Ordonnance sur le système informatisé de gestion et d’indexation de dossiers et de personnes de l’Office fédéral de la police (Ordonnance IPAS)

La présente ordonnance règle, pour le système informatisé IPAS au sens des art. 12, 14 et 18 LSIP:

1. l’autorité responsable et la surveillance;
2. la structure et le contenu;
3. les droits d’accès et le traitement des données;
4. la protection et la sécurité des données;

Le système d’information IPAS se compose des sous-systèmes suivants:

1. le système de traitement des données relatives à la coopération policière internationale et intercantonale au sens de l’art. 12 LSIP;
2. le système visant à l’identification de personnes dans le cadre de poursuites pénales et de la recherche de personnes disparues au sens de l’art. 14 LSIP;
3. le système de gestion des affaires et des dossiers de fedpol au sens de l’art. 18 LSIP.

L’Office fédéral de la police (fedpol) est responsable du système IPAS. Il édicte un règlement sur le traitement des données enregistrées dans IPAS.

Fedpol désigne un service de contrôle. Le service de contrôle est chargé de gérer les droits d’accès à IPAS conformément à la matrice d’accès à l’annexe 2, surveille l’effacement automatique des données et effectue des contrôles de données. Il est chargé de faire respecter aux utilisateurs les dispositions de l’ordonnance, de ses annexes et du règlement sur le traitement des données.

Le fournisseur de prestations informatiques mandaté par le Département fédéral de justice et police (DFJP) fournit les moyens informatiques nécessaires à l’exploitation d’IPAS.

IPAS comprend les catégories suivantes:

1. Interpol;
2. Europol;
3. N-SIS;
4. AFIS-ADN;
5. recherche de personnes disparues;
6. documents d’identité.

Chaque catégorie est subdivisée en plusieurs sous-catégories, à savoir:

1. les données de base, où sont enregistrées les données concernant des personnes physiques, des personnes morales et des objets;
2. les dossiers, où sont enregistrés l’emplacement des dossiers physiques, les droits d’accès aux dossiers et les indications relatives au prêt;
3. les affaires, où sont enregistrés la catégorie à laquelle appartiennent les dossiers selon l’art. 4, al. 1, leur état d’avancement, ainsi que la personne en charge du dossier;
4. le contenu,où sont enregistrées les données détaillées relatives aux antécédents concernant les personnes physiques, aux personnes morales et aux objets qui figurent dans IPAS;
5. la gestion des affaires et des dossiers,une fonction de gestion des affaires et des dossiers.

Le système IPAS contient les données et documents suivants:

1. catégorie Interpol: données et documents relatifs aux personnes annoncées comme auteurs présumés de délits, comme lésés ou comme témoins à la Police judiciaire fédérale (PJF), dans le cadre d’enquêtes de police judiciaire qui ne sont pas soumises à la juridiction fédérale, ou d’activités policières visant la prévention des infractions et menées par des autorités de poursuite pénale ou des organes de police suisses ou étrangers;
2. catégorie Europol: données transmises dans le cadre de la coopération avec Europol;
3. catégorie N-SIS: données transmises au bureau SIRENE en relation avec un signalement dans le N-SIS;
4. catégorie AFIS-ADN: données et documents relatifs aux personnes dont les éléments signalétiques ont fait l’objet d’un relevé et d’un examen minutieux par des organes de police suisses ou étrangers ou par le Corps des gardes-frontière et qui ont été annoncées à fedpol aux fins de comparaison des données;
5. catégorie Recherche de personnes disparues: données et documents relatifs aux personnes au sujet desquelles une demande a été adressée au service de recherche de personnes disparues de fedpol par des autorités suisses ou étrangères, des particuliers, des institutions ou des organisations internationales;
6. catégorie Documents d’identité: données et documents relatifs aux personnes au sujet desquelles fedpol a établi un dossier dans le cadre de l’application de la législation sur les documents d’identité.

Les données et documents ayant trait à plusieurs catégories de données selon l’art. 3, al. 1, sont traités dans chaque catégorie correspondante.

Le catalogue des données spécifiques figure à l’annexe 1.

Le système de gestion des affaires et des dossiers de fedpol permet de faciliter la gestion des documents et des dossiers qui se rapportent à des affaires impliquant des personnes physiques, des personnes morales ou des objets, à l’exception des documents et des entrées relatifs aux affaires traitées dans le Système national d’enquête. ²

Il peut comporter toutes les communications, notamment les appels téléphoniques, les courriers électroniques et les lettres adressés à fedpol ou émanant de lui. Il contient en particulier les communications échangées dans le cadre de la coopération avec l’Office européen de police (Europol).

