Intervention de Alex Türk

Petite remarque préalable : je ne m'attendais pas du tout à ces questions. Elles concernent – et j'en suis ravi – la protection des libertés et des données, beaucoup plus que des problèmes d'ordre économique. Ce n'était pas le cas il y a deux ans – ce qui explique, d'ailleurs, que j'aie consacré mon intervention liminaire aux seules questions économiques.

Certains pays ont déjà accepté le fichier positif. Dans le cas américain, on récupère toutes les informations que l'on peut sur des personnes. En Europe, on se limite aux informations touchant réellement à la situation bancaire – et en France, on s'interroge sur l'opportunité d'aller vers ce système. Il revient au Parlement de trancher sur cette question de société. La CNIL ne peut qu'appeler à une extrême prudence quant à la nature des informations recueillies. Il ne faudrait certainement pas aller jusqu'à la solution américaine, qui conduit à cerner la vie personnelle à travers ces éléments d'information bancaire.

La pratique est au moins aussi importante que le texte : si la maintenance n'est pas bien assurée, si des personnes accèdent au fichier alors qu'elles ne le devraient pas ou si des informations demeurent dans le fichier alors qu'elles auraient dû être enlevées, le système deviendra très dangereux. C'est la raison pour laquelle nous pensons qu'il faudrait choisir une voie moyenne, permettant de vérifier la réalité des incidences sur le surendettement – point sur lequel les Belges émettent des réserves. Pour le reste, vous savez que les banques sont réticentes, mais pour les raisons qui sont les leurs.

En ce qui concerne les standards, une résolution serait un début. Aujourd'hui, il n'y a rien. Or je suis extrêmement angoissé de voir que nous sommes dépassés par la technologie. La CNIL a dû créer un service d'expertise, qui compte aujourd'hui sept ingénieurs experts de haut niveau ; on me demande du renfort car tous les jours, nous sommes saisis d'applications technologiques nouvelles. En ce qui concerne la biométrie, lorsque j'ai pris mes fonctions 54 appareils avaient été installés dans l'année ; il y en a eu 3 500 cette année. Le problème est le même pour la vidéosurveillance et pour la géolocalisation – qui est ce qui m'inquiète le plus car elle se développe par tous les vecteurs : il s'agit aussi bien des puces RFID, des systèmes GSM, des utilisations quotidiennes de cartes bancaires, de cartes de télépéage, de pass navigo et de téléphones portables, ou encore du réseau. La CNIL – à laquelle un pouvoir exprès d'autorisation a été donné en 2004 sur la biométrie, n'a aucun pouvoir pour juguler la géolocalisation. Et si on lui donnait un pouvoir d'autorisation en la matière, il faudrait doubler son budget…

Le plus inquiétant, c'est l'utilisation des nanotechnologies dans les systèmes d'informations. Les experts du monde entier nous disent que dans moins de dix ans, il sera possible d'installer des systèmes qui verront, qui entendront, qui communiqueront à distance, mais qui ne seront pas visibles à l'oeil nu. Nul ne sera plus jamais certain de ne pas être vu ou entendu. Plus que pour moi, je m'inquiète pour mes enfants et petits-enfants… Je revendique – mes étudiants s'en étonnent – le droit de vivre sans que l'on me voie et sans que l'on m'entende, même si je n'ai rien à me reprocher – car je ne confonds pas l'intimité et l'innocence. Sur ce sujet, j'observe qu'une pédagogie est nécessaire : quand je vais dans des classes de CM2, je constate que les élèves n'ont aucune idée de ce qu'est l'intimité. Ceux que j'ai rencontrés dernièrement dans une petite commune proche de Lille étaient à 90 % sur Facebook, qui est en principe interdit aux moins de 13 ans… C'est dans les maisons qu'il faudrait instituer un couvre-feu ! Pour un enfant de 10 ans, il y a probablement beaucoup plus de risques à aller seul sur Internet qu'à se trouver dans la rue à 22 heures…

S'agissant de la pédagogie, la CNIL vient de décider de consacrer la quasi-totalité des crédits de communication qui restaient disponibles à une action en direction des professeurs de lycée, des chefs d'établissement et des élèves. Cette opération représentera un budget de 500 000 euros.

