« Winston s’arrêta de lire, surtout pour jouir du fait qu’il était en train de lire, dans le confort et la sécurité. Il était seul. Pas de télécran, pas d’oreille au trou de la serrure, pas d’impulsion nerveuse le poussant à regarder par-dessus son épaule ou à couvrir la page de sa main. (…) C’était le bonheur, c’était l’éternité. »[1]
Loi sur la sécurité globale[2] - La CNIL a rendu le 26 janvier 2021 son avis sur la proposition de loi « sécurité globale », dans lequel elle souligne l’insuffisance de l’encadrement juridique prévu.
En l’état, elle estime indispensable d’élaborer davantage de limites aux finalités pour lesquelles ces dispositifs (caméras individuelles, embarquées, vidéoprotection, drones…) peuvent être employés ainsi que davantage de garanties, notamment au regard de la justification et de la durée de leur mise en œuvre.
Le tumulte provoqué par cette proposition de loi illustre parfaitement la difficulté de trouver le juste équilibre entre les impératifs de sécurité publique et protection des libertés individuelles et collectives.
Le placement de nouvelles catégories de données personnelles sous le joug des autorités publiques ravive également ces inquiétudes, sans que la CNIL ou le Conseil d’État ne semble freiner cette évolution.
Le retour à la méfiance étatique - Comment comprendre, en effet, que la France fasse le choix d’étendre aussi drastiquement le fichage de ses citoyens, seulement quelques mois après les critiques suscitées par l’hébergement américain du Health Data Hub (et le revirement politique qui a suivi) ?
La notion et le régime de protection des données personnelles se sont d’abord construits en réaction au projet SAFARI[3] d'interconnexion des fichiers nominatifs de l'administration française, notamment par le biais du numéro INSEE. Ainsi naissait la loi Informatique et Liberté de 1978.
Plus tard, l'objectif de prévention des atteintes à la sécurité publique n’a pas été jugé suffisamment important pour justifier la collecte de données sensibles dans les fichiers Edvige. La CNIL a ainsi obtenu que seuls des éléments objectifs et factuels tels que les « activités », les « signes physiques particuliers et objectifs » ou l’« origine géographique » des personnes figurent dans le fichier de prévention des atteintes à la sécurité publique, et ce pour une durée limitée. Quant au fichier relatif aux enquêtes administratives liées à la sécurité publique, l’enregistrement de données sensibles a tout simplement été prohibé.
De même, le Conseil constitutionnel a censuré en 2012 la loi relative à la protection de l’identité numérique au motif qu’elle prévoyait la collecte des empreintes digitales (données biométriques, donc sensibles), excessive au regard de l’objectif recherché (sécuriser l’établissement et la vérification de titres d’identité et de voyage)[4].
En 2016, des propositions de loi visant à coupler vidéosurveillance et reconnaissance faciale pour les « fichés S » ont également été refusées.
En revanche, pour mémoire, la collecte des données biométriques de tout détenteur d’une carte nationale d’identité ou d'un passeport dans le fichier TES (« titres électroniques sécurisés ») a été jugée proportionnée à l’objectif de lutte contre la fraude documentaire[5], notamment car ce fichier ne permettrait que l’authentification des personnes (vérification à partir de l’identité du porteur du titre) et non de leur identification (à partir des données biométriques elles-mêmes).
Le RGPD a quant à lui souvent été présenté comme l’expression d’une défense nouvelle, non plus contre de potentiels abus des pouvoirs publics mais contre ceux d’acteurs privés toujours plus dominants, et tout particulièrement des GAFAM.
La France s’est largement saisie des marges de manœuvre laissée par le règlement aux États pour déroger à ses stipulations (par exemple en son article 22 relatif à la prise de décision automatisée pour développer la controversée plateforme Parcours Sup).
L’élargissement du fichage s’inscrit dans cette tendance, puisque la France exploite ainsi l’ouverture laissée par l’article 23 du RGPD en présence de motifs liés à la sûreté de l’État et à la sécurité publique.
