétée de cette carence administrative et, dans son rapport 2018 de contrôle du C.N.A.P.S, elle relève :

« Enfin, aujourd’hui, la décision autorisant l’exercice d’une activité privée de sécurité ne donne pas lieu à la délivrance d’une carte professionnelle matérielle mais à l’envoi d’une simple correspondance administrative. Afin de remédier au risque de fraude inhérent, le CNAPS devrait éditer une carte professionnelle sécurisée ». (Rapport public annuel 2018, février 2018 – page 190)

Ce faisant, la Cour des Comptes, organisme de contrôle de l’État, ne fait que soulever une évidence que le Ministère de l’Intérieur ne peut ignorer puisqu’elle a été mise en exergue depuis de nombreuses années par les syndicats de la profession.

Contrairement à d’autres pays (par exemple la Belgique où la carte professionnelle est matérialisée et réglementée, la République et Canton de Genève où le Conseil d’État délivre une carte professionnelle matérialisée etc.) la France ne délivre donc pas de carte « matérielle » aux enquêteurs privés, ce qui permettrait, pourtant, de la sécuriser, de permettre des contrôles, d’en réglementer la forme et les mentions, et d’éviter que de faux professionnels ne puissent se faire passer pour la profession d’enquêteur de droit privé, réglementée par le code de la sécurité intérieure.

L’État a transféré, depuis 2012, le contrôle de la profession des préfets à un établissement public administratif – le C.N.A.P.S. (lui-même dirigé par un Préfet) – qui comprend, au conseil d’administration (le « collège ») une majorité de ses représentants, dont le directeur des Libertés publiques en charge des réglementations, projets de loi et projets de décrets relevant de la compétence du Ministère de l’Intérieur.

Il appartient au C.N.A.P.S. et à la direction des libertés publiques de prendre les décisions adéquates pour mettre un terme à une telle carence, et souscrire aux recommandations de la Cour des Comptes comme de donner suite aux souhaits des professionnels, formulés dans l’intérêt général et non pour obtenir des privilèges, des prérogatives ou des pouvoirs de puissance publique comme il est régulièrement prétendu pour justifier cette lacune.

Observons que la carte professionnelle est réservée aux employés d’agences et non pas aux dirigeants, aux professions libérales, ni aux collaborateurs indépendants qui doivent posséder – exclusivement – un agrément et non pas une carte professionnelle, même s’ils vont enquêter sur le terrain.

La carte professionnelle d’employé doit être renouvelé tous les CINQ ANS, sur la justification du suivi d’une formation continue qui ne s’adresse, elle aussi, qu’aux seuls employés d’agences et en aucun cas aux dirigeants, professions libérales ou collaborateurs indépendants.

2. Les directeurs d’agences.

Le cas des dirigeants d’une agence, des professions libérales, des collaborateurs indépendants est encore plus symptomatique, puisque la législation est tout simplement muette à ce sujet. Il n’existe pas de carte réglementée, donc pas d’obligation de la présenter au public ou aux autorités qui souhaiteraient contrôler un professionnel, en attente à proximité d’un établissement sensible.

C’est ici le désert absolu et chaque agence peut créer sa propre carte, dont certaines, au moins dans le passé, étaient pour le moins litigieuses.

On ne peut donc accorder aucune crédibilité à des cartes imprimées par des agences ou des particuliers, et les organisations professionnelles tentent de palier, comme elle le peuvent, à cette carence des pouvoirs publics en délivrant, à leurs adhérents, des cartes syndicales qui n’ont, évidemment, pas de valeur légale.

3. La position du ministère de l’intérieur.

Interpellé à diverses reprises par les organisations professionnelles ou par des parlementaires, l’administration évoque que la délivrance d’une telle carte pourrait entraîner une confusion ou donner un statut à la profession. Cette approche n’est ni sérieuse, ni crédible.

Depuis la loi du 18 mars 2003, l’administration délivre un « agrément » à la profession (art. L 622-6 CSI), plus des autorisations à chaque établissement (art. L622-9 CSI) ainsi qu’une autorisation complémentaire (art. L622-4 CSI) aux anciens membre de la police ou de la gendarmerie, et, enfin, une carte professionnelle (art. L622-19 CSI) virtuelle aux enquêteurs salariés.

