Intervention de Alex Türk

La règle en vigueur est que le caractère personnel du message doit être signalé et que l'employeur peut accéder au contenu des messages à condition d'en informer l'intéressé au préalable. Le site de la CNIL propose un guide pratique en la matière.

Par ailleurs, je partage entièrement votre opinion au sujet de Google Street View. Les autorités de contrôle européennes vont entreprendre de nouvelles actions auprès de Google car il est inadmissible que cette société considère que la preuve doit être renversée. Lorsque nous lui faisons valoir qu'il serait préférable de demander le consentement des personnes au préalable, elle objecte qu'elle ne pourra plus assurer le service actuel. Eh bien soit !

N'oublions pas que l'aspect le plus préoccupant est la synergie entre les systèmes. Si l'on peut à la fois repérer les déplacements de la personne, les habitations, etc., il n'y a plus de possibilité d'échapper à la surveillance. Nous devons donc nous montrer très fermes dans notre discussion avec Google. Du reste, les choses commencent à bouger même en Amérique du Nord, où nos amis canadiens soulèvent le problème.

Autre débat crucial avec Google, celui de la durée de rétention des données. Le groupe des 27 instances européennes, que je préside actuellement, a émis une recommandation visant à ce que la conservation des informations sur les personnes par les moteurs de recherche soit interdite au-delà de six mois. Google refuse de descendre au-dessous de neuf mois, afin d'avoir plus de latitude pour opérer des profilages commerciaux sans forcément informer les personnes concernées.

Pour ce qui est de l'anonymisation des décisions de justice, monsieur Vaxès, nous avons maintenu notre position après de multiples contacts avec le Conseil d'État. Notre refus concerne uniquement les décisions de justice qui passent sur le réseau, l'objectif étant d'éviter qu'une personne ayant été condamnée mais ayant par la suite mené une vie parfaitement normale se retrouve, en un seul clic, dans l'oeil du cyclone. Le fait d'apparaître sur le réseau démultiplie le problème par rapport à la consultation du papier. Du reste, l'anonymisation est prévue par la loi.

Pour en revenir aux moyens de la CNIL, il est évident qu'ils sont insuffisants, mais il est vrai aussi que le Gouvernement a consenti des efforts importants et que notre budget a connu une augmentation singulière par rapport à ceux de nombreuses autres institutions. Il faudra poursuivre le plan de rattrapage entamé il y a cinq ans jusqu'à ce que la CNIL ait les moyens d'accomplir pleinement sa mission.

En ce qui concerne les puces RFID, la première question qui se pose est celle de l'information des personnes sur l'existence et l'emplacement de ces puces, et les raisons pour lesquelles on les installe. Selon les grands distributeurs, c'est au consommateur de faire la démarche pour désactiver ces puces. Nous pensons à l'inverse que la désactivation doit se faire automatiquement à la caisse, sauf demande contraire. Il est à craindre que Bruxelles ne cède aux lobbies à ce sujet. En effet, en analysant les déplacements des puces RFID, il devient possible de déterminer le profil commercial d'une personne. Cela se pratique déjà aux États-Unis.

La CNIL n'a pas de jugement a priori sur cette technologie, qui peut rendre de grands services dans certains domaines mais qui accroît aussi la vulnérabilité des données personnelles. Elle ne juge que des usages et estime par exemple que l'injection d'une puce RFID dans le bras des clients de certaines boîtes de nuit de Mexico, de Rotterdam ou de Madrid pour leur ouvrir l'accès de l'établissement est indigne et débilitant. En revanche, placer une puce sur le vêtement d'une personne atteinte de la maladie d'Alzheimer peut aider grandement son entourage.

Les dispositifs d'alerte professionnelle – whistleblowing – sont un nouvel exemple de la pression du droit interne américain sur notre territoire. C'est ainsi que les filiales de sociétés cotées aux États-Unis sont dans l'obligation de mettre en place un système de dénonciation. Il était difficile à la CNIL de ne pas tenir compte de ce fait ; elle a néanmoins marqué une limite très stricte : ces systèmes ne pourront se rapporter qu'aux aspects financiers et comptables.