La Commission a procédé à l'audition, ouverte à la presse, de M. Alex Türk, président de la Commission nationale de l'informatique et des libertés.
Le président Jean-Luc Warsmann, accueillant M. Alex Türk, président de la Commission nationale de l'informatique et des libertés (CNIL) rappelle que celle-ci assure depuis 1978 une mission essentielle de protection de la vie privée et des libertés individuelles et émet un avis avant la transmission au Parlement de tout projet de loi créant un traitement automatisé de données nominatives.
Comment la CNIL réagit-elle aux projets de développement de vidéosurveillance et, sur le plan législatif, aux projets de dispositions relatives à la biométrie et à la carte d'identité électronique ?
Quelle est la position de la CNIL à propos de la création, figurant dans l'avant projet de révision constitutionnelle transmis au Conseil d'État, d'un défenseur des droits des citoyens ou des propositions formulées en son temps par le « Comité Balladur » ?
, se félicite que les commissions parlementaires auditionnent la CNIL, alors que celle-ci est concernée à deux égards par les évolutions constitutionnelles envisagées.
D'abord, la CNIL est concernée par le projet de création d'un défenseur des droits fondamentaux. Elle a remis au Premier ministre et à M. Édouard Balladur une note circonstanciée exposant les raisons juridiques pour lesquelles il ne lui parait pas possible de la faire dépendre d'un Défenseur des droits fondamentaux. Premièrement, l'existence d'une autorité de contrôle indépendante sur le dossier de l'informatique et des libertés constitue un critère d'admission dans l'Union européenne. Deuxièmement, la CNIL se caractérisant par sa collégialité, il serait difficile de la placer sous l'autorité d'une personne seule. Troisièmement, depuis la loi de 2004, la CNIL est dotée d'un organe contentieux, la formation retreinte, dont le Conseil d'État vient de reconnaître le caractère juridictionnel. Quatrièmement, l'activité de régulation économique, qui représente désormais plus de la moitié de la charge de travail de la CNIL, serait antinomique avec les missions du défenseur des droits fondamentaux.
Ensuite, la CNIL est concernée par une éventuelle modification du préambule constitutionnel. La CNIL a adressé une note à Mme Simone Veil pour lui suggérer d'insérer dans le nouveau corpus le droit à la protection des données personnelles. Ce droit est reconnu dans plusieurs textes internationaux et européens, en particulier dans le nouveau Traité européen. Surtout, treize des vingt-sept États membres ont intégré la notion de privacy – qui pourrait être traduite par « sphère de la vie privée » – dans leur Constitution. Cette notion comprend la protection des données personnelles au sens strict, le droit à l'intimité et le droit à l'identité.
Le nombre de Français connaissant leurs droits progresse mais reste encore trop limité : un peu plus d'un tiers d'entre eux ont conscience d'être titulaires d'un droit à la protection de données. Un important travail pédagogique est donc nécessaire. Depuis septembre 2001, le traitement des données personnelles s'est autant développé que durant les vingt ou vingt-cinq années précédentes, notamment dans le domaine régalien. La CNIL ne porte aucun jugement sur la finalité et la légitimité de chacun de ces dispositifs mais leur champ d'application évolue au fil de la publication des textes et de l'engagement des crédits nécessaires à leur mise en oeuvre, à tel point qu'ils n'ont probablement produit qu'une faible part de leurs effets et ne prendront leur pleine dimension qu'à l'échéance 2015 ou 2020. Personne n'a idée du type de société que ce phénomène pourra produire. La prudence et la lucidité doivent par conséquent inciter à mener une étude d'impact puis à respecter un processus d'évaluation de tous les nouveaux traitements de données personnelles créés de façon législative ou réglementaire. Le président de la CNIL consacre 90 % de son temps à cette problématique de la « vague normative », qui inquiète tout autant ses vingt-six homologues de l'Union européenne.
La loi de 2004 modifiant la loi de 1978 a totalement transformé la façon de travailler de la CNIL. Elle a simplifié les formalités préalables, c'est-à-dire libéré les énergies, mais renforcé l'action de contrôle a posteriori. La CNIL a adopté une stratégie en quatre points.