Il donne accès:

1. aux documents informatisés se rapportant à des affaires traitées par fedpol, sous forme de textes ou d’images;
2. aux données relatives à la transmission et à l’étape de traitement des documents et des dossiers, ainsi qu’aux éventuelles recherches effectuées dans les systèmes d’information accessibles à la PJF;
3. à l’emplacement des dossiers et aux indications relatives au prêt.

Les données traitées dans le système de gestion des affaires et des dossiers de fedpol peuvent être indexées par personne, par objet ou par événement et reliées au système principal ou à d’autres systèmes d’information de fedpol. Lorsque des données sont reliées à d’autres sous-catégories ou à un autre système d’information, elles sont soumises aux règles de traitement et aux restrictions d’accès applicables à ces derniers.

Les collaborateurs de fedpol peuvent consulter IPAS en ligne s’ils ont besoin de données qui y sont enregistrées pour accomplir les tâches qui leur incombent en vertu de la loi.

Les droits d’accès sont réglés à l’annexe 2.

Fedpol peut, dans le cadre de l’entraide administrative, communiquer sur demande des informations enregistrées dans IPAS aux autorités suivantes, pour autant que cela soit nécessaire à l’accomplissement de leurs tâches légales:³

1. les autorités de police ou de poursuite pénale fédérales, cantonales et étrangères;
2. les bureaux centraux nationaux Interpol et le Secrétariat général d’Interpol;
3. ⁴ les services du Secrétariat d’État aux migrations compétents pour l’identification des requérants d’asile et des personnes à protéger, et pour l’accomplissement des tâches prévues par la loi fédérale du 16 décembre 2005 sur le séjour et l’établissement des étrangers⁵ et la loi du 20 juin 2014 sur la nationalité suisse⁶;
4. Europol;
5. les services compétents de l’Office fédéral de la douane et de la sécurité des frontières⁷;
6. les représentations de la Suisse à l’étranger compétentes pour la délivrance de visas;
7. ⁸ le Service de renseignement de la Confédération dans le cadre de ses activités selon la LMSI;
8. ⁹ le Service du casier judiciaire de l’Office fédéral de la justice pour l’identification de personnes enregistrées dans le casier judiciaire informatique VOSTRA lorsque l’on soupçonne une erreur dans la mise en relation entre des données et des personnes;
9. ¹⁰ les services centraux des cantons pour la clarification des conditions légales requises pour l’effacement de profils d’ADN selon les art. 16 à 19 de la loi du 20 juin 2003 sur les profils d’ADN¹¹ et pour l’effacement des données signalétiques biométriques selon les art. 17 à 21 de l’ordonnance du 6 décembre 2013 sur le traitement des données signalétiques biométriques¹².

Sont réservées les dispositions légales régissant le traitement des données signalétiques, les données Interpol, Europol, N-SIS et les données relatives à la recherche de personnes disparues et de documents d’identité perdus. ¹³

Lors de la communication de données enregistrées dans IPAS, les interdictions portant sur l’utilisation doivent être respectées. Fedpol ne peut communiquer à des autorités étrangères visées à l’art. 7 des données concernant des demandeurs d’asile, des réfugiés ou des personnes provisoirement admises qu’après consultation de l’office fédéral compétent.

Fedpol refuse la communication de données enregistrées dans IPAS si des intérêts prépondérants publics ou privés s’y opposent. Les données qui ne sont pas destinées à être communiquées doivent être signalées comme telles dans IPAS.

Lors de toute communication de données enregistrées dans IPAS, le destinataire doit être informé de la nature, de la fiabilité et de l’actualité des données. Il ne peut les utiliser que dans le but en vue duquel elles lui ont été communiquées. Il doit être prévenu des restrictions d’utilisation et du fait que fedpol se réserve le droit d’exiger des informations sur l’utilisation qui aura été faite de ces données.

La communication de données, ainsi que le destinataire, l’objet et le motif de cette communication doivent être enregistrés dans IPAS.

Fedpol définit les modalités détaillées de la communication dans le règlement sur le traitement des données visé à l’art. 2.

