Surveillance hasardeuse
La Commission nationale de l’informatique et des libertés fête
ses trente ans. Quels sont vraiment son rôle et son pouvoir à l’heure
du projet Edvige et de la prolifération des fichiers publics et privés ?
dans l’hebdo N° 1022 Acheter ce numéro
Drôle d’anniversaire pour la Commission nationale de l’informatique et des libertés (Cnil). Alors qu’elle fête ses 30 ans du 15 au 17 octobre à Strasbourg, lors de la Conférence mondiale des commissaires à la protection des données et à la vie privée, qui répondent cette année à l’invitation de la France, il ne se passe guère de trimestre sans que l’instance française ne soit mise en cause.
La dernière affaire en date est celle des fichiers Edvige et Cristina. Nombre de défenseurs des libertés et de l’enfance ont reproché à la Cnil d’avoir émis des avis « favorables avec réserves ». Son avis détaillé n’a pas été publié pour le fichier Cristina ; pour Edvige, il a été publié avec le décret, et à sa demande, dit-elle. Une chose est certaine, ce n’est pas la Cnil qui a poussé l’État à revoir sa copie Edvige, mais bien la mobilisation citoyenne. En avril, ce sont les associations d’homosexuels qui l’ont incitée à s’intéresser au nouveau logiciel de police Ardoise, répertoriant notamment les préférences sexuelles des personnes mises en cause par la police, et lui ont permis de s’apercevoir qu’aucun décret ne lui avait été soumis.
Alex Türk, président de la Cnil, lors de la présentation de son rapport annuel, le 16 mai 2008. Ayissi/AFP
En 2007-2008, c’est sur le fichier des écoles primaires Base élèves que la Cnil s’est fait attaquer. Elle avait en effet accepté sans sourciller qu’y figurent des données sensibles (nationalité ou difficultés scolaires), retirées depuis par le ministre de l’Éducation nationale, et avait négligé la phase de sécurisation, alors que le fichier était déjà déployé dans 80 % des établissements scolaires.
La Cnil n’a guère de pouvoir quand elle tente de s’opposer fermement. Ainsi, l’État est passé outre son avis sur le passeport biométrique quand, peu convaincue de sa nécessité, elle a dénoncé le danger d’une telle base centralisée de données biométriques, et recommandé d’en passer par la loi. Lorsqu’elle s’est opposée au fichage d’internautes supposés pirates par des intermédiaires privés, c’est le Conseil d’État, et non pas elle, qui a retoqué le texte. La Cnil serait-elle, comme l’écrivait l’avocat David Forest dans [-> Libération
[^2], « à bout de souffle », « ignorée ou écartée par les gouvernements » ? Le mal est-il structurel, conjoncturel, pécuniaire, ou un peu tout à la fois ?
Instaurée par la Loi informatique et libertés (LIL) de 1978 à la suite du scandale suscité par le très opaque projet Safari (visant à interconnecter tous les fichiers de l’administration sur la base de l’identifiant unique Insee), la Cnil est la première « autorité administrative indépendante ». Indépendance relative puisqu’elle est une institution de l’État, financée par lui et chargée, en son nom, de la protection des droits des citoyens face au développement des traitements informatisés de données. Le projet initial prévoyait qu’elle ne compte aucun parlementaire parmi ses dix-sept membres. Il y en aura finalement quatre (nommés pour la durée de leur mandat) et cinq personnalités qualifiées désignées (pour cinq ans) par les présidents de l’Assemblée et du Sénat, plus un commissaire du gouvernement nommé par le Premier ministre. Et que penser, comme le note le groupe Claris (dont l’objectif est de clarifier le débat public sur la sécurité) sur son blog , *« de la nomination à sa tête, en 2004, du député UMP Alex Turk, alors que jusqu’alors ses présidents étaient dépourvus d’appartenance politique ? ».
