Une information citoyenne au service d'une identité européenne
Réactions, commentaires et débats avec des invités

Glossaire interactif des termes de l'Espace de liberté, de sécurité et de justice
Observatoire législatif de l’Espace européen de liberté, de sécurité et de justice
Veille juridique et documentaire axée sur la Charte des droits fondamentaux de l’Union européenne
Actualités des grands projets de l'Union européenne
Dossiers documentaires thématiques
Actualités sur le rôle de l'Union européenne dans le monde
Une information citoyenne au service d'une identité européenne

La Commission nationale informatique et liberté (CNIL) publie son rapport annuel. Critiques à l'égard de la loi Hadopi.

pdf mise en ligne :14 05 2009 ( NEA say… n° 66 )

DROITS FONDAMENTAUX > Protection des données personnelles

Dans une interview donnée à cette occasion, son président Alex Türk souligne tout particulièrement le problème que pose Google et présente la dimension européenne du problème. Il faut s'en féliciter à quelques jours  des élections européennes. C'est à Bruxelles que se situe l'enjoeu des libertés publiques.
Le rapport  balaie des problématiques diverses, montrant à quel point la protection des données personnelles devient ardue avec le développement des nouvelles technologies.Prenons le cas d'Internet et des moteurs de recherche type Google ou Yahoo. A chaque fois que nous naviguons sur la Toile, nous laissons des traces. «Une mine d'or pour les fichiers clients des commerciaux», explique Alex Türk, le président de la Cnil, qui mène une réflexion sur le sujet avec les 27 Cnil européennes.
 
Entretien.

Q-.Dans votre rapport, vous évoquez la question de la protection des données récoltées par les moteurs de recherche, type Google ou Yahoo. De quoi parle-t-on exactement?
 
R-.Les moteurs de recherche mémorisent l'historique de toutes les requêtes effectuées, c'est-à-dire tous les mots clefs tapés. Autrement dit, Google et Yahoo savent quels sites vous consultez, avec quelle régularité. Facile à partir de là d'établir un profil très précis des internautes. Et de le vendre ensuite aux entreprises. Car ces informations, sur nos goûts et nos habitudes, sont une mine d'or pour alimenter les fichiers clients des commerciaux.

Q-.Quelle mesure de protection préconisez-vous? 

R-.Il faut que les moteurs de recherche s'engagent à limiter la durée de conservation de toutes ces données. Il y a encore deux ans, Google gardait les informations de manière indéfinie. Ensuite, il a accepté de s'en tenir à 18 mois. Mais c'est encore beaucoup trop. Nous avons émis une recommandation, en avril 2008, pour demander une limitation à 6 mois, le maximum acceptable à l'heure actuelle. Même si cela nous paraît encore trop, ce serait un début. Après l'annonce, Google a accepté d'abaisser la durée à neuf mois, nos ne pouvons nous en contenter. Surtout qu'en face, Yahoo est prêt à réduire la durée à trois mois, et Microsoft à six mois.

Q-.Cette recommandation a été rendue par la Cnil à l'échelle nationale?

R-.Non, il s'agit d'une mesure prise au niveau européen par le G29, un groupe qui réunit les 27 Cnil européennes et que je préside depuis un an. Cette recommandation a donc vocation à s'appliquer dans tous les pays de l'UE.

Q-.Chaque pays européen dispose-t-il d'une Cnil?

R-.Oui, c'est même un des critères pour adhérer à l'UE.

Q-.Quels sont les pouvoirs de ce groupe européen des Cnil européennes, le G29?

L'objectif est de traiter de l'ensemble des problématiques de protection des données, en particulier sur des sujets comme l'Internet, qui par définition dépassent les frontières. Le G29 rend des avis qui n'ont pas une valeur contraignante en tant que telle. Cela dit, l'expérience m'a appris que l'important est surtout la capacité d'influence d'une institution. En l'occurrence, quand le G29 émet une recommandation, vous vous doutez bien que chacune des 27 Cnil fait en sorte qu'elle soit appliquée dans son pays.

Q-.Ne faudrait-il pas envisager une institution protégeant les données personnelles à l'échelle internationale?

On n'en est pas encore là. Les Etats-Unis ne disposent pas d'une institution comme la Cnil. Ils ne se posent pas toutes ces questions... Il va falloir du temps. Tout est à construire. Tant que nous n'aurons pas établi un standard de protection des données personnelles au niveau international, il faut que les utilisateurs d'Internet soient extrêmement prudents.

