Le fichier CRISTINA (Centralisation du renseignement intérieur pour la sécurité du territoire et des intérêts nationaux) a été créé par voie réglementaire, via un décret du 27 juin 2008, et non par une loi débattue et votée au Parlement.

CRISTINA est un fichier de renseignement géré par la DGSI (ex-DCRI), successeur de la DST et des RG. Il centralise des informations sur le terrorisme, l’espionnage et les menaces aux intérêts nationaux. Il est classé secret défense et bénéficie de dérogations importantes (dispense de publication complète du décret de création, données sensibles, etc.). La CNIL a été consultée (avis avec réserves), mais le contrôle parlementaire direct a été contourné, ce qui a suscité des polémiques en 2008, parallèlement au fichier EDVIGE.

Le fichier a été créé par un décret non publié (classé secret-défense), pris par le Premier ministre.

Sa création au profit de la direction générale de la Sécurité intérieure (DGSI) et sa dispense de publication ont été autorisées par le Décret n° 2008-631 du 27 juin 2008. 

Ce décret modifie :

• Le décret n° 91-1051 du 14 octobre 1991 (fichiers des RG).
• Le décret n° 2007-914 du 15 mai 2007 (liste des fichiers dispensés de certaines obligations)

L’article 2 du Décret n° 2008-631 du 27 juin 2008, publié au JO du 1er juillet 2008 pour la partie modificative, dispense explicitement de publication la création du fichier CRISTINA en application de l’article 26 de la loi n° 78-17 « Informatique et libertés » du 6 janvier 1978 (dispositions permettant des dérogations pour des motifs de sûreté de l’État, défense ou sécurité publique).

Le décret de création proprement dit est resté secret, tout comme son contenu détaillé (finalités précises, catégories de données, durées de conservation, etc.), pour des raisons de protection des méthodes et sources du renseignement.

Cette dispense s’appuie sur le III de l’article 26 de la loi n° 78-17 du 6 janvier 1978 (dite « Informatique et Libertés »), qui permet au pouvoir réglementaire (par décret en Conseil d’État) de dispenser de publication les actes autorisant certains traitements intéressant la sûreté de l’État, la défense ou la sécurité publique.

Ces deux décrets ont été pris le même jour. Seul le décret de dispense (ou la mention de la dispense) a fait l’objet d’une publication au Journal officiel (avec le sens de l’avis de la CNIL).

Le Conseil d’État a rejeté en 2010 les recours (notamment de la LDH et d’autres associations) contre ce mode de création et la dispense de publication, estimant que le fichier relevait bien de la sûreté de l’État et que les données étaient proportionnées.

Contrairement à certains fichiers créés ou encadrés directement par la loi (comme le TAJ ou d’autres traitements judiciaires), CRISTINA relève donc principalement du pouvoir réglementaire, avec des mesures de secret renforcées. Il reste opérationnel aujourd’hui.

Bien que le fichier CRISTINA lui-même ait été créé par un décret classé « Secret Défense », les missions qu’il sert à remplir sont inscrites dans la loi française de manière publique.

Le texte légal qui définit et encadre ces missions est principalement le Code de la sécurité intérieure (CSI).

L’article L811-3 du Code de la sécurité intérieure (issu de la Loi Renseignement du 24 juillet 2015) définit les missions pour lesquelles les services de renseignement (DGSI, DGSE, etc.) peuvent utiliser des techniques intrusives (écoutes, géolocalisation, accès aux données de connexion…etc).

L’article L. 811-3(CSI) prévoit : 

“Pour le seul exercice de leurs missions respectives, les services spécialisés de renseignement peuvent recourir aux techniques mentionnées au titre V du présent livre pour le recueil des renseignements relatifs à la défense et à la promotion des intérêts fondamentaux de la Nation suivants :

1° L’indépendance nationale, l’intégrité du territoire et la défense nationale ;
2° Les intérêts majeurs de la politique étrangère, l’exécution des engagements européens et internationaux de la France et la prévention de toute forme d’ingérence étrangère ;
3° Les intérêts économiques, industriels et scientifiques majeurs de la France ;
4° La prévention du terrorisme ;
5° La prévention :
a) Des atteintes à la forme républicaine des institutions ;
b) Des actions tendant au maintien ou à la reconstitution de groupements dissous en application de l’article L. 212-1 ;
c) Des violences collectives de nature à porter gravement atteinte à la paix publique ;
6° La prévention de la criminalité et de la délinquance organisées ;
7° La prévention de la prolifération des armes de destruction massive.”

Les techniques sont mentionnées dans le Code de la sécurité intérieure titre V : DES TECHNIQUES DE RECUEIL DE RENSEIGNEMENT SOUMISES A AUTORISATION (Articles L851-1 à L855-1 C) du livre III : DU RENSEIGNEMENT.

Sources officielles disponibles sur Légifrance : 

• Décret n° 2008-631 du 27 juin 2008 
• décret n° 2007-914 du 15 mai 2007 version consolidée (en vigueur au 10 mai 2026)
• loi « Informatique et libertés » du 6 janvier 1978 
• article L811-3 du Code de la sécurité intérieure
• V : DES TECHNIQUES DE RECUEIL DE RENSEIGNEMENT SOUMISES A AUTORISATION (Articles L851-1 à L855-1 C) du livre III : DU RENSEIGNEMENT du Code de la sécurité intérieure

---

Délibération CNIL n° 2008-175 du 16 juin 2008

La CNIL a été saisie le 27 mars 2008 par le ministère de l’Intérieur sur le projet de décret créant CRISTINA et modifiant le décret de 1991 relatif aux fichiers des RG.

Elle a rendu public le 16 juin 2008 (JORF du 1er juillet 2008) une délibération favorable avec réserves.

