Il faut sauver la loi informatique et libertés

samedi 14 août 2004
Imprimer

Tribune parue dans le Monde du 14.07.04

"Safari ou la chasse aux Français", titrait Le Monde du 24 mars 1974. L’article alertait l’opinion sur un projet qui, par une seule interrogation des fichiers informatiques, devait permettre à l’administration de disposer de la totalité des informations enregistrées sur une même personne à partir d’un identifiant unique baptisé du nom évocateur de "Safari".

Le débat était lancé. La polémique fut intense et le projet abandonné au profit d’une législation protectrice, la loi informatique et libertés du 6 janvier 1978, qui, pour veiller à son application, créa la première "autorité administrative indépendante", la Commission nationale de l’informatique et des libertés (CNIL).

Cette loi allait devenir une législation de référence pour de nombreux pays avant même d’inspirer la convention du Conseil de l’Europe (1981) sur la protection des données, suivie, au plan international, des "principes directeurs" adoptés par l’Assemblée générale des Nations unies et, plus récemment, de la directive européenne du 24 octobre 1995.

Vingt-six ans après, le Parlement est sur le point d’adopter, dans une indifférence quasi générale, une importante réforme de cette loi. Qu’en est-il ?

On sait combien il est périlleux - et toujours délicat - de toucher à ces "lois monuments", ces "lieux de mémoire". La loi informatique et libertés est de ces lois.

Elle est d’abord la mémoire du refus citoyen du projet "Safari". Elle est aussi la mémoire d’un débat parlementaire de très grande qualité au cours duquel majorité et opposition, également motivées, ont pris une part active, tant le sujet était alors unanimement considéré comme crucial. Elle est surtout la mémoire douloureuse du continent européen qui a connu la dérive d’instruments d’information rationalisée au service de discriminations de masse.

Vingt-six ans plus tard, les mutations techniques, la révolution numérique et l’Internet incitaient à rouvrir le débat, ne serait-ce que pour remplir l’obligation qu’a la France d’harmoniser sa législation avec la directive européenne. Le projet proposé, en l’absence de tout débat citoyen - cette fois - accouche d’une réforme présentée comme étant a minima, sans enjeux autres que techniques.

Il faut - dit-on - alléger et simplifier. Incontestablement, la procédure actuelle (avis préalable de la CNIL pour les fichiers publics, simple déclaration pour les fichiers privés) n’est plus adaptée à l’heure des fichiers des grands groupes de banques, assurances, organismes de recouvrement, de télécommunications ou autres. Paradoxalement, ce projet, en principe "simplificateur", institue désormais plus de 6 régimes déclaratifs distincts auxquels s’ajoutent diverses modalités d’exonérations légales ou facultatives. Que la plupart des traitements courants n’aient plus à être déclarés à la CNIL est une mesure de bon sens. Encore eût-il fallu que le niveau de garantie offert en contrepartie présentât une suffisante lisibilité, tant pour le citoyen que pour le responsable de traitements informatiques.

Pour échapper au grief de bureaucratie que n’aurait pas manqué de susciter cette procédure à entrées multiples, un étonnant amendement parlementaire prévoit d’exonérer purement et simplement de toute formalité les responsables de fichiers qui désigneraient en leur sein - juge et partie - un "correspondant à la protection des données" dont les attributions et les garanties d’indépendance sont entourées d’un flou juridique inquiétant. A l’évidence, cette niche à exonérations risque d’être fort attractive pour de nombreuses entreprises face à une Commission désormais tenue dans l’ignorance de la création de milliers de fichiers. Elle favorisera les grands groupes auxquels est ainsi offerte la possibilité légale d’échapper au contrôle de la CNIL Quant aux petites entreprises, bien moins "redoutables", elles seront défavorisées, car elles ne pourront que difficilement satisfaire aux conditions de qualification ou d’indépendance d’un "correspondant" à choisir au sein d’un effectif réduit.

Prôner davantage de contrôles tout en consacrant dans le même temps la possibilité pour les responsables de fichiers de refuser de s’y prêter et d’opposer le secret professionnel sans autre restriction légale est pour le moins paradoxal, voire incohérent

Deux propositions suscitent l’inquiétude. La première touche à l’interdiction de collecter et d’enregistrer des données sensibles (origine ethnique, opinions politiques ou religieuses, mœurs, etc.). Ce principe - conquête du Parlement lors du vote de la loi de 1978 - serait désormais assorti de 9 dérogations, dont l’une est rédigée en ces termes : "Ne sont pas soumis à l’interdiction prévue au I les traitements, automatisés ou non, justifiés par l’intérêt public et autorisés dans les conditions prévues au I de l’article 25 ou au II de l’article 26." On conviendra que ce langage elliptique n’est pas celui des lois de libertés. De quoi s’agit-il ? Tout simplement des fichiers intéressant la sécurité publique, la défense et la sûreté de l’Etat, c’est-à-dire des plus sensibles de tous les fichiers.