Aussi, aujourd’hui, les regards sont à nouveau tournés vers l’État et sa légitimité à traiter d’autant de données sensibles motif pris d’assurer ses fonctions régaliennes.
Les fichiers concernés - La volonté politique de généraliser le recours à de nouveaux outils de surveillance s’est donc à nouveau exprimée à travers l’élargissement des données personnelles pouvant être collectées dans le cadre de trois fichiers sensibles datant de 2009 et 2011 :
- Le fichier de police « PASP » (prévention des atteintes à la sécurité publique) ;
- Le fichier de gendarmerie « GIPASP » (gestion de l’information et prévention des atteintes à la sécurité publique) ;
- Le fichier « EASP » (enquêtes administratives liées à la sécurité publique) relatif aux enquêtes administratives préalables à l’accès à certaines professions sensibles (policier, magistrat, surveillant pénitentiaire…).
A titre d'illustration, en 2017, le PASP comportait déjà 43 446 notes (profession, adresses physiques, email, photographies, activités publiques, comportement, déplacements) sur des individus considérés comme dangereux par les autorités en raison de violences liées, notamment, à un prosélytisme virulent, à des pressions sectaires ou à des agressions envers certaines communautés.
Les nouveaux textes - Depuis le 2 décembre 2020[6], les nouveaux articles R. 236-13 et R. 236-23 du Code de la sécurité intérieure élargissent le champ de ce fichage, afin « de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles de prendre part à des activités terroristes, de porter atteinte à l'intégrité du territoire ou des institutions de la République ou d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives ».
Leurs termes sont limpides et méritent de s'y attarder :
« L'interdiction prévue au I de l'article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés s'applique au traitement mentionné à l'article R. 236-21/236-11 :
Par dérogation, sont autorisés, pour les seules fins et dans le strict respect des conditions définies à la présente section, la collecte, la conservation et le traitement de données concernant les personnes mentionnées à l'article R. 236-21/236-11 et relatives :
1° A des signes physiques particuliers et objectifs comme éléments de signalement des personnes ;
2° A des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale ;
3° A des données de santé révélant une dangerosité particulière.
Il est interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir de ces seules données. »
Un élargissement aux contours flous - Les fichiers PASP et GIPASP ne participent plus seulement à la "sécurité publique, mais concourent aussi, désormais, à la « sûreté de l’État », définie comme recouvrant les « intérêts fondamentaux de la Nation », notion elle-même largement définie par la loi renseignement de 2015[7].
Au plan personnel, cela justifie désormais que la collecte de ces données vise toute personne physique, toute personne morale et tout groupement « dont l'activité individuelle ou collective indique qu'elles peuvent (…) porter atteinte » aux intérêts fondamentaux de la Nation mais aussi toute personne relevant de leur entourage.
Les fiches peuvent aujourd’hui également concerner les victimes - notion de libre interprétation - y compris les enfants de moins de 13 ans, qu’ils soient qualifiés de victimes ou eux-mêmes considérés comme dangereux.
Au plan matériel, ces décrets dénotent sans ambiguïté la volonté de collecter davantage de données, de nature de plus en plus variée et sensible.
Aussi, la collecte des opinions politiques, des convictions philosophiques, religieuses ou l’appartenance syndicale, et « des données de santé révélant une dangerosité particulière » - formule pour le moins floue - provoque l’émoi et l’opposition de nombreux citoyens particulièrement sensibilisés à la nécessité de défendre leurs données personnelles.
L’avis mitigé de la CNIL - L’autorité administrative indépendante a rendu trois délibérations sur le sujet le 25 juin 2020[8], dans lesquelles elle soulignait déjà le périmètre « trop étendu » de certaines catégories de données et la rédaction « très large » de certains passages (comme les activités sur les réseaux sociaux), tout en validant l’essentiel de ces nouvelles dispositions.
Elle relevait également que les données de santé supposées « révéler une dangerosité particulière » s’entendaient d’« addictions », de « troubles psychologiques ou psychiatriques », de « comportement auto-agressif »… sans que ces informations soient fournies par un professionnel de santé tenus au secret au professionnel, mais par un proche ou par la personne concernée elle-même.