Premièrement, elle consacre une grande partie de son activité à des actions de communication et de pédagogie, afin d'expliquer aux citoyens qu'ils sont titulaires d'un droit et leur apprendre à le défendre. Deux cibles prioritaires ont été identifiées. D'abord, les jeunes, qui tendent à renoncer à une part de leur vie privée, notamment à travers les réseaux sociaux sur Internet, ce qui risque, des années plus tard, d'altérer leur activité professionnelle ou sociale. Ils ne bénéficient plus en effet d'un des ferments de la démocratie : le droit à l'oubli. La CNIL réfléchit au problème avec le Gouvernement et tous les deux mois des réunions ont lieu à son initiative dans une région pour de longues séances de travail avec les rectorats. Ensuite, les parlementaires, qui ont un rôle déterminant à jouer. Presque toutes les commissions du Sénat ont auditionné la CNIL et plusieurs commissions de l'Assemblée s'apprêtent à faire de même. On peut toutefois regretter que le budget de communication de la CNIL soit seize fois inférieur à celui de son homologue britannique...
Deuxièmement, à la suite de la loi de 2004, 2 300 collectivités locales, administrations et entreprises se sont dotées d'un correspondant « informatique et libertés ». Ces spécialistes intercèdent auprès des maires, directeurs d'administration centrale et chefs d'entreprise pour les guider dans le dédale des questions du traitement de données.
Troisièmement, la CNIL a considérablement développé ses contrôles : leur nombre est passé d'une quinzaine par an au début des années quatre-vingt-dix à près de 200 en 2007 et il devrait approcher les 300 en 2008. Il importe en effet de vérifier que les collectivités locales respectent la loi de 2004 et ses décrets d'application. De ce point de vue, il est regrettable que 80 collectivités locales seulement aient nommé un correspondant « informatique et libertés ». Les maires sont souvent désarmés sur ces questions alors qu'ils pourraient être aidés par un spécialiste, sachant que l'effort peut être mutualisé au sein d'une communauté de communes ou d'une association de maires.
Quatrièmement, le régime des sanctions s'est alourdi : outre les mises en demeure, la CNIL peut prononcer des avertissements publics, infliger des sanctions financières allant jusqu'à 300 000 euros, ordonner le verrouillage de systèmes, saisir le juge pénal en référé et transférer un dossier au parquet en vue d'éventuelles poursuites pénales. La CNIL exerce son pouvoir de sanction avec beaucoup de circonspection mais elle réagit vivement quand elle constate que le traitement des données par une entreprise ou une collectivité locale comporte des informations scandaleuses, portant préjudice aux citoyens.
M. Alex Türk rappelle ensuite que l'action quotidienne de la CNIL consiste à conseiller, à recevoir les plaintes, à enregistrer les déclarations, à étudier les demandes concernant des traitements qui incluent des données biométriques. Elle analyse les projets de loi et de décret touchant au domaine de l'informatique et des libertés. Elle assure également le droit d'accès des citoyens à un certain nombre de fichiers de police, et surtout au système de traitement des infractions constatées (STIC), dont le fonctionnement doit être revu pour que les informations puissent être modifiées en temps réel, notamment à la suite des relaxes. Il arrive en effet qu'une personne figurant à tort dans le STIC perde son emploi ou se voie refuser une embauche dans le secteur professionnel de la sécurité. Pour ce qui concerne le fichier des renseignements généraux (RG), l'enjeu est beaucoup moins important. Après « l'affaire Bruno Rebelle », la CNIL a été débordée de demandes d'accès à ce fichier, émanant notamment de deux catégories de personnes, les journalistes et les parlementaires ; or les intéressés sont souvent déçus de constater que s'il existe un dossier à leur nom, celui-ci contient très peu d'éléments…
Outre son action quotidienne, la CNIL doit répondre à deux grands enjeux : l'enjeu technologique et l'enjeu international.
Des technologies nouvelles, à commencer par les nanotechnologies dont les applications dans le domaine de l'information seront pleinement effectives à l'échéance 2015 ou 2020, entraîneront des changements de mode de vie en société plus importants que ceux occasionnés par Internet. Il faut y ajouter les dispositifs de traçage liés aux « pass transport », aux téléphones mobiles ou aux cartes bancaires, les moteurs de recherche et réseaux sociaux d'Internet, la vidéosurveillance, la biométrie et la géolocalisation des personnes et des biens par le recours à des bracelets électroniques ou des puces RFID (radio frequency identification). Il existe ainsi un projet européen – baptisé OPTAG – de vidéo assistée par des puces RFID insérées dans les billets d'avions afin de « tracer » les flâneurs dans les aéroports, parce qu'ils retardent les décollages, ou encore un projet d'appels téléphoniques sur le mobile des usagers du métro lorsqu'ils passent devant une affiche publicitaire.
