Le relâchement inopportun du contrôle sur les fichiers publics par Julien Le clainche.

Le projet de modification de la loi 78/17 du 6 janvier 1978 a été adopté le 30 janvier 2002 par l’Assemblée nationale. Au terme de ce document, force est de constater que le contrôle de la commission nationale de l’informatique et des libertés (CNIL) sur les fichiers publics s’amenuise. L’instabilité politique actuelle rend pourtant nécessaire une réflexion sur l’opportunité d’un relâchement du contrôle des fichiers de l’Etat.

Il faut donc considérer l’évolution de la menace depuis 1978, avant d’exposer les modifications que se propose d’apporter le projet de loi pour enfin déterminer leur opportunité.

L’évolution de la menace depuis 1978

Dans le courant des années soixante-dix, plusieurs ordres juridiques adoptaient des lois relatives à la protection des personnes à l’égard des traitements informatisés de données à caractère personnel. Le Privacy Act américain de 1974 et loi "informatique et libertés" de 1978 en sont des illustrations.

Cette réaction législative s’expliquait par la prise compte de la menace que pouvaient constituer les fichiers publics. A cet égard, la France avait été alarmée par un article, de Philippe Boucher, intitulé "SAFARI ou la chasse aux français", publié dans le quotidien ’Le Monde’. La préoccupation qui justifiait, jusque dans les pays de Common Law, ces interventions législatives, était la protection du citoyen contre les moyens démesurés des administrations.

Depuis cette époque, la menace a évolué. Les traitements informatisés de données à caractère personnel ne sont plus l’apanage des grandes administrations, mais sont désormais accessibles aux opérateurs privés. De nouvelles formes de collectes et d’exploitations des "traces" se sont développées. Les données personnelles représentent maintenant un marché et leur traitement est souvent indispensable à la fourniture de service. Dans ce contexte, il est évident que centrer son attention sur les seuls fichiers publics serait inadapté. Telles sont d’ailleurs les conclusions du livre blanc "Administration électronique et données personnelles" :

"les risques et les inquiétudes en matière de vie privée se sont déplacées des ’grands fichiers’ vers les ’traces’, des administrations vers les opérateurs privés."

Les traitements de données personnelles sont donc devenus indispensables (scolarité, emploi, santé, prestations sociales, services géo-localisés...). Parallèlement, la quantité et la fluidité des informations traitées ont rendu plus aigu‘ le souci de la protection des données personnelles au regard de la dangerosité du traitement, peu importe sa nature publique ou privée.

S’il est indéniable que les inquiétudes se sont déplacées des administrations vers les opérateurs privés, en va-t-il de même pour les risques ? Contrairement au projet de loi et au livre blanc sur "l’administration électronique et les données personnelles", nous pensons qu’il y a eu développement et non, déplacement de la menace.

Le contrôle des fichiers publics dans le projet de loi

Le projet de loi réduit considérablement le contrôle de la création des fichiers publics.

L’article 15 loi "Informatique et libertés" de 1978 instituait un régime de consultation de la CNIL, préalable à la création de traitements automatisés d’informations nominatives opérés pour le compte de l’Etat, d’un établissement public ou d’une collectivité territoriale, ou d’une personne morale de droit privé gérant un service public. Il ne pouvait être passé outre l’avis défavorable de la CNIL que par un décret pris sur avis conforme du Conseil d’Etat. L’avis défavorable était donc lourd de conséquences.

Article 15 de la loi du 6 janvier 1978 :
Hormis les cas où ils doivent être autorisés par la loi, les traitements automatisés d’informations nominatives opérés pour le compte de l’Etat, d’un établissement public ou d’une collectivité territoriale, ou d’une personne morale de droit privé gérant un service public, sont décidés par un acte réglementaire pris après avis motivé de la Commission nationale de l’informatique et des libertés.

Si l’avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d’Etat ou s’agissant d’une collectivité territoriale, en vertu d’une décision de son organe délibérant approuvée par décret pris sur avis conforme du Conseil d’Etat.

L’article 26.I du projet de loi adopté le 30 janvier 2002 instaure un régime non seulement plus complexe mais encore, moins protecteur.

" Art. 26.I. Sont autorisés par arrêté du ou des ministres compétents, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’Etat"

Les traitements sont autorisés par arrêté du ou des ministres compétents, ce qui revient à un régime "d’auto-autorisation" par le ministre responsable du traitement !

Si l’avis de la CNIL est toujours requis, celui-ci n’a plus la même portée. En effet, le silence est gardé quant à l’hypothèse d’un avis défavorable. La procédure du décret pris sur avis favorable du Conseil d’Etat a vécu. La CNIL est donc renvoyée à un rôle consultatif.

