Fichiers privés ou publics, « vos informations personnelles ont de la valeur, ne vous en fichez pas ! »

Le 9 juillet dernier, la Commission nationale informatique et libertés (CNIL) a présenté son 27^e rapport d’activité pour l’année 2006.

A cette occasion, son président, Alex Türk, a lancé une alerte sur « la société de surveillance  » (parfois invisible) qui «  menace notre capital de protection des données et nos libertés  ».

La CNIL a ainsi relevé trois grandes tendances à risques en matière de protection des données et a présenté sa nouvelle politique de contrôle et de sanction.

- Les trois grandes tendances :

† La convergence des technologies (biométrie, vidéosurveillance et géolocalisation)

Selon le président de la CNIL « la grande menace c’est qu’à échéance, il y ait une conjugaison de l’ensemble de ces dispositifs. C’est pour cela que je crains l’endormissement : les gens ne se rendent pas compte qu’il y a mise en place autour d’eux d’un certain nombre de technologies, qui peuvent être invasives (...). Et cela ne se voit pas  »[2].

- Les demandes d’autorisation de mise en œuvre de dispositifs biométriques ont été multipliées par dix en un an[3].

Les finalités les plus courantes de ces traitements sont : le contrôle de l’accès aux locaux sur les lieux de travail[4], la gestion des horaires et de la restauration des salariés[5], l’accès au restaurant scolaire[6].

Pour ces trois finalités, la CNIL a publié des autorisations uniques, qui permettent aux responsables des traitements de les mettre en place après une simple déclaration de conformité, dès lors que le dispositif respecte les exigences technologiques imposées (contour de la main ou empreinte digitale exclusivement enregistré sur un support individuel).

En revanche, les systèmes biométriques reposant sur la reconnaissance de l’empreinte digitale dans une base centralisée font l’objet d’une demande d’autorisation auprès de la CNIL, et doivent être justifiés par un « fort impératif de sécurité  ».

Concernant les traitements publics, un article paru dans le journal Le Monde s’inquiète des évolutions du Fichier national automatisé des empreintes génétiques (Fnaeg). Initialement limité aux seules infractions de nature sexuelle, ce fichier a été considérablement élargi. Il concerne désormais trois-quarts des affaires traitées devant les tribunaux français, « à l’exception notable de la délinquance financière, ou encore de l’alcoolisme au volant  »[7]. De surcroît, une circulaire du ministère de la Justice du 31 mai dernier[8] tend à simplifier sa gestion afin d’en réduire les coûts humains et financiers, au détriment de la sécurité et donc de la protection des libertés. Aujourd’hui, le FNAEG recenserait près de 500 000 profils génétiques[9], contre 6 000 en 2003.

Pour l’avenir, de nouveaux fichiers publics seront débattus, notamment, avec le retour annoncé du projet INES. Il s’agit des futures cartes nationales d’identité électroniques qui devraient intégrer les empreintes digitales.

- 880 déclarations relatives aux systèmes de vidéosurveillance (300 en 2005).

La CNIL constate une évolution de ces dispositifs vers la vidéosurveillance dite « IP », qui utilise les technologies internet (filaire ou Wi-Fi) pour la transmission des images. Certains systèmes enregistrent simultanément son et image, et analysent les mouvements (détection d’un colis abandonné, comptage du nombre de clients entrant et sortant).

Actuellement, le Royaume-Uni est le pays au monde ayant le plus de caméras de surveillance par habitant : 1 pour 14 Britanniques, dont certaines ont désormais la parole... ! L’ICO, l’équivalent de la CNIL outre-Manche, préoccupée par cette évolution, a publié un rapport sur la société de la surveillance[10].

- Les traitements de géolocalisation des véhicules de salariés.

La géolocalisation des salariés par GPS ou téléphonie mobile a diverses finalités : assistance à la navigation, gestion en temps réel des moyens humains et en véhicules d’entreprises, contrôles des prestations, etc.

Dans sa recommandation du 16 mars 2006[11], la CNIL précise que ce dispositif ne doit pas conduire à un contrôle permanent des employés. Il doit être possible de désactiver ce système en dehors des heures de travail pour les véhicules également utilisés à des fins privées. De plus, il est interdit de collecter les données relatives aux dépassements de limitation de vitesse.

Le Commissaire de la CNIL en charge du secteur a précisé que la Commission réalisera une série de contrôle sur ces dispositifs et que quelques plaintes sont d’ores et déjà en cours de traitement.