En elles-mêmes, les nouvelles technologies ne sont pas bonnes ou mauvaises, mais il convient de déterminer si leur usage est bénéfique pour le bien collectif. La CNIL a ainsi autorisé le développement d'un projet biométrique pour suivre le parcours quotidien en bus de jeunes adultes handicapés mentaux.
De même, en matière de vidéosurveillance, les seuls dispositifs acceptables sont ceux garantissant les droits individuels, ce qui est parfaitement possible. Toutefois, la coexistence des systèmes de vidéosurveillance fait naître une incertitude sur les compétences respectives de la CNIL et des commissions départementales. Avant d'envisager de plus amples développements dans ce domaine, il paraît essentiel d'assainir le terrain juridique.
Les défis internationaux sont les plus délicats. Ces six derniers mois, deux grandes questions ont défrayé la chronique.
La première porte sur la PNL (Passenger Name List). Le gouvernement américain a exigé et obtenu des gouvernements européens et de la Commission européenne que les compagnies aériennes, avant le décollage des avions, communiquent aux autorités américaines des informations personnelles détaillées concernant les voyageurs. C'est un échec cinglant pour les vingt-sept « CNIL européennes » car les autorités américaines ne fournissent aucune garantie sur les destinataires des informations. Or, un dispositif comparable pourrait être prévu par les pays européens, ce qui entraînerait une mise en fiche généralisée des clients des compagnies aériennes.
En revanche, sur le système SWIFT (Society for Worldwide Interbank Financial Telecommunication), qui assure la sécurité des transactions bancaires mondiales, les « CNIL européennes » ont eu satisfaction. Après les attentats de septembre 2001, les États-Unis avaient obtenu l'accès à l'ensemble des informations relatives aux transactions bancaires transitant par l'un des deux centres SWIFT, situé aux États-Unis. Cela leur a permis de recueillir des informations sur des transactions intra européennes. Les « CNIL européennes » ayant souligné le risque d'espionnage économique, les gouvernements ont réexaminé la question : un troisième centre sera installé en Suisse afin que les transactions intra européennes ne transitent plus par les États-Unis ; un européen représentera l'Union européenne à Washington pour vérifier l'usage par les autorités américaines des informations liées au terrorisme. Il faut simplement souhaiter que le juge Jean-Louis Bruguière, qui a été nommé à ce poste, dispose des moyens nécessaires à sa mission.
Les systèmes juridiques européen et américain sont en compétition : 90 % au moins du commerce mondial fait appel au traitement et au transfert de données personnelles. Or quarante pays seulement – dont les vingt-sept États membres de l'Union européenne –, représentant environ 600 millions d'habitants, sont dotés d'une CNIL et sont régis par une législation fondamentale sur les questions d'informatique et de libertés. Une directive européenne de 1995 interdit de transférer des données personnelles vers des pays assurant un niveau de protection inférieur, tels que la Chine, l'Inde, les États-Unis, le Japon, la Russie et l'Amérique latine. Se pose également la question de l'offshoring, de l'externalisation vers les pays du Maghreb et d'Afrique francophone.
L'objectif est de trouver un accord juridique global sécurisant tout le champ du commerce international. Si elles rendent quelques services, les techniques juridiques mises en oeuvre jusqu'à présent ne règlent pas tous les problèmes. Jusqu'à ces derniers mois, les autorités et sociétés américaines se montraient rétives à toute discussion sur le fond. Mais les choses changent. Microsoft, Google et les réseaux sociaux commencent à comprendre que leur développement à long terme sera en partie conditionné par la régulation et se rapprochent de la CNIL française. Ils réclament néanmoins que les européens abaissent leur niveau de protection pour s'adapter à ce qu'ils qualifient de « standards internationaux ». Deux écoles sont en train de se constituer en Europe : certains considèrent que l'Union européenne doit d'entrée de jeu accepter l'idée d'un compromis ; d'autres s'opposent à ce qu'elle renonce à son système protecteur des libertés, quitte à s'engager dans de longues négociations avec les pays américains et asiatiques.
Les enjeux pour les libertés et les contraintes économiques sont considérables. La CNIL, autorité administrative indépendante, considère les deux assemblées comme ses grandes soeurs ; elle attend donc que le Parlement se saisisse de la question et fasse connaître son avis.