La meilleure protection reste aujourd'hui la pédagogie: expliquer aux citoyens, les plus jeunes surtout, les risques encourus sur Internet. La Cnil travaille d'ailleurs sur ce sujet avec le ministère de l'Education nationale. Des brochures sont distribuées dans les lycées pour alerter les jeunes notamment sur les réseaux sociaux type Facebook. C'est l'une de nos préoccupations majeures aujourd'hui.
 
 La publication du rapport annuel a été l'occasion de renouveler les critiques à l'égard de la loi Hadopi. Après plusieurs modifications, le projet de loi a été définitivement adopté par le Parlement,  Parlement le 13 mai (le Parlement est un Organe collégial qui exerce le pouvoir législatif (adoption des lois et contrôle du pouvoir exécutif.  En France, le Parlement est composé de deux chambres : l'Assemblée nationale et le Sénat). Bien que le gouvernement (le Gouvernement est un Organe collégial composé du Premier ministre, des ministres et des secrétaires d'Etat chargé de l'exécution des lois et de la direction de la politique nationale). n'ait pas souhaité au moment des débats que l'avis de la Cnil soit rendu public, la presse s'en était fait l'écho en novembre 2008.
 
 Non autorisée à répondre aux réactions ainsi suscitées, la Cnil précise cependant aujourd'hui la nature des réserves formulées. Celles-ci portaient principalement sur le dispositif de "riposte graduée" : la Cnil indiquait notamment qu'il était envisageable d'imposer une phase préalable d'information des internautes avant l'adoption d'une sanction et que "la fiabilité des dispositifs techniques destinés à garantir la sécurité des connexions n'est pas acquise". La loi promulguée, la Cnil devra être saisie pour avis sur le décret d'application fixant "les modalités de mise en oeuvre par l'Hadopi des traitements de données personnelles des internautes faisant l'objet de mesures de suspension."
 
Ce fut aussi l'occasion pour la CNIL de demander à la Justice de nettoyer le STIC, le fichier des infractions: plus d'un million de personnes s'y trouvent alors qu'elles ne devraient pas y être. La CNIL demande à la justice de nettoyer le fichier des infractions STIC
«Une société qui abandonne un peu de liberté pour obtenir un peu de sa sécurité ne mérite ni l'une ni l'autre et les perdra tous les deux.» Tel est le premier message que le président Obama a délivré aux Américains et au monde en citant Benjamin Franklin. A peine élu, il indique à son peuple, encore marqué par le 11 septembre 2001, que la lutte contre le terrorisme ne peut justifier de piétiner les principes démocratiques.
La France  n'échappe pas à cette dérive que souligne la Cnil après avoir contrôlé le Stic (Système de traitement des infractions constatées), le plus gros fichier policier dans lequel se trouve 8,7 % de la population française. Soit, au 2 décembre 2008, 5,5 millions de personnes, auteures supposées d'infractions, supposées car enregistrées par les policiers en début de procédure, alors qu'elles ne sont que «mises en cause». Une trentaine de millions de victimes y sont, elles aussi, enregistrées. La loi du 15 novembre 2001 a autorisé les services de police à utiliser les données du Stic à des fins d'enquêtes de moralité pour occuper certains emplois et exercer certaines activités. Cette disposition, adoptée dans l'urgence pour deux ans, devait faire l'objet d'un bilan. La loi du 18 mars 2003 l'a pérennisée, sans débat, le législateur estimant que le casier judiciaire et les autres fichiers de police étaient insuffisants. A lire le décret du 6 septembre 2005 qui fixe la liste des décisions pouvant donner lieu à la consultation du Stic, c'est, selon la Cnil, plus d'un million d'emplois qui sont concernés : magistrats, bagagistes, hôtesses de l'air… Auparavant, seuls les éléments contenus dans le bulletin n° 2 du casier judiciaire, dans lequel figurent les condamnations définitivement prononcées par la justice, pouvaient justifier un refus d'accès à la fonction publique ou l'interdiction d'exercer certaines professions soumises à un agrément. Cette évolution s'est faite sans que le législateur ne s'interroge sur la fiabilité des données enregistrées dans le Stic. Pourtant, la Cnil comme le Conseil d'Etat avaient alerté contre les dangers d'une telle utilisation, en raison du manque de sûreté du recueil des données et des procédures de mise à jour et d'effacement.
 