Lorsqu’ils comportent de telles données sensibles, ces fichiers ne peuvent être mis en œuvre actuellement que par décret pris après avis conforme de la CNIL et du Conseil d’Etat. Désormais, l’avis de la CNIL ne liera plus le Conseil d’Etat et encore moins le gouvernement, puisque la réforme vise précisément à le libérer de cette contrainte.

Pour compenser un tel affaiblissement du niveau de garantie, le projet prévoit que l’avis de la CNIL sera publié au Journal officiel en même temps que le décret autorisant le traitement. Où est, là encore, la cohérence d’une garantie qui consiste, alors qu’il s’agit de fichiers à haut risque, à publier un texte valant autorisation, indifférent à l’opinion voisine pouvant être opposée ? Comment ne pas y voir la volonté affichée de se libérer de l’influence ou du pouvoir de persuasion d’une autorité indépendante ? N’est-ce pas préférer au débat les polémiques stériles en prenant à témoin une opinion incrédule lorsqu’elle constatera que le fichier aura déjà été créé et les textes qui l’organisent publiés. En somme, on offre une transparence qui, en réalité, met fin au dialogue en évitant le débat.

La seconde disposition concerne les fichiers d’infractions et de condamnations. Jusqu’à présent, de tels fichiers sont exclusivement réservés aux juridictions et à quelques autorités publiques en nombre limité. Dans tous les autres cas, ils sont interdits. Désormais, ils pourront être autorisés. Qui pourra les mettre en œuvre ? Les "personnes morales victimes d’infractions". On mesure le nombre de fichiers de ce type dont la création pourra être sollicitée. La loi du 6 janvier 1978 entendait proscrire les casiers judiciaires parallèles, les "listes noires", la stigmatisation à vie par des officines non contrôlées. Le projet s’emploie à les autoriser. Chaque entreprise pourra-t-elle tenir désormais un casier judiciaire de sa clientèle ? Pourra-t-elle le partager avec d’autres entreprises - ou le leur vendre ? Qui le saura ? A quelles fins ? S’agira-t-il de voleurs à l’étalage fichés sans autre forme de procès ? D’adolescents qui téléchargent de la musique sur Internet ? Le danger se cache dans la généralité des termes employés.

Alarme inutile ? Certainement pas lorsqu’on constate que ces deux dernières années ont été mises à profit pour créer le plus grand nombre de fichiers à des fins sécuritaires de notre histoire, le plus souvent sans se soucier des avis de la CNIL, dont les réformateurs nous annonçaient pourtant qu’il convenait de renforcer ses pouvoirs : fichier national de tous les antécédents policiers (STIC) également consultable à des fins administratives ou lors d’enquêtes de moralité toujours plus nombreuses ; fichier national des empreintes génétiques des auteurs condamnés d’infractions sexuelles, rapidement élargi à tous les suspects d’un très grand nombre d’infractions (crimes et délits confondus) ; fichiers des personnes françaises ou étrangères souhaitant héberger des ressortissants étrangers ; fichiers des empreintes digitales de tous les demandeurs de visa, l’empreinte étant conservée même lorsque le visa est refusé.

Rappelons-nous. Il aura fallu, pendant ce temps, toute l’autorité de la CNIL pour empêcher que les sociétés d’autoroutes ne mémorisent les passages au péage, même en l’absence de toute infraction, pour ramener de plusieurs mois à deux jours la durée de conservation des allées et venues des usagers du métro, pour éviter que l’on ne contrôle l’accès des enfants à la cantine scolaire par le biais de leurs empreintes digitales. Cette CNIL-là doit être sauvegardée, tous ses avis rendus publics. Aucun fichier sensible ne doit être créé sans son autorisation. Le projet de loi est à refaire.

Cécile Alvergnat, ancienne membre de la CNIL.

Louise Cadoux, ancienne vice-présidente de la CNIL, conseillère d’Etat honoraire. Sébastien Canevet, président de la Fédération Informatique et libertés (FIL).

Raymond Forni, ancien vice-président de la CNIL, ancien président de l’Assemblée nationale, président de la région Franche-Comté.

Olivier Iteanu, avocat, président d’honneur d’ISOC France (Internet Society).

Louis Joinet, ancien directeur de la CNIL, ancien rapporteur spécial des Nations unies sur la protection des données personnelles.