Cette apparente limite interroge en réalité, puisque la collecte de ces données sensibles reposera dans un certain nombre de cas sur les dires de personnes par hypothèse inaptes à diagnostiquer un comportement dangereux.
Rappelant la stigmatisation déjà malheureusement courante des personnes présentant des fragilités psychologiques, plusieurs associations de représentants des usagers et des familles d'usagers de la santé mentale ont dénoncé, dans une lettre ouverte au Gouvernement, « l’amalgame dangerosité-troubles psychiatriques-atteinte à la sécurité de l’État de ces textes »[9]. Quelques mois plus tard[10], la CNIL a précisé que le projet lui avait été transmis avait depuis lors été modifié dans le sens d’un élargissement du champ des données concernées.
En effet, les « activités politiques, philosophiques, religieuses ou syndicales », dont l’inscription était déjà prévue par les trois fichiers, ont par la suite été remplacées par des « opinions » politiques, des « convictions » philosophiques, religieuses et une « appartenance » syndicale. Si le Ministère de l’Intérieur ne voit là qu’une simple « évolution terminologique qui recouvre les mêmes réalités » et estime de manière discutable que « collecter des données sur une activité politique ou religieuse conduit par définition à préciser la nature de cette opinion », il faut ici souligner la volumétrie des données collectées et leur nature pour le moins sensible, en particulier entre les mains de l’État « détenteur du monopole de la violence physique légitime », selon la formule de Max Weber.
A ces éléments s’ajoute la prise en compte de nouveaux moyens facilitant la collecte, en particulier sur les réseaux sociaux.
Afin de traiter de données de toutes sortes relevant notamment des « habitudes de vie » ou encore des « activités en ligne » de la personne fichée, les réseaux sociaux pourront être exploités (photographies, commentaires…), vraisemblablement au moyen d’algorithmes, auxquels l’administration fiscale recourt d’ores et déjà.
Les réserves de la CNIL sur ce point, qui demandait l’exclusion explicite d’une telle collecte, n’ont toutefois pas été suivies par le Gouvernement.
Le fichier TES constitue également un outil précieux susceptible d'alimenter les fichiers PASP et GIPASP. Accessible pour des motifs de sûreté de l’État, à laquelle participent désormais les fichiers PASP, GIPASP et EASP, ce fichier centralise les photographies de tout détenteur de passeport et de carte d’identité. Ces photographies pourront ainsi compléter lesdits fichiers, alors même que la précision selon laquelle ils « ne comportent pas de dispositif de reconnaissance faciale »[11] a été supprimée dans la dernière version des décrets.
Le refus du Conseil d’État de suspendre ces décrets - Le Conseil d’État a été saisi de la question en référé par un certains nombres d’organisations soucieuses[12] de la consistance future de la liberté d’opinion, de conscience, de religion, et syndicale.
Il a néanmoins conclu à l’absence de doute sérieux sur la légalité de ces dispositions et refusé d’en suspendre l’exécution, en relevant que la collecte et l’accès aux données étaient limitées au strict nécessaire pour la prévention des atteintes à la sécurité publique ou à la sûreté de l’État, de sorte qu’il n’y avait pas d’atteinte disproportionnée aux libertés fondamentales invoquées.
Le Conseil d’État s’est donc à nouveau trouvé contraint de se prononcer en matière de protection des données personnelles, dans une période particulièrement préoccupante en raison de la crise sanitaire et sécuritaire.
Tantôt censeur du pouvoir public au nom de la défense des Droits et libertés fondamentaux - il avait par exemple ordonné au Gouvernement de cesser l’usage des drones pour surveiller les manifestations à Paris[13] - tantôt refusant ce rôle – c’était déjà le cas dans l’affaire du Health Data Hub[14] – la Haute juridiction est en tout état de cause de facto conduite à arbitrer un contentieux délicat en pleine expansion.