La voie de la résolution me semble utile. Ensuite, il faut que les gouvernements prennent le problème en mains, puis que l'Union européenne ne saisisse du sujet et qu'elle entre en relations avec les États-Unis et l'Asie afin de mettre en place une convention à valeur juridique contraignante. Cela demandera sans doute dix ou quinze ans – et certes, d'ici là, les puces seront partout… Le temps démocratique d'élaboration du droit est beaucoup plus lent que le temps du développement technologique. Il ne faut pas pour autant en conclure qu'il ne faut rien faire : au contraire, il faudrait une résolution le plus vite possible.

Désespoir non, pessimisme oui, monsieur Brottes. Nous allons incontestablement vers une société de surveillance. Je crains même que l'on finisse par regretter le bon vieux temps du Big Brother : comment faire pour s'insurger contre des milliers de puces invisibles, ces « Nano Brothers » qui, telles des cellules cancéreuses, vont se développer partout dans la société ? Le Parlement, de même qu'il s'est formellement opposé à tout clonage humain, aura-t-il le courage politique d'envisager l'interdiction des nanotechnologies dans les systèmes d'information ? Le fait de savoir que l'on est entendu et vu conduit en effet à reproduire spontanément un modèle commun, donc à pratiquer le clonage mental. J'espère que le Parlement français, mais aussi les autres Parlements d'Europe et du monde s'interrogeront sur cette question, une action limitée à notre pays ne pouvant être efficace.

La tendance est à ce que la CNIL soit représentée dans les diverses autorités. C'est une bonne chose car elle est désormais compétente dans tous les domaines de la vie sociale, l'informatique étant présente quasiment partout. Si on nous le demande, nous participerons aux instances dont vous avez parlé.

Monsieur Dionis du Séjour, la position de la CNIL est de s'écarter au maximum d'HADOPI, les objectifs étant totalement différents. Sur HADOPI, d'ailleurs, les membres de la CNIL ont été très partagés. Certains, à commencer par votre serviteur, ont été préoccupés mais ont voté pour ; et j'avoue rester impressionné par ceux qui sont capables de se prononcer dans un sens ou dans l'autre sans émettre la moindre réserve : entre la protection du droit des auteurs et la préservation des libertés de l'internaute, j'ai beaucoup de mal à trancher. L'HADOPI doit faire ses preuves – et chacun jugera. Aura-t-elle tous les moyens technologiques d'intervenir ? La réponse est, à terme, non. Il faudra donc que le Parlement réagisse. Sur l'ensemble de ces technologies, il va devoir travailler quasiment en temps réel, tellement les choses bougent rapidement.

En ce qui concerne la lutte anti-spam, on fait ce que l'on peut, sachant que dans 90 % des cas, les pays d'origine n'ont pas les mêmes règles que nous. Cela fait partie des éléments à mettre dans la corbeille d'une convention internationale car aujourd'hui les Européens sont les seuls à agir ; il faut nous employer à convaincre les autres pays.

S'agissant de nos moyens, monsieur Paul, les choses avancent. Lorsque je suis arrivé il y a six ans à la présidence de la CNIL, nous étions 65 ; nous sommes aujourd'hui environ 150, grâce au plan de rattrapage mis en place en 2004 et qui va se poursuivre pendant encore au moins deux ans. Est-ce suffisant ? Cela ne le sera jamais, eu égard à l'ampleur de la tâche…

La surveillance des salariés est devenu pour nous un sujet à part entière car elle passe par différents vecteurs – la biométrie, la vidéosurveillance, la géolocalisation, la surveillance des réseaux, le développement des techniques discovery, celui des dispositifs d'alerte professionnelle, donc de dénonciation de faits qui peuvent poser problème. Une grande partie de nos contrôles se fait dans les entreprises car le salarié doit être protégé. Je rappelle que pour la France et les autres pays européens, la notion de consentement est relative : nous considérons que le consentement d'un cadre d'entreprise, soumis à un lien de subordination hiérarchique, à utiliser un véhicule géolocalisé ne peut être comparé au consentement libre d'un individu à se doter d'un téléphone portable. C'est une différence avec les Américains, pour qui le consentement n'a pas de caractère relatif.

Quant à la vidéosurveillance, si comme je l'espère le texte voté par le Sénat est définitivement adopté, la CNIL aura désormais la possibilité d'en assurer le contrôle national. Cela nécessitera le recrutement de quelques contrôleurs assermentés supplémentaires. Chaque année, nous ferons un rapport, à destination du Parlement, du Gouvernement, mais aussi de la Commission nationale de vidéosurveillance et aux préfectures, afin d'améliorer le dispositif de protection des données. Je fais partie de ceux qui considèrent qu'en elle-même, la vidéo n'est ni bonne, ni mauvaise ; tout dépend de la manière dont elle est utilisée. Il appartient aux décideurs de faire leurs choix, et à la CNIL de vérifier que les prescriptions législatives relatives aux droits individuels sont respectées.