Dans le cadre de sa mission de conseil, la CNIL a travaillé avec la ville de Paris pour garantir la liberté d’aller et venir anonymement dans le cadre de l’abonnement VELIB[12] (système de location de vélos de la ville de Paris).

† La profusion des réglementations françaises et européennes relatives à la lutte antiterroriste

Ces réglementations, « qui de manière invisible peuvent s’interconnecter  »[13], posent le problème de la difficile conciliation entre les impératifs de sécurité publique et le respect des libertés individuelles et collectives.

La loi antiterroriste du 23 janvier 2006 a par exemple étendu les possibilités d’exploitation, par les services de police, des données de connexion internet et de téléphonie mobile, notamment en élargissant la définition des personnes tenues de conserver ces données.

Le 30 mai 2006, la CNIL a rendu un « avis très circonstancié  » sur un projet de décret précisant les conditions de réquisitions judiciaires par voie électronique[14], dans la mesure où ces dispositions ne comportaient pas de garanties suffisantes concernant la liste des organismes publics ou privés susceptibles de faire l’objet de telles réquisitions. En effet, ce projet vise des administrations et des organismes de Sécurité sociale qui sont exclus du champ des réquisitions électroniques par le Code de procédure pénale, car gérant des données protégées par le secret professionnel.

Au niveau de l’Union européenne, le Parlement européen[15] a amendé le projet de base centrale VIS (système d’information sur les visas) dans le but de renforcer les garanties en matière de protection des données, notamment, en imposant des modalités d’accès aux autorités chargées de la sécurité intérieure des Etats membres. Ce traitement sera la plus grande base biométrique du monde (photos et empreintes digitales des demandeurs de visas de l’espace Shengen), soit 70 millions de personnes au maximum[16].

† La tension des relations entre les Etats-Unis et l’Union européenne.

Depuis le 11 septembre 2001, les relations transatlantiques sont marquées par les surenchères sécuritaires de l’administration américaine qui portent atteintes au droit communautaire relatif à la protection des données personnelles des Européens.

- L’affaire SWIFT (révélée par le New York Times en juin 2006).

SWIFT est une société coopérative interbancaire de droit belge qui gère les transactions financières mondiales de 8007 établissements financiers établis dans 207 pays. En 2008, SWIFT sera au cœur du futur Système européen de paiement (SEPA), et deviendra de facto le réseau par lequel transitera l’intégralité des ordres de paiement de l’Union européenne.

Or, depuis les attentats de 2001, la CIA et le Trésor américain (UST) accèdent via les serveurs SWIFT à l’ensemble des transferts financiers européens, sans accord et information préalable des autorités européennes et nationales compétentes.

À défaut d’accord international envisageable, des règles d’usage ont été formalisées par le Trésor américain, qui devrait prochainement les adopter officiellement. Dans ce document unilatéral, l’UST s’est engagé à encadrer l’accès aux données SWIFT et à les traiter uniquement dans le cadre de la lutte contre le terrorisme et son financement.

Toutefois, le groupe de l’article 29 (organe européen regroupant les « CNIL » des États membres), estime qu’un certain nombre de ces règles sont trop vagues, et donc inaptes à garantir le principe de proportionnalité du traitement.

Le risque d’espionnage économique est donc toujours présent.

Dans un autre cadre et afin de sécuriser des données stratégiques, les gouvernements français et allemand ont récemment interdit l’utilisation des « Blackberry » (assistant personnel : téléphone et courriers électroniques ».

- Le nouvel accord Passager Name Record (PNR).

Depuis le 11 septembre 2001, les compagnies aériennes européennes ont l’obligation de permettre l’accès des données PNR[17] (centralisées sur le serveur AMADEUS) aux autorités américaines dès lors que leurs avions survolent le territoire US.

En 2004, la Commission européenne avait conclu un accord avec l’administration Bush afin de légaliser ces transferts de données.

En 2006, cet accord a été annulé par la Cour de justice européenne, au motif que la procédure reposait sur une base juridique erronée.

Le nouvel accord conclu en octobre 2006 légalise le transfert des données PNR au FBI et à la CIA, et autorise une durée de conservation de trois ans et demi. Les données PNR transmises sont limitées à 34 catégories, les informations dites « sensibles » (préférences alimentaires, état de santé, convictions religieuses...) sont interdites. Cet accord doit être renégocié avant le 31 juillet 2007, date à laquelle un troisième compromis devra être signé.

