il faut restaurer l’autorité de la Cnil


article de la rubrique Big Brother > la Cnil
date de publication : samedi 13 juin 2009
version imprimable : imprimer


Ce texte, émanant du Cecil – Centre d’Etudes Citoyenneté, Informatisation et Libertés –, a été publié dans le N° 102, Automne-Hiver 2008-2009, de la revue Terminal [1].


Depuis le début des années 1970, la mise sur ordinateur des renseignements personnels a suscité de grandes inquiétudes comme lors de la mise en place de systèmes tels Safari ou Gamin [2]. L’émotion provoquée par le fichier Edvige montre aujourd’hui que ces inquiétudes persistent même si, depuis 1978, est intervenue une législation protectrice avec notamment la création de la Cnil (Commission nationale de l’informatique et des libertés). Il faut remettre en cause ce fichage policier indécent mais, au-delà de cette priorité, il convient de prendre la mesure de l’abaissement du pouvoir de la Cnil qui n’a pas pu remplir dans cette affaire, sa mission de protection de la vie privée et des libertés des individus.

Peut-être le fichier Edvige ne sera-t-il bientôt qu’un mauvais souvenir alors que cet abaissement de l’autorité censée nous protéger a toutes les chances de perdurer.

Edvige comme révélateur de l’abaissement de la Cnil

Il faut revenir en arrière pour comprendre comment a pu être mis en place un fichier aussi contestable dans ses finalités et aussi dangereux dans son contenu. La loi du 6 janvier 1978 qui a créé la Cnil, a été modifiée en 2004 pour la mettre en conformité avec une directive européenne de 1995 sur la protection des données personnelles.

Cette mise en conformité a servi de prétexte pour amoindrir les pouvoirs de l’autorité de contrôle. Dans une tribune libre intitulée « Il faut sauver la loi Informatique et Libertés », publiée par Le Monde le 14 août 2004, d’anciens membres éminents de la Cnil faisaient part de leurs craintes quant à la portée des modifications qui allaient intervenir et qui selon eux, se traduiraient par un affaiblissement du niveau de protection. La création d’un fichier comme Edvige montre qu’ils avaient vu juste et que leurs craintes étaient justifiées. Une modification qui supprimait la procédure de l’avis conforme [3] lors de la création de fichiers intéressant la sécurité publique, la défense et la sûreté de l’État, avait particulièrement retenu leur attention. Alors que dans la loi intervenue en 1978, ces fichiers qui comportent par définition des informations très sensibles, ne pouvaient être créés que par un décret en Conseil d’État après un avis conforme de la Cnil, cet avis dans la loi modifiée devient purement consultatif. Le Conseil d’État et le gouvernement peuvent ou non, en tenir compte. L’autorité de contrôle perd ainsi un pouvoir essentiel de codécision pour la création des fichiers les plus sensibles.

On compare l’émotion provoquée par la découverte du fichier Edvige avec celle qui s’était manifestée en février/mars 1990 lorsque furent publiés deux décrets relatifs aux traitements des Renseignements généraux. Les deux situations sont pourtant très différentes.

En 1990, il s’agissait de légaliser la collecte et le stockage par la police de données sensibles, mais après des années de discussion entre le ministère de l’Intérieur et la Cnil qui, avant de donner un avis conforme, avait fait préciser les finalités et avait écarté les modalités les plus contestables.

En 2008, nous avons d’un côté, la publication de l’avis de la Cnil et de l’autre, la publication du décret de création d’Edvige qui ne retient de l’avis que ce que le ministre de l’Intérieur a bien voulu retenir. A la lecture de ce texte, on se trouve devant l’expression d’une logique policière entière et totale qui n’a pas été suffisamment confrontée, comme cela aurait été immanquablement le cas dans la procédure de l’avis conforme, aux argumentaires et objections de défenseurs de la vie privée et des libertés. Certes, cette façon de procéder n’a pas que des inconvénients puisqu’elle réactive une problématique informatique et libertés que l’on pouvait croire oubliée et sans grande importance et qu’elle la replace au centre du débat public !