Elle a explicitement accepté que ce fichier bénéficie de la dispense de publication prévue par l’article 26-III de la loi de 1978 pour les traitements intéressant la sûreté de l’État.

Cette délibération porte sur le projet de décret modifiant les fichiers des Renseignements Généraux et créant/modifiant le traitement CRISTINA. Elle a été rendue en même temps que l’avis sur EDVIGE (délibération n° 2008-174).

Le texte intégral détaillé n’est pas entièrement public en raison de la dispense de publication (article 26-III de la loi Informatique et Libertés). Seule une version synthétique de l’avis favorable avec réserves a été publiée au Journal officiel du 1er juillet 2008.

La CNIL a rendu un avis favorable (avec réserves) sur le projet de décret, conformément à son rôle consultatif prévu par la loi Informatique et Libertés.

D’après les éléments rendus publics, les analyses doctrinales et les références ultérieures (notamment dans des décisions du Conseil d’État et des rapports), la CNIL a émis un avis favorable mais assorti des réserves et recommandations suivantes :

1. Traçabilité des accès et consultations La CNIL a jugé insuffisant le dispositif de journalisation (logs). Elle a demandé un renforcement significatif de la traçabilité pour permettre un contrôle a posteriori des consultations.
2. Proportionnalité et minimisation des données Elle a insisté sur le respect strict du principe d’adéquation, pertinence et non-excès des données. Elle a particulièrement attiré l’attention sur les données sensibles (opinions politiques, philosophiques ou religieuses, appartenance syndicale, données relatives à la santé ou à la vie sexuelle, etc.).
3. Durées de conservation Recommandation de mieux justifier et d’encadrer les durées de conservation, avec des réexamens périodiques et des effacements automatiques lorsque les données ne sont plus nécessaires.
4. Droit d’accès indirect Rappel de l’importance d’un droit d’accès et de rectification indirect effectif (via la CNIL puis le juge), avec des précisions demandées sur les modalités pratiques pour ce fichier très sensible.
5. Mesures de sécurité Renforcement des mesures techniques et organisationnelles de sécurité du traitement.
6. Information des personnes concernées La CNIL a relevé le caractère très limité de l’information délivrée aux personnes (inhérent au régime de secret), tout en rappelant les exigences légales.

La CNIL ne conteste pas, en tant que telle, la création par décret des fichiers de renseignement. Elle rappelle régulièrement que la loi de 1978 (et ses versions ultérieures) autorise explicitement ce mode de création pour les traitements intéressant la sûreté de l’État, la défense ou la sécurité publique, sous réserve de son avis et des garanties minimales.

Elle insiste en revanche sur :

• La nécessité d’un encadrement strict (adéquation, pertinence, proportionnalité) ;
• Le maintien d’un droit d’accès indirect ;
• La traçabilité des consultations.

Le Conseil d’État, dans sa décision du 16 avril 2010 (n° 320196), a examiné ces réserves et a considéré qu’elles n’entachaient pas d’irrégularité la procédure d’adoption du décret.

Sources officielles disponibles sur Légifrance : 

– Légifrance : Délibération n° 2008-175 

– Publication JO du 1er juillet 2008.

---

Décision du Conseil d’État n° 320196 du 16 avril 2010

Des associations (AIDES, Inter-LGBT, IRIS, LDH, syndicats CGT, CFDT, FSU, etc.) ont demandé l’annulation de deux décrets du 27 juin 2008 :

• Le décret créant le fichier « CRISTINA » (traitement automatisé de données à caractère personnel) au profit de la direction générale de la Sécurité intérieure (DGSI).
• Le décret dispensant ce fichier de publication (sur le fondement du III de l’article 26 de la loi « Informatique et Libertés » n° 78-17 du 6 janvier 1978).

CRISTINA visait à faciliter les missions de la DGSI en matière de renseignement intérieur (sûreté de l’État, lutte contre le terrorisme, espionnage, menaces radicales, etc.). Le fichier pouvait inclure des données sensibles (opinions politiques, religieuses, santé, vie sexuelle, etc.), justifiées par l’intérêt public.

Le Conseil d’État a rejeté la requête dans son ensemble :

Points clés de la motivation

1. Procédure contradictoire et secret : Par une décision intermédiaire du 31 juillet 2009, le Conseil d’État avait ordonné la communication du décret secret au juge (sans transmission aux requérants). Il a confirmé que cette modalité respectait l’équilibre entre droit au recours et protection des intérêts de sécurité nationale. Il a refusé de soumettre des extraits au contradictoire, car la loi prévoit une dispense totale de publication (sans occultation partielle possible par le juge).

2. Légalité externe : Pas d’irrégularité dans la consultation du Conseil d’État ni dans le décret de dispense (aucune obligation de motivation détaillée pour la dispense).

3. Légalité interne (loi Informatique et Libertés) : Le fichier intéresse la sûreté de l’État. Les données sont adéquates, pertinentes et non excessives par rapport aux finalités (vérifié par le juge après communication du texte). La dispense de publication était autorisée par l’article 26-III.

4. Convention EDH (art. 8 – vie privée) : La dispense est prévue par la loi, limitée aux traitements de sécurité nationale/défense/sécurité publique, et entourée de garanties (avis CNIL publié quant à son sens, contrôle du juge administratif qui accède au texte secret, droit d’accès indirect via la CNIL – art. 41). 

Cette procédure est une solution jurisprudentielle importante : le juge administratif peut consulter un acte non publié pour exercer son contrôle, sans le communiquer aux parties, quand cela est indispensable au droit au recours effectif.

Source officielle disponible sur Légifrance : – Conseil d’État, 10ème et 9ème sous-sections réunies, 16/04/2010, 320196, Publié au recueil Lebon