Le contrôle effectué sur une année par la Cnil révèle que, dans un tiers des cas, l'infraction reprochée à la personne figurant dans le Stic ne correspond pas à celle que la justice a finalement retenue. Plus grave, pour 2007, plus de 78 % des personnes relaxées ont été maintenues indûment dans ce fichier et plus de 93 % des personnes acquittées y sont restées fichées, faute de mise à jour des données. Pire encore, dans le cadre de l'accès indirect, la Cnil a constaté que 83 % des fiches comprenaient des erreurs : soupçons infondés, négligences policières lors de la saisie des données, etc.
Tout le monde, à tort ou à raison, risque ainsi de figurer dans le Stic, comme le reconnaissait déjà un rapport de 2006 cosigné par les directeurs de la police et de la gendarmerie nationale. Or, lorsque votre nom y figure, c'est pour une durée moyenne de vingt ans pour les mis en cause majeurs et de dix ans pour les mis en cause mineurs.
Ainsi, une personne fichée au Stic peut se voir privée d'accès à un emploi ou risque de le perdre au cours d'un renouvellement d'agrément. D'autres, même si elles n'avaient que 10 ans lorsque leur nom y a été saisi, peuvent se voir interdire l'accès à la fonction publique, alors même que leur bulletin n° 2 de casier judiciaire ne mentionne aucune condamnation.
 
Cette situation amène à se poser plusieurs questions. Peut-on proclamer sa volonté de favoriser la réinsertion, en facilitant le relèvement d'une interdiction professionnelle et la dispense d'inscription d'une condamnation au bulletin n° 2 du casier judiciaire, comme l'envisage le projet de loi pénitentiaire, et rester indifférent au fonctionnement du Stic ? A quoi bon enlever des condamnations du casier judiciaire si le Stic continue à mentionner que le condamné a été mis en cause ? Le Stic est un outil utile pour assurer la sécurité de tous, mais il doit être incontestable et il ne saurait porter atteinte au respect de la vie privée et à la présomption d'innocence. Il doit donc être strictement encadré, comme la Cour européenne des droits de l'homme l'a rappelé à la Grande-Bretagne dans sa décision du 4 décembre 2008 concernant les fichiers des empreintes digitales et ADN. ( cf autre information dns le présent numéro). Dès lors, il faut faire preuve de lucidité, revenir sur les errements législatifs de l'après 11 septembre et affirmer que, pour les enquêtes de moralité, le Stic n'offrira jamais les garanties du casier judiciaire. Il doit redevenir l'instrument privilégié de «l'évaluation de la moralité des citoyens», même si l'on peut recourir à des vérifications complémentaires à l'aide d'autres fichiers.
 
Est-ce là une alarme inutile ? Non! Les citoyens s'inquiètent de plus en plus de leur fiche de police, puisque 2500 personnes ont demandé l'an passé à en connaître le contenu de façon indirecte par l'entremise de la CNIL, comme c'est leur droit. L'inflation des demandes et la longueur de la procédure font qu'il faut six, douze voire dix-huit mois pour répondre. C'est ce même souci qui pousse la CNIL à demander à nouveau au ministère de l'intérieur de clarifier le régime juridique de la vidéosurveillance. Elle a reçu en 2008 173 plaintes contestant la mise en place d'un système de ce type (+43% sur un an). Parallèlement le nombre de déclaration d'un système de vidéosurveillance auprès de la CNIL a lui aussi doublé (2588 contre 1317 en 2007). La Commission a réaffirmé qu'elle était prête à assurer le contrôle de ces systèmes dont la ministre de l'intérieur veut tripler le nombre pour le proter à 60000 sur l'ensemble de la France sur deux ans.
 
Signalons enfin que la CNIL manque de moyens alors que son activité s'est encore accrue en 2008, totalisant près de 72 000 traitements de données nominatives enregistrés, 4 244 plaintes traitées, 2 516 demandes de droit d'accès indirect aux fichiers de police, 586 délibérations adoptées (+50% par rapport à 2007), 218 contrôles effectués (+33%), 126 mises en demeure et 1 avertissement adressés et 9 sanctions financières prononcées.
 
Texte du rapport
Dossier de presse
Site de la CNIL