En Alsace Moselle les préfets on délivré, de juillet 1900 à mars 2003, des autorisations préfectorales, sans que cela apporte la moindre confusion avec un service public. Il en est de même pour les agréments et les autorisations préfectorales délivrés à la profession sur tout le territoire entre 2003 et 2012, date de la création du C.N.A.P.S. qui a repris la délivrance de ces titres.

Ces agréments, autorisations diverses et cartes, n’ont jamais conféré à la profession, le moindre pouvoir, privilège ou prérogative de puissance publique ni entraîné une confusion dans l’esprit du public.

En 1977, M. Cornet demandait la réglementation des cartes professionnelles et la réponse, publiée au Journal Officiel du 3 septembre, fut que la législation de l’époque ne prévoyait une réglementation quelconque des cartes, que cela n’apparaissait pas nécessaire et pourrait aboutir à cautionner indirectement l’activité des titulaires de telles cartes (sic) :

La profession d’agent privé de recherches et de renseignements est exclusivement réglementée par (…). Ni l’un ni l’autre de ces deux textes n’a prévu une réglementation quelconque des cartes, dont peuvent être munis les membres de cette profession, qui n’apparaît pas nécessaire. Elle pourrait, en outre, aboutir à cautionner indirectement l’activité des titulaires de cette carte, ce qui ne serait pas conforme à l’esprit des textes précités (…) ». (Journal Officiel, débats parlementaires Assemblée Nationale, 3 septembre 1977 – Question écrite n° 39480 du 9 juillet 1977).

Le 19 mai 1982, nouvelle réponse du Ministère, suite à sa saisine par le Président de l’Assemblée Nationale :

« Il n’est pas envisagé que l’administration institue par voie réglementaire une carte professionnelle d’agent privé de recherches, laquelle octroierait à ses détenteurs, une qualité les assimilant à des auxiliaires des services de police et qui serait de surcroît de nature à causer une confusion dans l’esprit du public avec des agents des services de police.

0r, les Préfets, à la même époque, délivraient déjà – depuis 1977 – des récépissés préfectoraux matérialisés aux membres de la profession, puis, de 2003 à 2011 des agréments préfectoraux également matérialisés sans que cela n’ait jamais posé le moindre problème de confusion avec les services de police, ni l’octroi d’une qualité assimilant les détectives et enquêteurs privés à des auxiliaires de police !

L’argumentation ne tient d’ailleurs plus, la profession étant, désormais, agréée par l’État qui a doté cette profession libérale d’un statut inscrit, notamment, dans le marbre du Code de la Sécurité Intérieure, une loi n° 95-73 du 21 janvier 1995 disposant même (Annexe I, I-3) que  « (…) les agences privées de recherche (…) exercent des activités de sécurité de nature privée. Elles concourent ainsi à la sécurité générale ».

Il semble donc devenu souhaitable, en 2020, que l’État promulgue enfin un texte pour créer et faire délivrer par le C.N.A.P.S. une carte professionnelle obligatoire et matérialisée d’Agent de Recherches privées comme l’a souhaité la Cour des comptes en 2018 et comme la profession le réclame depuis de nombreuses années.

Carte d’agent de recherches refusée par le CNAPS

L’affaire date de 2016, mais est intéressante car rares sont les litiges portés devant les tribunaux par un agent de recherches privées contre l’établissement public de contrôle et de régulation (Conseil national des activités privées de sécurité).

L’affaire peut être résumée comme suit :

Une personne demande (octobre 2012) au C.N.A.P.S. une carte professionnelle pour exercer, en tant qu’agent de recherches privées. Le C.N.A.P.S. refuse (23/05/2013).

Par jugement du 18 février 2014, le Tribunal administratif d’Orléans annule la décision du C.N.A.P.S. qui fait appel devant la Cour Administrative d’Appel de NANTES.

Le C.N.A.P.S. se fonde sur des faits anciens mentionnés au bulletin n° 2 du casier judiciaire de l’intéressée, faisant état d’un emprisonnement de 1 mois avec sursis et d’une suspension du permis pour 8 mois, suite à une conduite en état d’ivresse et outrage à une personne dépositaire de l’autorité publique et que ces faits seraient incompatibles avec l’exercice de la profession d’agent de recherches privées.

La Cour Administrative d’appel relève que les faits étaient anciens (2007), datant de 6 années avant la demande de carte professionnelle, qu’ils étaient isolés, aucun autre fait répréhensible ne pouvant être retenu à l’encontre de la demanderesse, ni à titre privé, ni dans le cadre de son activité d’agent d’enquêtes exercée depuis 2002, qu’en considérant que les motifs figurant encore au bulletin n° 2 du casier judiciaire de l’intéressée étaient incompatibles avec l’exercice de la profession d’agent de recherches privées, le Conseil national des activités privées de sécurité a entaché sa décision d’une erreur d’appréciation.