*
Chaque commissaire de la Cnil est chargé d’un secteur d’activité (santé, commerce, intérieur, immigration, culture et enseignement, etc.), qu’il gère avec l’aide des services juridiques et techniques, ou des usagers. Collégialement, ils délibèrent sur les recommandations et les traitements soumis à avis ou autorisation. Pour les autres traitements, qu’il s’agisse de fichiers, de vidéosurveillance ou de systèmes biométriques, c’est le service juridique et technique qui traite les déclarations et s’assure que les principes et les interdictions édictés par la loi sont respectés. En cas de fautes, révélées par un contrôle ou une plainte, la Cnil peut, depuis la réforme de la LIL en 2004, sanctionner financièrement les responsables. Les entreprises seulement. Car, en ce qui concerne l’essentiel des fichiers d’État (défense, police/justice, mais aussi documents d’identité biométriques, fisc, contrôle des prestations sociales, et tous ceux où apparaît le fameux numéro Insee que voulait utiliser Safari), la même loi a privé la Cnil de son pouvoir. Les arrêtés ministériels et décrets instaurant ces traitements n’ont plus à se conformer à son avis. Celui-ci doit simplement être publié, et dans le cas de fichiers de sûreté comme Cristina ou Edvige, il peut même rester secret.
Alex Turk, président de la Cnil et rapporteur de la LIL, justifie, comme son prédécesseur socialiste Gérard Gouzes, l’abandon de compétence par le fait que la publicité donnée à l’avis suffit à dissuader l’administration de s’en affranchir. Mais l’avis de la CNIL n’est pas toujours sollicité. Ce fut le cas pour le fichier de police Stic, qui a fonctionné « hors la loi » de 1995 à 2000. En changeant la loi, les gouvernements, qui ne devaient pas pouvoir s’opposer aux actions de la Cnil, ont fait en sorte qu’elle ne puisse aller contre leurs décisions. Pour les Big Brother Awards [[Big Brother Awards, les Surveillants surveillés, éditions Zones, octobre 2008.]], *« elle est vouée à s’adapter à la société de surveillance, pas à la bloquer ».
*
Le manque chronique de moyens est également source d’insuffisances. La Cnil rémunère 120 agents (ils sont près de 400 dans la commission allemande), ce qui lui coûte 7,2 millions d’euros sur un budget total de 11,4 millions. À titre de comparaison, c’est le montant de l’augmentation à laquelle a eu droit son équivalent anglais l’an passé. Plus de la moitié des agents sont affectés à des services autres que le contrôle, les plaintes et saisines, et les sanctions. Moins de 60 personnes pour traiter des demandes pléthoriques (56 000 en 2007), c’est peu. Pour les soulager, la nouvelle LIL autorise entreprises et administrations à désigner un Correspondant informatique et libertés (CIL). Cet intermédiaire, garant d’une pratique éthique du fichage, leur permet de s’exonérer de déclaration des traitements courants, mais il n’est malheureusement soumis à aucun agrément de l’autorité indépendante.
La mission qui pâtit le plus de ces faibles ressources est le suivi des quelque 1,2 million de fichiers déclarés à ce jour. En 2007, 164 contrôles ont été effectués, et 9 sanctions prononcées. Le suivi des fichiers de sécurité n’est pas le moins problématique, qu’il s’agisse de vérifier leur mise à jour ou d’y consulter des fiches à la demande des citoyens. Ces demandes d’accès indirect augmentent (+ 67 %) et les fichiers aussi (on en dénombre au moins 35).
À cette insuffisante protection des citoyens face aux abus, une explication arithmétique : ils ne sont que dix contrôleurs, dont trois pour l’accès indirect, et, pour accéder aux fichiers de sécurité, ils doivent être accompagnés d’un des huit commissaires magistrats disponibles.
Pour montrer qu’elle entend malgré tout protéger les citoyens contre les abus et obliger l’État à respecter la loi, la Cnil a, en 2008, fait une « descente massive » dans les entrailles des fichiers Stic, Judex, RG et consorts. Résultats annoncés pour février prochain.
[^2]: « À 30 ans, la Cnil est déjà à bout de souffle », David Forest, Libération, 4 janvier 2008 .