Les plus dangereux et les moins contrôlés des fichiers : les fichiers de la police

Certaines modifications intervenues en 2004 améliorent la situation comme le renforcement des contrôles sur place ou les nouveaux pouvoirs de sanction donnés à la Cnil. Cependant ces améliorations ne peuvent faire oublier la régression que constitue la suppression de l’avis conforme pour les fichiers policiers, au moment stratégique de leur création. Ces fichiers constituent en effet les fichiers les plus dangereux pour les libertés individuelles. Paradoxalement, ce sont les fichiers les moins contrôlés. Au nom de la raison d’Etat et d’une tradition régalienne, ils bénéficient, depuis toujours, d’un allégement de la protection en ce qui concerne la transparence des traitements ou l’exercice du droit d’accès. Pendant plus de vingt-cinq ans d’application de la loi, c’est, avec le secteur bancaire, le secteur d’activité qui s’est montré le plus réfractaire à la nouvelle culture informatique et libertés. Il a fallu attendre parfois plus de dix ans pour que les principaux fichiers de la police et de la défense soient régularisés : les fichiers de la défense, de la sécurité extérieure et de la surveillance du territoire l’ont été en 1986 et les fichiers des Renseignements généraux et du terrorisme en 1991. Créé dans son principe par une loi de 1995, le Stic, mégafichier qui recense toutes les personnes ayant été concernées par une procédure judiciaire, a été mis en place dès cette date, alors que le décret qui l’autorise n’est intervenu qu’après de longues discussions avec la Cnil six ans plus tard.

Depuis septembre 2001 et la centration sur les problèmes de sécurité, on a assisté à une multiplication de fichiers de police dont les finalités, au fur et à mesure, ont été revues et élargies. Aux fichiers classiques de la Direction de la surveillance du territoire, des Renseignements généraux, au fichier des personnes recherchées, au fichier du terrorisme ont été ajoutés le fichier Stic qui recense 5 millions de personnes, le fichier national des empreintes génétiques, le fichier des personnes souhaitant héberger des ressortissants étrangers, le fichier des empreintes digitales des demandeurs de visa, cette liste étant incomplète et loin d’être close.

Avant les modifications apportées en 2004, le ministère de l’Intérieur, pour contourner la procédure de l’avis conforme, a emprunté la voie législative en faisant voter la création de ses nouveaux fichiers par le Parlement. Parlement contre Cnil ou en d’autres termes, pot de fer contre pot de terre : le combat était inégal et a conduit à la marginalisation de la commission.

La contestation de l’autorité de la Cnil

Déjà en 1995, le pouvoir politique était intervenu pour alléger les contraintes nées de l’application de la loi informatique et libertés. Le gouvernement faisait voter une loi sur la sécurité qui soustrayait la régulation des systèmes de vidéo-surveillance dans les lieux publics, au contrôle de la Cnil qui s’estimait pourtant compétente, pour la confier aux préfets assistés de commissions départementales.

En novembre 1996, un rapport de deux conseillers d’État rédigé pour préparer la transposition de la directive européenne sur la protection des données, reproche à la Cnil une conception maximaliste de son rôle et conseille de revoir complètement le dispositif de protection pour le rendre moins contraignant en ce qui concerne les fichiers de souveraineté (la sûreté de l’État, la Défense ou la sécurité publique...), et les interconnexions entre fichiers d’administrations différentes.

En 1997, un projet de loi propose d’organiser cette interconnexion entre les fichiers fiscaux et les fichiers sociaux à l’aide du Nir (numéro national d’identification).

En novembre 1998, un amendement parlementaire organise, toujours à l’aide de ce numéro, l’interconnexion de tous les fichiers de l’administration fiscale. Les modifications de la loi intervenues en 2004, marquent le point culminant de cette intervention révisionniste du pouvoir politique puisque c’est désormais le régime de protection dans son ensemble qui a été revu à la baisse grâce notamment à l’allégement des formalités préalables à la création de fichiers.