Le recul de la protection des données personnelles face aux impératifs sécuritaires - Ces nouvelles dispositions font écho à la décision de Cour de justice de l’UE selon laquelle, pour des motifs de sécurité nationale et publique, un État membre peut imposer la conservation généralisée et indifférenciée des données afférentes aux communications électroniques, notamment des adresses IP, pour une durée limitée au strict nécessaire. Cette dérogation peut également porter sur l’identité civile des utilisateurs, et ce sans limite de durée[15].
De telles dérogations doivent naturellement être assorties de garanties effectives et soumises au contrôle d’un juge ou d’une autorité administrative indépendante telle que la CNIL.
Il n’en reste pas moins que ces évolutions suscitent des inquiétudes quant à l’effectivité des droits et libertés fondamentales, en particulier dans des États à l’équilibre politique fragile.
En France, si la proposition de loi relative à la sécurité globale a été adoptée par l'Assemblée nationale en première lecture après engagement de la procédure accélérée, elle doit désormais être examinée par le Sénat, dont la commission des lois a récemment auditionné le Ministre de l’Intérieur et la présidente de la CNIL.
A cette occasion, Marie-Laure DENIS a rappelé que la CNIL serait « particulièrement vigilante sur les conditions effectives de mise en œuvre des dispositions législatives qui seront votées, que ce soit au travers de l'examen des dispositions réglementaires qui lui seront soumises ou dans le cadre de l'exercice de ses pouvoirs de contrôle »[1].
[1] Commission des lois, Audition de Mme Marie-Laure Denis, présidente de la Commission nationale de l'informatique et des libertés (CNIL), mercredi 3 février 2021
[1] 1984, George Orwell, Gallimard, 1950, p.262 [2] Proposition de loi relative à la sécurité globale, enregistrée à la Présidence de l’Assemblée nationale le 20 octobre 2020 [3] Système automatisé pour les fichiers administratifs et le répertoire des individus [4] Décision n° 2012-652 DC du 22 mars 2012 [5] Conseil d’État, 18 octobre 2018, n° 404996 [6] Décrets n° 2020-1510 pour le fichier « Enquêtes administratives liées à la sécurité publique » (EASP), n° 2020-1511 pour le fichier « Prévention des atteintes à la sécurité publique » (PASP), et n° 2020-1512 pour le fichier « Gestion de l’information et prévention des atteintes à la sécurité publique » (GIPASP), 2 décembre 2020 [7] Article L.811-3 du Code de la sécurité intérieure [8] Délibérations n° 2020-064 (PASP), n° 2020-065 (GIPASP) et n° 2020-065 (EASP), 25 juin 2020 [9] Lettre des Président(e)s Advocacy, Argos 2001, Association Francophone des Médiateurs de Santé Paris, PromesseS, Collectif Schizophrénies et Unafam au Premier Ministre, Ministre de l’Intérieur et Ministre des Solidarités et de la Santé, 5 janvier 2021 [10] CNIL, Communiqué du 11 décembre 2020 [11] Article 2 du projet initial de décret [12] Notamment la Confédération générale du travail, la Confédération générale du travail - Force ouvrière, la Fédération syndicale unitaire, l’Union syndicale Solidaires, le Syndicat de la magistrature, le Syndicat des avocats de France, le Groupe d’information et de soutien des immigré.e.s, l’Union nationale des étudiants de France, la Fondation service politique, l’association VIA La Voie du Peuple, La Quadrature du Net, la Ligue des droits de l’homme, le Syndicat national des journalistes [13] Conseil d’État, Conseil d’État, décision du 22 décembre 2020, n° 446155 [14] Conseil d’État, ordonnances du 19 juin et 13 octobre 2020, n° 440916 et 444937 : https://twelve6.wixsite.com/test/post/health-data-hub-r%C3%A9trospective [15] CJUE (Grande chambre), Privacy international contre Secretary of State for Home Affairs and Commonwealth, 6 octobre 2020, C-623/17 ; CJUE (Grande chambre), La Quadrature du Net et autres contre Premier ministre et autres, et Ordre des barreaux francophones et germanophones et autres contre Conseil des ministres, 6 octobre 2020, C-511/18, C-512/18 et C-520/18.