La France a été pionnière dans la protection du citoyen contre l’utilisation abusive de fichiers informatiques recensant des données à caractère personnel. Le projet Safari a initié l’apparition d’une législation relative à l’informatique, aux fichiers et aux libertés, avec la loi du 6 janvier 1978 en créant la Commission nationale informatique et libertés (CNIL), autorité administrative indépendante chargée de veiller au respect de la vie privée des individus et à la protection de leurs libertés fondamentales. Malheureusement, cette commission perd peu à peu de son pouvoir d’action, les fichiers se multipliant, les individus étant de plus en plus surveillés alors que les moyens alloués à la CNIL s’avérant insuffisants.
Protection du citoyen
Cependant, son article 41 dispose que l’accès aux données personnelles peut aussi être un droit indirect qui s’applique quand le traitement intéresse la sûreté de l’État, la défense ou la sécurité publique. Le requérant passe par l’intermédiaire de la CNIL pour avoir éventuellement accès à ces données. Le même article précise certaines modalités de ce droit d’accès indirect. Après investigation, si la CNIL, en accord avec le responsable du traitement, relève que les informations fichées ne remettent pas en cause la sûreté de l’État, la défense ou la sécurité publique, alors les données peuvent être transmises au demandeur.
Le décret du 20 octobre 2005 précise, en ses articles 86 et 87, les modalités d’application du droit d’accès indirect aux informations figurant dans les traitements intéressant la défense et la sécurité de l’État. On y trouve les formalités à effectuer pour la demande d’accès et les différents délais dont disposent la Commission et le responsable du traitement pour les investigations et la notification à adresser au demandeur.
Constatant une hausse très importante des demandes d’accès aux fichiers établis par les différentes autorités, le législateur a allongé, avec ces deux décrets, les délais d’accès. Les pouvoirs de la CNIL ont aussi été restreints. En privant la CNIL d’une partie de ses prérogatives, les pouvoirs publics désirent restreindre son champ d’action, ce qui n’augure rien de bon pour la protection de nos libertés. Ainsi, l’article 3 du décret intègre un article 6-1 au décret de 2005, disposant que la CNIL, consultée sur tout projet de loi ou décret relatif à la protection des personnes à l’égard des traitements automatisés de données doit répondre dans un délai de deux mois (trois mois sur décision motivée du président, un mois en cas d’urgence). Ce même décret modifie l’article 87 de celui de 2005 et allonge à cinq mois le délai dont bénéficie la CNIL pour transmettre les informations (relatives au droit d’accès indirect) au requérant. Il intègre également un article 87-1 relatif aux demandes concernant le traitement de données placé sous le contrôle du procureur de la république, la CNIL devant alors traiter la demande dans un délai de six mois.
Fichiers de défense nationale
La constitution de fichiers pour la sûreté de l’État, la défense nationale ou l’intérêt sécuritaire général est un argument facilitant la collecte des informations sans contrôle préalable. Soumise au contrôle et à l’autorisation de la CNIL (art. 25 loi « Informatique et Libertés »), la création de fichiers relatifs aux infractions, condamnations ou mesures de sûreté doit être clairement encadrée. Ainsi, l’article 9 de la loi de 1978 précise que « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ne peuvent être mis en œuvre que par les juridictions, les autorités publiques et les personnes morales gérant un service public, agissant dans le cadre de leurs attributions légales » et doivent être impérativement soumis à une autorisation préalable de la part d’un ministre dès lors qu’ils touchent à la sûreté de l’État, à la défense ou à la sécurité publique (art. 26-I, 1°, L. 1978).
Collecte, enregistrement des données et effets secondaires
L’enregistrement des données se fait automatiquement, que ce soit dans les fichiers policiers ou de gendarmerie, aussi bien que ceux relatifs aux étrangers. Dès lors que l’on est en contact avec une autorité et quelle que soit la demande, l’information est enregistrée. Bien que, lors d’une procédure judiciaire, la personne est considérée comme innocente dès lors qu’elle n’a pas été déclarée coupable (art. 9-1 c. civ.), le fichier est complété, bien avant la condamnation ou la relaxe, au moment de la relève de l’infraction. Cet article 9-1 du code civil est bafoué et déroge au principe de l’article 6-2 de la Convention européenne des droits de l’homme : « Lorsqu'une personne est, avant toute condamnation, présentée publiquement comme étant coupable de faits faisant l'objet d'une enquête ou d'une instruction judiciaire, le juge peut […]prescrire toutes mesures, telles que l'insertion d'une rectification ou la diffusion d'un communiqué, aux fins de faire cesser l'atteinte à la présomption d'innocence […] ». Ainsi, le fichage à la suite d’une interpellation va à l’encontre des fondements de la liberté et de la présomption d’innocence.