La CNIL a exprimé de nombreuses craintes à ce sujet. En effet, le nouvel accord qui entrera en vigueur le 1^er août 2007 restreindra certainement les faibles garanties existantes :

- Augmentation du nombre d’autorités américaines accédant aux données PNR.

- La finalité (lutte antiterroriste) pourra varier unilatéralement en fonction de l’évolution de la législation des États-Unis.

- En cas de nécessité, les autorités US auront accès aux données dites « sensibles » (origine raciale, ethnique, opinions politiques, état de santé...).

- La durée de conservation est étendue à quinze ans, sans garantie de destruction au terme du délai.

- Le passage au système « push » (envoi des données par les compagnies aériennes)[18], déjà prévu dans l’accord de 2006, est reporté au 1^er janvier 2008 sous réserve de l’acceptation des conditions techniques par les États-Unis.

Sous couvert de lutte antiterroriste légitime, les outils mis en œuvre présentent donc des risques excessifs aux regards des libertés individuelles.

La CNIL a ainsi été saisie par un citoyen français, incarcéré sans motif à son arrivée à l’aéroport de Houston, puis contraint d’embarquer le lendemain pour un vol à destination de Paris. Il ressort des investigations de la Commission, que ce passager était inscrit à tord dans le fichier américian « no fly list », qui recense les personnes interdites de vol à destination des États-Unis. À ce jour, aucune garantie de rectification n’a été apportée par l’administration qui gère ce fichier. Selon le ministère américain de la Sécurité intérieure, près de 9 000 personnes auraient obtenu la rectification de leurs données dans ce fichier.

- Les contrôles et sanctions en 2006 :

L’année 2006 fut également marquée par la volonté de la CNIL d’exercer pleinement son pouvoir de contrôle (127 contrôles[19] : + 35 % par rapport à 2005) et ses nouveaux instruments de sanctions :

- 94 mises en demeure (dont 31 suite aux contrôles),

- - 4 avertissements (dont 1 suite aux contrôles),

- - 7 injonctions de cesser ou modifier un fichier,

- - 11 sanctions financières pour un montant total de 168 300 € (dont 5 suite aux contrôles).

La CNIL a constaté l’efficacité de la procédure de mise en demeure de faire cesser un manquement à la loi « Informatique et Libertés ». En effet, dans 82 % des cas les organismes se conforment à ses demandes, ce qui clôt la procédure de sanction engagée.

Les 4 avertissements concernent deux opérateurs de télécommunications, un parti politique et une banque.

Typologie des sanctions pécuniaires (amendes de 300 à 45 000 €) :

- 2 banques françaises pour inscription abusive dans le fichier national des incidents de remboursement des crédits aux particuliers (FICP).

- 5 sociétés pour non-respect du droit d’opposition (prospection commerciale).

- 1 prestataire internet pour SPAM.

- 1 étude d’huissiers pour commentaires abusifs sur des débiteurs dans la zone « note bloc » du logiciel de gestion client.

- 1 société pour transfert irrégulier de son fichier de gestion des ressources humaines hors union européenne.

La CNIL a également utilisé son pouvoir de publicité en rendant public les sanctions financières à l’encontre du Crédit Lyonnais et du Crédit agricole Centre France pour manque de coopération et de transparence.

Selon le Commissaire de la CNIL en charge du secteur, cette publicité « a eu des répercussions positives au sein de l’ensemble de la profession bancaire ».

En 2007, l’action de la CNIL continue... 6 sociétés ont été condamnées à des sanctions financières pour un total de 120 000 €.

£££

Devant ces nouveaux défis et avec 570 % d’augmentation de son activité en trois ans, le président de la CNIL, Alex Türk, demande une revalorisation et une « sanctuarisation  » de son budget[20] correspondant à la réalité de ses nouvelles missions (adoptées par le législateur en août 2004).

À titre de comparaison, la CNIL dispose de 95 agents, contre 113 en République Tchèque[21], 115 en Pologne[22], 270 au Royaume-Uni et 400 en Allemagne.

Le président de la Commission constate aussi que le second décret d’application de la loi « Informatique et Libertés » (25 mars 2007) a fortement remis en cause l’action et l’existence même de la CNIL. Les dispositions du décret tendent en effet « à alourdir à l’excès les procédures, à allonger les délais de réponse des administrations aux citoyens et, parfois, à limiter l’autonomie de fonctionnement de la CNIL  ».

Nicolas Samarcq

Juriste TIC

www.lexagone.com

Membre de l’AFCDP

(Association Française des Correspondants aux Données Personnelles)