Après avoir remercié M. Alex Türk pour la clarté, la densité et la précision de ses explications, M. Jean-Jacques Urvoas regrette que l'opposition ne soit pas représentée au sein de la CNIL et note que la capacité de la CNIL à relever les défis actuels dépend des moyens dont elle dispose.
Une directive de 1995 fixe un cadre commun. Les homologues européennes de la CNIL ont les mêmes pouvoirs, la même philosophie et les mêmes objectifs mais pas les mêmes priorités d'action : certaines mènent des politiques de prévention et de sanction, d'autres des stratégies plus généralistes, d'autres encore privilégient le système des correspondants. Les différentes pratiques ont-elles été évaluées ? Des conclusions ont-elles été tirées quant à leur efficacité ? Qu'attend précisément la CNIL du Parlement ?
rappelle que la CNIL comprend dix-sept membres : six hauts magistrats, deux membres du Conseil économique et social, trois personnalités désignées par l'exécutif, deux sénateurs, deux députés et deux personnalités nommées respectivement par le président du Sénat et par le président de l'Assemblée nationale. Les deux sénateurs ont toujours appartenu à la majorité sénatoriale et les deux députés à la majorité soutenant le Gouvernement. Philippe Séguin, alors président de l'Assemblée nationale, avait cependant choisi un membre de l'opposition, M. Jean-Pierre Michel, comme personnalité qualifiée. Quoi qu'il en soit, quiconque a assisté à une séance plénière de la CNIL a pu aisément se convaincre du peu d'importance de l'appartenance politique de tel ou tel de ses membres.
La question des moyens est vitale. Le gouvernement actuel et le précédent ont accompli un effort peu courant pour accroître les effectifs, qui, en quatre ans, seront passés de 76 à 120 personnes, soit une augmentation de 60 %. Les effectifs des institutions comparables en Europe sont bien souvent supérieurs ; par exemple les Anglais sont 250 et les Allemands 400. Il ne s'agit d'ailleurs pas d'accroître les effectifs parisiens mais de développer sept ou huit antennes interrégionales dotées chacune d'une douzaine de collaborateurs.
La CNIL propose une modification révolutionnaire de son système de financement, sur le modèle britannique. Elle ne serait plus financée par le budget de l'État mais par des frais d'inscription au registre national versés par chaque collectivité locale et chaque entreprise. Cela accroîtrait très fortement ses moyens et lui conférerait une indépendance encore plus forte. Mais cette mesure devrait être assortie d'un resserrement du contrôle parlementaire. Le Premier ministre a donné son accord pour que cette piste soit étudiée et plusieurs présidents de commission trouvent la formule bonne. En attendant, la CNIL souhaite ne pas être rattachée à la Justice ; à l'instar d'autres autorités administratives indépendantes, elle revendique d'être placée auprès du Premier ministre.
La CNIL présente la particularité d'être une autorité généraliste, elle installe des correspondants, elle développe ses contrôles, elle accomplit un très important travail de communication dans les régions, mais elle n'a pas les moyens, par exemple, de communiquer à tous les maires le document très clair qu'elle a élaboré pour les aider à gérer tous les problèmes qu'ils rencontrent en matière d'informatique et de libertés.
Le groupe des « CNIL européennes » évalue actuellement la force de chacune des techniques employées dans les différents pays mais il faut aller plus loin. Dans trois semaines, à Rome, la CNIL française soumettra deux orientations à ses homologues : l'organisation d'auditions mondiales sur les aspects sociologiques, économiques, philosophiques et juridiques des nanotechnologies ; la collaboration des services d'expertise technologique dont disposent plusieurs CNIL afin de travailler sur l'aspect technique des nanotechnologies.
Un groupe de travail de la CNIL devrait proposer en fin d'année des modifications législatives allant dans deux directions : le changement de système budgétaire, qui passerait par la loi de finances ; l'adaptation de la loi de 2004 qui devrait intervenir dans les trois ans à venir.
s'interroge sur le placement du curseur entre les approches américaine et européenne des libertés et sur les instances appelées à en décider.
répond que l'Europe doit se battre pour essayer de maintenir son niveau de protection des libertés. Certains estiment que la solution passe par une Convention internationale adoptée sous l'égide de l'Organisation des Nations unies (ONU), mais l'opération prendrait des années. Or l'échéance se situe entre 2015 et 2020, quand les technologies nouvelles connaîtront leurs premières applications industrielles et commerciales. Une petite dizaine d'années semble trop court pour aboutir à un texte international, d'autant que la mobilisation est faible.
s'inquiète de la « Base élèves », dont l'utilisation et les incidences comportent des zones d'ombre. La CNIL a-t-elle donné des instructions à ce propos ?