En outre, pour la prévention et l’atteinte à la sécurité publique, le décret du 16 octobre 2009 portant sur la création d’un traitement automatisé de données en matière de prévention des atteintes à la sécurité publique vient compléter le dispositif de fichage qui avait fait grand bruit autour de défunt fichier EDVIGE (V., sur ce blog, V. Gautron, « L’opinion publique et le fichier EDVIGE : un sursaut citoyen salutaire », 10 sept. 2008, et J.-D. Dreyfus, « Le SAFARI des élèves du premier degré », 7 nov. 2008). Ce fichier permet de recueillir et de conserver des informations concernant les personnes dont l’activité personnelle, ou collective, est susceptible de porter atteinte à la sécurité publique (actions de violence collective : manifestations sportives, manifestations politiques, etc.). Ce décret déroge au principe de l’article 8 de la loi Informatique et Libertés en autorisant la collecte d’information des personnes âgées de plus de 13 ans sur des signes physiques « particuliers et objectifs », géographiques, politiques, philosophiques, religieux ou encore syndicaux. Leur conservation pourra aller jusqu’à 10 ans (3 ans pour les mineurs) afin de prévenir tout éventuel trouble à l’ordre et à la sécurité publique.
De plus, le décret n° 2009-1250 du même jour portant sur la création d’un traitement automatisé de données à caractère personne relatif aux enquêtes administratives liées à la sécurité publique prévoit de nouvelles dispositions quant à l’enregistrement de données (prévues à l’art. 6 L. 1978). Ces données concernent les informations de l’état civil, les photo
graphies, les titres d’identité, voire le rapport de l’enquête contenant « des éléments permettant de déterminer si le comportement de la personne concernée n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées » et doivent être collectées en précisant le motif de l’enquête. Conservées pour un maximum de cinq ans, ces données sont accessibles par toutes les personnes susceptibles d’effectuer une enquête administrative sur la personne, mais ne sont pas interconnectées avec d’autres bases ou d’autres traitements de fichiers (art. 8 Décr.).
Intérêt général
Pour rendre légaux ce genre de fichiers, il suffit de créer un décret validant la légalité d’un tel fichier. C’est ainsi que le STIC a acquis une existence légale par un décret du 5 juillet 2001 signé par Lionel Jospin. En s’appuyant simplement sur la sécurité nationale, complétée par un battage médiatique effrayant la population, les politiques n’ont aucun mal à créer de nouveaux fichiers ou à les raccorder entre eux (V. égal., sur ce blog, V. Gautron, « L’ambivalence de l’Etat français face aux discriminations : l’exemple du logiciel policier ARDOISE », 28 avr. 2008).
Toutefois, la création de tels fichiers par le regroupement de plusieurs bases n’est pas clairement autorisée par la CJCE. En effet, les accords de Washington du 24 mai 2004, initiés par le Safe Harbor américain du 26 juillet 2000, validant la communication des données des voyageurs européens entrant chez l’Oncle Sam, ont été annulés par la Cour le 30 mai 2006 même si une collaboration entre les deux parties sur la circulation des fichiers est toujours d’actualité.
La collaboration internationale est d’ailleurs très active en la matière. Le FBI, à l’origine de ce projet, sollicite le soutien de son allié historique, la Grande-Bretagne. Depuis 2006, ce pays dispose d’une liste d’informations biométriques importante. Elle synthétise toutes les données collectées par les agents britanniques (incluant les écossais et les gallois). Ident1 contient 8 millions d’empreintes digitales et autant d’empreintes de paumes de la main. Cette alliance pourrait concerner des pays appartenant au pacte Usuka, qui a approuvé le système de surveillance électronique Echelon.
Ainsi, les premiers états qui pourraient alimenter le fichier central mondial « américain » serait la Nouvelle-Zélande, le Canada ou encore l’Australie. Les nouvelles données intégrées seraient notamment la forme du visage, les cicatrices apparentes, la démarche, l’élocution, etc. Sous cet angle, la mondialisation des fichiers limiterait grandement les droits d’accès et de rectification aux données. Bien que la CNIL française soit en sous régime face à l’Europe, le vieux continent persiste à protéger, même faiblement, l’intérêt des individus et leur droit à la vie privée (art. 8 CEDH ; art. 9 c. civ.).
Willy Duhen
Doctorant en droit, chargé de travaux dirigés à l’université Paul Cézanne, Aix-Marseille III
0 Réponse à “La difficile accessibilité aux données personnelles”