La requête du C.N.A.P.S. (demandant l’annulation de la décision du tribunal administratif) a donc été rejetée.

Consultez l’arrêt sur Legifrance : C.A.A. Nantes du 16/02/2016, 4e chambre n° 14TN01013.

UFEDP fermeture de l’ancien accès réservé aux abonnés

L’Union fédérale des enquêteurs de droit privé informe ses abonnés que le site leur étant réservé est en cours de travaux et que l’ancien accès au service restreint sera définitivement fermé d’ici la fin de l’année 2019.

En prévision des modifications techniques à intervenir courant 2020, les professionnels utilisant nos domaines pour leur messagerie professionnelle sont invités à contacter rapidement le Président de l’UFEDP, l’accès à ces domaines devant être modifié.

(concerne votre : nom@enqueteur.fr/ nom@enqueteurs.fr, nom@enqueteur.info et nom@enqueteurs.info).

Diplôme d’Université « enquêteur privé »

27/11/2019 : A la surprise générale, en 1977, l’Université Panthéon Assas PARIS 2 a été la première université de France à créer une formation publique débouchant sur un authentique diplôme universitaire pour notre profession, en partenariat avec l’Union Fédérale des Enquêteurs de droit privé.

La demande de professionnalisation, par le biais d’une formation obligatoire, est ancienne, afin d’apporter au public des garanties sur les connaissances techniques et juridiques des professionnels et qu’ils exercent dans la légalité, le respect des libertés individuelles et de la vie privée.

Ainsi des parlementaires, en 1958 (M. ALLOIN), 1969 (M. LA COMBE) et 1973 (M. JULIA) réclamaient déjà, par des propositions de loi déposées à l’Assemblée Nationale, une législation pour étendre les conditions de moralité à tout le personnel, imposer le respect du secret professionnel et l’obligation de posséder un niveau d’instruction minimum, savoir le certificat d’étude… niveau sans doute trop élevé puisque ces propositions n’ont jamais été inscrites à l’ordre du jour !

En 1982, le président de l’Assemblée Nationale transmettait au Ministre de l’Intérieur une proposition de M. Borniche, Président de la Chambre Nationale des Agents de Recherches, sollicitant la création d’un diplôme obligatoire, le C.A.P.A.R. pour exercer la profession afin d’apporter des garanties au public et aux clients. La réponse fut édifiante… et revenait à une fin de non recevoir enveloppée dans des compliments : « le souci de relever intellectuel des agents privés de recherches traduit le souci de donner une meilleure force probante en justice aux dossiers qu’ils sont amenés à établir » (…) le fait de soumettre l’accès de la profession (…) à la possession d’un diplôme ne correspond pas aux options définies dans la loi (…), la possession d’un titre universitaire peut toujours être invoquée par un professionnel (…) En tout état de cause le « diplôme » ou « certificat d’aptitude » (…) ne pourrait avoir qu’un caractère officieux et ne saurait être délivré par les pouvoirs publics ».

On sait que la reconnaissance du secret professionnel, faute de l’obtenir par un projet de loi, a été reconnue par la jurisprudence grâce à l’opiniâtreté d’organismes professionnels qui ont alors décidé de saisir, ou faire saisir, des autorités indépendantes du Ministère de tutelle (Tribunaux de l’ordre judiciaire et de l’ordre administratif, CNDS).

C’est donc, pour la formation professionnelle, la même tactique du « contournement » de l’obstacle qui a été employée… !

Faute d’obtenir l’accord de l’administration pour imposer une formation publique, garante d’un enseignement sérieux, désintéressé et complet, l’Union Fédérale des Enquêteurs de droit privé a décidé de s’en passer et de s’adresser directement aux autorités universitaires.

Dans ces conditions, après une étude sérieuse du dossier, l’Université PARIS 2, première université juridique de France, a accepté de créer le diplôme d’université enquêteur privé (il s’appelait à l’époque « Diplôme Universitaire Professionnel d’Enquêteur privé »).

Qui mieux qu’une université de droit pouvait connaître les atouts essentiels de la profession et son intérêt pour les professions juridiques, dans la recherche et l’apport de preuves destinées aux procédures civiles et commerciales dans lesquelles les services de police et de gendarmerie n’ont ni qualité, ni compétence pour agir ?