Quelles réflexions a par ailleurs inspiré à la CNIL la décision du Conseil constitutionnel annulant l'article sur les données ethniques dans la loi relative à la maîtrise de l'immigration ?
indique que la CNIL a été conduite à contrôler la Base élèves. La nature des informations recueillies mérite encore d'être affinée. Les mesures de sécurité, en revanche, sont satisfaisantes.
Sur le traitement des données ethniques, les deux députés, membres de la CNIL, avaient déposé un amendement, préparé en son sein. La solution retenue était positive puisqu'elle consistait à rendre les classifications objectives et à renforcer le contrôle de manière draconienne, comme cela se pratique couramment dans le domaine médical, tout en facilitant le travail des chercheurs. Or, alors que l'article 8 de la loi de 2004 prévoit des exceptions pour les données sensibles, la décision du Conseil constitutionnel a empêché la CNIL de donner son accord à plusieurs études de l'Institut national d'études démographiques (INED) et de l'Institut national de la statistique et des études économiques (INSEE) posant des questions relatives à la diversité ethnique. Mais le commentaire autorisé de la décision paru dans le n° 23 de ses Cahiers, donne désormais à la CNIL un fondement juridique pour traiter les problèmes posées à l'INED et à l'INSEE.
précise que c'est surtout l'insertion d'une telle mesure dans la loi sur l'immigration qui avait été contestée.
précise que ce vecteur a été utilisé compte tenu de l'urgence.
s'interroge sur l'archivage par la presse quotidienne régionale, pendant des années, de ses anciens numéros, qui peuvent contenir des données personnelles sensibles, notamment dans les rubriques judiciaires.
observe qu'il convient de distinguer selon que les données sont compilées sur papier ou accessibles sur Internet, à l'instar des décisions de justice qui sont anonymisées lorsqu'elles sont mises en ligne. Les actes d'état civil datant de moins de cent ans, les informations issues du cadastre et l'utilisation des fichiers électoraux pour des motifs commerciaux doivent faire l'objet des mêmes précautions.
s'enquiert de la position de la CNIL sur le fichier ELOI, concernant les étrangers en instance d'éloignement.
Face à la vague technologique et à la vague normative, le passage à une société de surveillance est-elle une crainte ou une réalité ?
estime que le monde est entré dans une société de surveillance. La protection des données personnelles est de même nature que celle de la protection de l'environnement : tout comme le patrimoine naturel n'est pas renouvelable, le capital de droits fondamentaux ne se reconstituera pas s'il est mutilé par les excès technologiques. Il convient de se montrer collectivement beaucoup plus prudents avant de prendre de nouvelles décisions en matière de traitement des données, sous peine de perdre des acquis essentiels comme le droit à l'oubli et à la vie privée ou la liberté d'aller et venir.
D'une part, les pouvoirs publics doivent mener un travail beaucoup plus poussé d'évaluation de l'impact des évolutions technologiques. Ces dernières sont suivies en quelques semaines par des applications industrielles et commerciales, tandis que le droit, tenu par le temps démocratique, est beaucoup plus lent.
D'autre part, il est impossible de dresser une CNIL entre chaque technologie et chaque citoyen. Il faut donc faire oeuvre de pédagogie pour que chacun soit vigilant, conserve son libre arbitre et ait la capacité d'effectuer des choix de vie. La jeunesse, surtout, doit apprendre à distinguer les technologies apportant un bénéfice en termes de sécurité ou de bien-être économique et refuser les autres, comme celle consistant à se faire implanter une puce électronique dans le bras pour payer ses consommations en discothèque. La tâche est immense et la CNIL manque de philosophes et de sociologues pour concevoir cette pédagogie vigoureuse destinée à défendre les libertés.
ajoute que la censure par le Conseil d'État du texte instaurant le fichier ELOI s'appuyait sur un double fondement : un décret aurait été nécessaire, et non un simple arrêté ; la CNIL n'avait pas rendu d'avis formel. Le décret finalement publié a repris deux recommandations de la CNIL : les avocats défendant les personnes retenues ne seront plus recensés dans le fichier et la durée de conservation des données sera réduite. Un second recours a toutefois été déposé par les associations.