Finalement, ce qui pose problème est la mince légitimité concédée à une institution comme la Cnil, première autorité administrative indépendante à avoir été créée en France. Après l’avoir mise en place en 1978, le pouvoir politique fort d’une légitimité considérée comme supérieure, l’a regardée de haut avant de rogner progressivement sur ses prérogatives. Le risque d’inutilité de l’institution est au bout de ce chemin et de cette remise en cause. Il est temps de restaurer l’autorité d’une institution d’un genre nouveau dans le paysage institutionnel, en posant la question de sa légitimité démocratique. Une démocratie sans ce genre d’institution en ce qui concerne la protection de données est une démocratie moins riche comme le montre l’exemple des États-Unis qui en sont dépourvus et où les violations de la vie privée sont beaucoup plus massives.

Selon les analyses de Pierre Rosanvallon dans le dernier état de sa réflexion sur les régimes démocratiques, la légitimité élective dont on connaît maintenant les limites, ne saurait être exclusive. A côté d’elle, on doit reconnaître d’autres formes de légitimité qui témoignent d’un progrès démocratique et notamment ce qu’il nomme, en prenant précisément l’exemple de la Cnil, une légitimité d’impartialité. Il est urgent de restaurer l’autorité de la Cnil en termes de moyens mais aussi de prérogatives, au regard de la nouvelle forme de légitimité démocratique qu’elle représente, et de revoir sa composition en y faisant une plus grande place à la société civile. Elle a un rôle indispensable à jouer même si elle ne doit pas avoir le monopole de la défense de la vie privée et des libertés, les individus ayant également leur mot à dire.

Novembre 2008

Le Cecil
Centre d’études citoyenneté, informatisation et libertés


Notes

[1Le Cecil est à la fois un centre d’information, un centre d’étude et un centre de vigilance citoyenne dans le domaine des nouvelles technologies de l’information et de la communication. Ses principaux domaines d’intervention sont constitués par la protection des données personnelles et des libertés, la protection et la défense de l’internaute et de l’usager de l’administration électronique, les politiques d’informatisation et les problèmes de vulnérabilité techniques et de sécurité. Ce centre est créé en liaison étroite avec la revue Terminal et l’association de chercheurs et d’enseignants-chercheurs, le Creis.

[2Safari (Système automatisé pour les Fichiers administratifs et le répertoire des individus) était un projet d’interconnexion des fichiers nominatifs de l’administration française, notamment par le biais du numéro Insee. La révélation de ce projet, le 21 mars 1974 par le quotidien Le Monde, dans un article intitulé "Safari ou la chasse aux Français", a entraîné une vive opposition populaire, ce qui a incité le gouvernement à créer la Commission nationale de l’informatique et des libertés. Le projet, lancé lors de la présidence de Georges Pompidou, n’a finalement jamais vu le jour (Wikipédia).

Gamin : (Gestion automatisée de la Médecine INfantile). Ce programme a été lancé dans les années 1970 pour détecter dès la naissance et lors des premiers examens en PMI les enfants estimés « à risques » à partir d’un profil utilisant des critères médicaux, psycho-sociaux, sur la situation de la famille, sur le comportement de l’enfant. Il y eu une très forte opposition en particulier des travailleurs sociaux. Ce fichage a été abandonné au début des années 80.

[3Selon la loi de 1978, si l’avis de la Commission était défavorable, il ne pouvait être passé outre que par un décret pris sur avis conforme du Conseil d’Etat. La seule possibilité de passer en force était pour un gouvernement de créer le traitement par une loi. Depuis 2004, la Cnil émet un avis motivé qui est simplement publié en même temps que l’arrêté autorisant de traitement.


Suivre la vie du site  RSS 2.0 | le site national de la LDH | SPIP