Considérant que les enquêteurs de droit privés devaient être professionnalisés, afin de répondre aux besoins du monde juridique, qu’il devait leur être enseigné le respect des lois et règlements en vigueur, le respect de la vie privée, qu’ils devaient connaître les limites de leur activité, l’Université Panthéon Assas PARIS 2 a donné son accord et les premiers cours publics pour détectives et enquêteurs privés sont intervenus à la rentrée 1998. L’annonce de cette création a fait le tour des rédactions françaises et internationales.

En 2000, l’Université créait un second diplôme pour compléter le premier, le « Diplôme Universitaire Professionnel de directeur d’enquêtes privées ».

Ainsi, en avant première sur la formation rendue obligatoire 8 ans plus tard après le premier diplôme universitaire, l’Université a formé nombre de candidats, directeurs d’agences, collaborateurs indépendants, professions libérales, enquêteurs salariés.

C’est une loi du 18 mars 2003 qui – ENFIN – imposa une formation obligatoire aux détectives et enquêteurs privés. Elle est entrée en application par un décret du 6 septembre 2005. De nouvelles règles furent instaurées pour que les formations permettent d’obtenir le sésame de l’État (agrément préfectoral) afin d’exercer la profession d’enquêteur de droit privé.

Depuis cette nouvelle réglementation, les salariés doivent, pour exercer, obtenir une « aptitude professionnelle », et les professions libérales, les directeurs d’agences, les collaborateurs indépendants (et même les associés d’une personne morale) une « qualification professionnelle ». Les établissements de formation, eux, doivent s’inscrire dans un répertoire public, le Répertoire National des Certifications Professionnelles (RNCP), pour que la formation dispensée et les titres délivrés (diplôme pour une université, certificat ou attestation pour une école privée) permettent d’exercer.

Avec la nouvelle législation et le renforcement des enseignements, l’Université, toujours en partenariat avec l’UFEDP, a décidé de proposer, au ministère de l’Éducation Nationale, la création d’un diplôme d’État qui verra le jour le 21 juin 2006 par arrêté du Ministre. Il sera inscrit au Répertoire National des Certifications Professionnelles et porte, actuellement, la dénomination de « Licence professionnelle activité juridique, directeur d’enquêtes privées ». Ce diplôme a constitué une nouvelle première puisqu’il s’agit du premier diplôme d’État créé en France pour la profession. Il a donc remplacé l’ancien « D.U.P. de directeur d’enquêtes privées » qui a été abandonné, faisant double emploi.

Après 8 années d’expérience il était apparu que le nombre de candidats pour être salarié d’une agence était insignifiant, essentiellement, d’ailleurs, parce que la profession est exercée à titre libéral, y compris en qualité de collaborateur d’une agence et que l’irrégularité des missions ne permettait pas d’embaucher du personnel, sans oublier les lourdeurs administratives en cas d’embauche et les difficultés à débaucher en cas de besoin.

Il semble toutefois que le statut social des collaborateurs soit en cours d’évolution, notamment du coté de l’enquête d’assurances qui a un fort avenir en perspective.

A la suite de ces divers changements la formation à Paris 2 propose donc, actuellement, deux diplômes :

  • le Diplôme d’Université « enquêteur privé » (appellation actuelle) entièrement tourné vers l’exercice de la profession et l’apprentissage des bases techniques matérielles et juridiques essentielles pour exercer.
  • Le Diplôme d’État « Licence professionnelle activité juridique, directeur d’enquêtes privées », formation qualifiante qui s’adresse aux directeurs d’agences, aux enquêteurs libéraux, aux collaborateur indépendants, aux associés de personnes morales.

Il est important d’observer que l’Université, souhaitant former l’élite de la profession, privilégie ses enseignements aux futurs directeurs d’agences et aux professionnels libéraux. La licence est donc une formation qualifiante inscrite au R.N.C.P. En revanche l’Université n’a pas souhaité inscrire le Diplôme d’Université à ce répertoire.

Le diplôme d’université enseigne donc les bases essentielles de l’enquête privée, mais ne permet pas d’exercer la profession réglementée d’enquêteur salarié dans une agence de recherches privées régie par le code de la sécurité intérieure.