Les données enregistrées dans IPAS en relation avec des données dactyloscopiques mémorisées dans le système automatique d’identification des empreintes digitales (ordonnance du 6 décembre 2013 sur le traitement des données signalétiques biométriques ¹⁴ ) ou en relation avec des profils d’ADN mémorisés dans le système d’information fondé sur les profils d’ADN (ordonnance du 3 décembre 2004 sur les profils d’ADN ¹⁵ ) sont effacées en même temps que les données correspondantes stockées dans ces systèmes d’information. ¹⁶

Sont exclues de l’effacement selon l’al. 1 les affaires «hit» conformément à l’annexe 1. Elles restent enregistrées aussi longtemps qu’une affaire portant un numéro de contrôle du processus de catégorie AFIS ou ADN subsiste dans IPAS. Après l’effacement des dernières données des catégories AFIS ou ADN encore enregistrées, l’affaire «hit» reste enregistrée encore pendant cinq ans au plus dans IPAS. ¹⁷

Lors de l’effacement de profils d’ADN, les autres données relatives à la personne concernée, conservées dans IPAS, sont effacées si aucun autre matériel signalétique ne se rapporte à la même personne. Lorsque les autres données conservées dans IPAS ne peuvent pas être effacées, la note portant sur l’existence d’un profil d’ADN doit être effacée en même temps que le profil d’ADN.

Le numéro de contrôle du processus est effacé lorsque la Confédération ne conserve plus aucune donnée signalétique relative à la personne concernée.

Les données des catégories Recherche de personnes disparues et Documents d’identité du système principal sont effacées 50 ans après la première saisie. Les données saisies dans la catégorie Recherche de personnes disparues peuvent être conservées aussi longtemps que les personnes n’ont pas été trouvées, mais au plus tard jusqu’au moment où elles auraient atteint 99 ans.

Les données de la catégorie Interpol sont effacées après dix ans.

Les données de la catégorie Europol sont effacées conformément à l’art. 9, ch. 8, de l’Accord du 24 septembre 2004 entre la Suisse et l’Office européen de la police ¹⁸ .

Les données saisies dans le N-SIS qui sont transmises à titre d’informations supplémentaires dans le cadre de la coopération avec d’autres États Schengen sont effacées conformément à l’art. 45 de l’ordonnance N-SIS du 7 mai 2008 ¹⁹ .

Les données qui figurent dans le système de gestion des affaires et des dossiers et ne présentent aucun lien avec d’autres catégories sont effacées après trois ans.

Les procès-verbaux de journalisation des effacements sont conservés durant un an à compter de l’effacement des données, séparément du système dans lequel les données personnelles sont traitées. Ils ne peuvent être consultés que par le conseiller à la protection des données de l’office et ne peuvent être utilisés que pour la surveillance du respect des dispositions relatives à la protection des données.

Conformément à l’art. 38 de la loi fédérale du 25 septembre 2020 sur la protection des données (LPD) ²² , la remise de données du système d’information aux Archives fédérales est régie par la loi fédérale du 26 juin 1998 sur l’archivage ²³ .

Le droit à la consultation, à la rectification et à la suppression des données est régi par les dispositions de la LPD ²⁴ . L’art. 13 de l’ordonnance Interpol du 1 ^er décembre 1986 ²⁵ est réservé s’agissant des données transmises par le canal Interpol. L’art. 7, ch. 5, de l’Accord du 24 septembre 2004 entre la Confédération suisse et l’Office européen de police ²⁶ est réservé s’agissant des données transmises par Europol. L’art. 49 de l’ordonnance N-SIS du 7 mai 2008 ²⁷ est réservé pour les données en relation avec un signalement dans le N-SIS. L’art. 8 LSIP est réservé pour l’inscription de données relevant de la compétence de la PJF dans le Système de gestion des affaires et des dossiers de fedpol.

La sécurité des données est garantie par:

1. ²⁹ l’ordonnance du 31 août 2022 sur la protection des données³⁰;
2. ³¹ l’ordonnance du 8 novembre 2023 sur la sécurité de l’information³².

Tout traitement de données figurant dans IPAS est consigné dans un procès-verbal. Les procès-verbaux de journalisation sont conservés durant un an, séparément du système dans lequel les données personnelles sont traitées. ³³

L’ordonnance IPAS du 21 novembre 2001 ³⁴ est abrogée.

La présente ordonnance entre en vigueur le 5 décembre 2008.