En ce qui concerne le système développé par GMAC, destiné à vérifier l'identité des étudiants qui passent les concours et utilisé par 2000 grandes écoles dans le monde entier, la CNIL, consciente de l'enjeu pour les étudiants français, a accepté l'utilisation d'une technologie de reconnaissance biométrique du réseau veineux de la paume de la main – en exigeant diverses garanties, concernant notamment la durée de conservation. En revanche, nous avons refusé l'utilisation d'empreintes digitales numérisées, technique qui peut être utilisée à l'insu et au détriment de la personne.

Les compteurs « intelligents », considérés isolément, ne posent pas de problème. Là encore, c'est le lien avec d'autres systèmes qui peut être dangereux. C'est pourquoi nous avons fixé des contraintes, touchant notamment à la sécurité du dispositif et à l'information des personnes. Soyez sûrs que nous ferons des contrôles et que nous vérifierons que les choses se passent conformément au texte qui nous a été présenté – faute de quoi nous n'hésiterons pas à le faire savoir.

Sur le STIC, nous avions rendu il y a un peu moins de deux ans un rapport qui faisait état d'un grand nombre de problèmes. Les choses progressent. Au ministère de l'intérieur, l'impératif est de rappeler certaines règles que la routine conduit à oublier, qu'il s'agisse de confidentialité des mots de passe des ordinateurs ou de traçabilité. Au ministère de la justice, c'est lorsque la mise en place du système Cassiopée sera complète que la plupart des problèmes devraient se trouver réglés. Je suis en contact permanent avec les deux ministères. Nous avions indiqué dans la conclusion de notre rapport que nous ferions un nouveau contrôle dans les trois ans qui allaient suivre : il aura donc lieu dans l'année qui vient.

Monsieur Saint-Léger, la publicité ciblée en ligne nous ramène toujours au même problème : comment faire pour assurer la défense de nos concitoyens face aux grandes sociétés américaines ? Face aux réseaux, l'usager a un triple droit : il doit exprimer son consentement avant, se voir assurer la transparence pendant, obtenir l'oubli après. Il faut donc se replacer dans le champ du droit de la consommation. Arrêtons de parler d'internautes : parlons d'usagers, d'utilisateurs, de consommateurs, de clients ; et disons à ces grands réseaux que le développement de leur activité doit se faire dans le respect du droit des utilisateurs. Mais le problème est non seulement qu'ils le veuillent – si leur volonté fait défaut, on peut leur imposer des standards – mais aussi qu'ils le puissent – ce dont je m'inquiète beaucoup : c'est toute la problématique du nuage informatique. À ce sujet, je suis d'ailleurs très frappé qu'une société à si haute technologie et aussi performante que Google mette ses appareils – ce qui constitue la « ferme numérique » – dans des entrepôts gardés par des vigiles avec leurs chiens… Il y a là des milliards de déchets que j'appelle « infoactifs » parce qu'un jour, ils resurgiront. On ne connaît pas de solution à ce problème. Lorsque quelqu'un quitte un réseau, il ne peut jamais avoir la certitude absolue d'emporter la totalité de ses données.

S'agissant du vote électronique, la CNIL souhaite que, au cas où les pouvoirs publics décideraient de passer à ce mode de vote à distance pour les élections nationales, les systèmes informatiques utilisés apportent exactement les mêmes garanties que le vote en mairie : il ne faut pas que les risques de tricherie soient plus grands. Mais quelles que soient les précautions prises, il sera impossible d'être absolument sûr de l'identité de la personne qui est devant l'ordinateur. A titre personnel, je considère que la démarche du vote en mairie fait partie des rares ciments démocratiques qui nous restent et que nous ne devrions pas y renoncer.

S'agissant enfin de la durée de conservation des données par les moteurs de recherche, Google, après être passé de l'absence de limite à dix-huit mois, se dit prêt à passer à neuf mois, mais pas moins ; en revanche, Microsoft et Yahoo pensent que six mois, voire trois mois, pourraient suffire. Le G29 tente actuellement de faire comprendre à Google que pour conserver la confiance des usagers, il faudrait adopter une attitude plus raisonnable. Pour notre part, nous pensons que trois mois suffiraient largement ; nos collègues allemands, eux, réclament que ce soit zéro jour. C'est dire que la bataille est ardue – et elle nous ramène à la problématique des standards internationaux.