Seul le diplôme d’État, également dispensé à Paris 2, donne accès à la profession d’enquêteur de droit privé réglementé, et permet de l’exercer quelle que soit la forme juridique adoptée (enquêteur salarié, collaborateur indépendant, enquêteur libéral, directeur d’agence ou associé de personne morale)

Certes, il suffirait de déposer le diplôme d’université au RNCP pour qu’il puisse directement donner accès à l’exercice salarié dans une agence de recherches privées, d’autant plus qu’il répond très exactement aux exigences du code de la sécurité intérieure pour obtenir l’aptitude professionnelle des enquêteurs salariés.

Toutefois cette formalité, purement administrative puisque les cours existent, entraînerait des inconvénients qu’il convient également de prendre en compte.

Car l’absence de l’inscription au R.N.C.P. présente d’autres avantages et, par exemple :

  • permettre aux anciens fonctionnaires de police, anciens gendarmes et anciens militaires qui n’ont pas l’obligation de suivre une formation, de se reconvertir dans l’enquête privée et d’exercer en toute sécurité puisqu’ils apprendront les bases de l’enquête civile qu’ils ne connaissent pas en tant que pénalistes ou militaires.
  • permettre une mise à niveau (technique et/ou juridique) pour ceux qui ne peuvent pas entrer directement en licence.
  • permettre d’étaler sur deux ans une formation complète qui serait trop lourde sur une seule année et rendrait impossible l’exercice parallèle d’une autre activité ou le suivi d’une autre formation.
  • permettre à nos amis ultramarins, non concernés par la législation applicable sur le territoire métropolitain, de suivre les enseignements pour exercer, par exemple, en Nouvelle Calédonie.
  • permettre le suivi de la formation, à vocation exclusivement universitaire, sans besoin de solliciter une autorisation du C.N.A.P.S. Cela permet aux personnes qui souhaitent suivre l’enseignement à titre personnel (journalistes, écrivains, généalogistes etc.) ou exercer dans une entreprise pour le seul compte de leur employeur (banque, assurance, société, contentieux …) d’apprendre les bases techniques et juridiques essentielles à l’enquête privée. Le C.N.A.P.S. ne s’adresse, en effet, qu’aux personnes régies par le code de la sécurité intérieure pour exercer la seule profession réglementée d’enquêteur privé (Livre VI, titre II du C.S.I.).
  • de bénéficier d’un accès prioritaire en licence pour ceux qui décident de poursuivre leurs études et d’embrasser la profession.

Cette première année de formation, déjà complète, permet, aussi, aux étudiants de vérifier l’intérêt d’embrasser cette activité qui ne correspond peut-être pas à la vision qu’ils en avaient, déformée par le cinéma noir, les feuilletons télévisés et par la littérature policière. Parfois déçus par la complexité du métier, les difficultés qu’ils rencontreront, l’obligation de respecter les lois en vigueur et une stricte déontologie, les contrôles opérés par l’organisme public de régulation, certains étudiants pourront, ainsi, renoncer – sans engager des frais complémentaires – à poursuivre leurs études.

Enfin l’étudiant, et ce n’est pas négligeable, sortira de cette formation avec un diplôme délivré par la prestigieuse Université Panthéon Assas PARIS 2, libre à lui, ensuite, de déterminer s’il envisage ou pas, d’exercer ultérieurement la profession régie par le code de la sécurité intérieure, et de poursuivre la formation qualifiante du diplôme d’État.

L’Université Paris 2 a fait le choix d’étaler son enseignement sur deux jours (vendredi et samedi) afin de permettre aux étudiants de travailler les autres jours de la semaine ou de suivre une autre formation. Les cours au « diplôme d’Université enquêteur privé » sont dispensés essentiellement à l’Institut de droit et d’économie de Melun (centre universitaire délocalisé de Paris 2 en Seine et Marne), parfois à Paris au siège (place du Panthéon) ou au C.F.P. près de Montparnasse.

La formation au D.U. se déroule sur une année, d’octobre à juin, les examens peuvent déborder sur le début du mois de juillet, et les horaires sont le vendredi de 17h à 20 h et le samedi entre 9h00 à 16h30.

S’adresser pour tous renseignements au secrétariat universitaire : 01.64.79.72.36 ou par courrier à Université Paris 2, formation d’enquêtes privées, Institut de droit et d’économie de Melun, 19 rue du Château – 77000 MELUN – Tél : 01.64.79.72.36.

Infos complémentaires sur le site de l’UFEDP., rubrique formation.

Créer un nouveau site sur WordPress.com
Commencer