Le III de l’article 26 ajoute :

"Certains traitements mentionnés au I et au II peuvent être dispensés, par décret en Conseil d-Etat, de la publication de l-acte réglementaire qui les autorise ; pour ces traitements, est publié, en même temps que le décret autorisant la dispense de publication de l-acte, le sens de l-avis émis par la commission."

Il s’agit des traitements :

  Qui intéressent la sûreté de l’Etat, la défense ou la sécurité publique ; (26.I)
- Ou qui ont pour objet la prévention, la recherche ou la poursuite des infractions pénales, ou l-exécution des condamnations pénales ou des mesures de sûreté. (26.I)
- Qui portent sur des données sensibles. (26.II)

L’article 27 du projet de loi prévoit quant à lui un régime, plus protecteur, d’autorisation par décret en Conseil d’Etat pour certaines catégories de traitements.

Il s’agit des traitements :

  Qui portent sur des données parmi lesquelles figure le numéro d’inscription des personnes au répertoire national d’identification des personnes physiques
- Qui portent sur la totalité ou la quasi-totalité de la population de la France. (Article 27.I)

Sont en revanche, soumis à un régime d’autorisation par arrêté :

  Les traitements qui requièrent une consultation du répertoire national d’identification des personnes physiques sans inclure le numéro d’inscription à ce répertoire.
- Ceux des traitements mentionnés à l’article 27.I, qui ne comportent pas de données sensibles, qui n’ont pas pour objet une interconnexion entre des fichiers ayant des fins correspondant à des intérêts publics différents.

La définition des traitements de données devant être créée par arrêté est extrêmement vague et large. Le contrôle des fichiers de l’Etat est donc considérablement assoupli.

Un relâchement du contrôle des fichiers publics inopportun

La prise en compte du développement des traitements de données personnelles du secteur privé ne doit pas se faire au détriment du contrôle des fichiers de l’Etat. En effet, il ne s’agit pas d’un déplacement de la menace mais de son extension.

A cet égard, l’avis de la CNIl sur le projet de loi dispose :

l’abandon d’un examen systématique et préalable de tous les traitements automatisés de données personnelles, ne doit pas avoir pour effet d’abaisser le niveau de garanties jusqu’à présent reconnu dans la mise en oeuvre par l’Etat de certains fichiers ou traitements de données particulièrement sensibles (fichiers de police, interconnexions de fichiers publics) à l’égard desquels la loi du 6 janvier 1978 a prévu, dans le souci d’apaiser les craintes qu’ils pouvaient légitimement susciter, des mécanismes de contrôle rigoureux.

En outre, l’activité de la CNIL témoigne des risques inhérents aux fichiers publics. Ses avis relatifs au fichier "STIC" répertoriant les auteurs d’infractions de cinquième classe (plus de 6 millions d’individus y sont inscrits) furent nombreux et ont abouti à ce que les témoins des infractions ne figurent plus dans le fichier. Ainsi, la restriction du pouvoir de contrôle de la commission sur les fichiers publics trouve peut-être son origine dans les actions passées de la CNIL qui ont pu agacer les gouvernants.

La menace que font planer les fichiers publics doit impérativement être prise en compte. Georges Brassens chantait : "Rien n’est jamais acquis à l’homme, ni sa force ni sa faiblesse, et quand il croit, dans ses bras serrer son bonheur, il le broie...", rien n’est plus vrai. Le respect du jeu démocratique par les dirigeants actuels ne doit pas faire oublier que les rouages de la représentation peuvent amener un ennemi de la démocratie au pouvoir. A ce titre, la montée de l’extrémisme sous toutes ses formes en Europe est préoccupante.

En effet, l’extrémisme politique intéresse spécialement les fichiers publics. Quand les électeurs autrichiens, italiens puis français se tournent vers des solutions extrêmes, le risque est présent. Il ne s’agit pas de brandir l’épouvantail de l’Allemagne nazie, mais force est de constater qu’une étape a été franchie, l’intolérance progresse.

Dans un tel contexte, il est essentiel de préserver les minorités de la menace que représentent les fichiers détenus par l’Etat. Il semble donc que le relâchement du contrôle soit assez inopportun. Heureusement, le projet de loi est encore susceptible d’être amendé.

Documents utiles

+ Guy Braibant, Données personnelles et société de l’information, rapport au premier ministre. Le Documentation française, 1999.
+ La loi "Informatique et libertés de 1978 modifiée : —Version html— --Version pdf—
+ le projet de loi
+ La page de la Cnil consacrée à la transposition de la directive 95/46

Auteur : Julien Le Clainche Source : www.droit-ntic.com

— Julien Le Clainche —