Fichiers de police : mais que fait la Cnil ?
▻https://www.mediapart.fr/journal/france/221220/fichiers-de-police-mais-que-fait-la-cnil?userid=1eb4a4b9-4488-43fd-b86c-a2
Le passage en force du ministère de l’intérieur à l’occasion de la publication des décrets sur les fichiers Pasp et Gipasp, étendant le fichage policier aux « opinions politiques », met en lumière la faiblesse des pouvoirs de la Cnil, une institution créée en 1978 pour protéger les citoyens contre les dérives étatiques.
La publication, au début du mois de décembre, de trois décrets renforçant le fichage policier, notamment en l’étendant aux « opinions politiques », a placé en porte-à-faux la principale institution chargée de protéger les données personnelles des Français : la Commission nationale de l’informatique et des libertés (Cnil).
Consultée, la commission a bien rendu des avis. Mais une partie de ses réserves a été écartée par le ministère de l’intérieur. De plus, le texte a été réécrit après sa consultation pour y introduire sa mesure la plus polémique : le fichage des opinions politiques.
Parallèlement, la polémique a pris un tour politique. Interpellé lors des questions au gouvernement, appelé par l’opposition à s’expliquer devant la commission des lois du Sénat, le ministre de l’intérieur, Gérald Darmanin, s’est dit prêt à « préciser » ses décrets, tout en se défendant de mettre en place « une sorte de Big Brother ». Le gouvernement pourrait même être contraint à cette réécriture si l’un des recours annoncés débouche sur une censure. L’un d’entre eux, déposé par la CGT, FO, la FSU, le Syndicat des avocats de France (SAF), le Syndicat de la magistrature (SM), Solidaires, l’Unef, ainsi que l’association Gisti, doit être examiné, ce mercredi 23 décembre, à partir de 15 heures par le Conseil d’État.
Pour rappel, ces trois décrets, publiés le vendredi 4 décembre, concernent trois fichiers : celui de la « prévention des atteintes à la sécurité publique » (Pasp), utilisé par le renseignement territorial de la police, son équivalent pour la gendarmerie, celui de « gestion de l’information et prévention des atteintes à la sécurité publique » (Gipasp) et, enfin, celui des « enquêtes administratives liées à la sécurité publique » (Easo), utilisé dans le cadre des enquêtes réalisées sur les candidats à certaines professions, comme policier, magistrat ou agent de sécurité privée.
Si ces fichiers ne sont pas nouveaux, les décrets leur donnent une tout autre dimension. Ils ajoutent de nouvelles finalités comme les menaces contre la « sûreté de l’État » et non plus seulement les menaces « à l’ordre public ». Et ils incluent de nouvelles informations, notamment celles relatives « à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale », alors qu’auparavant seules les « activités » de ce type étaient répertoriées.
© AFP © AFP
De son côté, la Cnil a rendu des avis mitigés sur ces trois textes. Elle en valide l’essentiel. Concernant l’extension du champ d’application des fichiers, notamment aux atteintes « portant sur la sûreté de l’État », elle considère « que les modifications projetées sont justifiées ».
Cependant, dans le même temps, les avis ont formulé des réserves, dont plusieurs n’ont pas été prises en compte. La Cnil avait ainsi demandé à ce que soient précisées les notions d’« habitudes de vie », de « déplacements » et de « pratiques sportives » qui pourront désormais être fichées. Mais, surtout, mercredi 9 décembre, France Info révélait que la commission n’avait même pas été consultée concernant l’introduction des « opinions » dans le cadre des fichiers Pasp et Gipasp, cette mention ayant été ajoutée après que la Cnil a rendu ses avis.
En réponse, la commission s’est contentée de publier sur son site une note rappelant son rôle en matière de consultation sur les projets de fichiers du gouvernement et résumant ses précédents avis, confirmant au passage ne pas avoir été consultée sur l’introduction des « opinions politiques ».
Beaucoup, associations et responsables politiques, se sont indignés de ce que le gouvernement puisse faire publier au Journal officiel un texte comportant de tels risques pour les libertés publiques, sans tenir compte entièrement de l’avis de la Cnil, et même en contournant celle-ci sur un point essentiel introduit a posteriori.
L’affaire n’est pourtant pas nouvelle. Il est en effet courant que le gouvernement ne tienne pas compte des positions de la Cnil, dont les avis ne le lient aucunement. « L’avis ne constitue ni une autorisation ni un refus, explique Émilie Seruga-Cau, cheffe du service des affaires régaliennes et des collectivités territoriales à la Cnil. Le but est de conseiller le gouvernement. »
« La Cnil a un rôle d’accompagnement dans le cadre duquel la loi Informatique et libertés énumère différentes missions, dont celle de conseil, qui passe par la remise d’avis sur les projets du gouvernement, poursuit-elle. Ceux-ci sont rendus après des échanges avec le gouvernement et une instruction du dossier. Mais l’avis ne porte que sur un projet de texte qui n’est pas définitif. Le but est d’éclairer le gouvernement et celui-ci est susceptible de modifier son texte pour tenir compte de l’avis ou de l’examen ultérieur fait par le Conseil d’État. »
Ces explications sont loin de satisfaire ceux qui, depuis plusieurs années, dénoncent une perte de pouvoir de la Cnil, comme l’association de défense des libertés numériques La Quadrature du Net. « C’est quand même dingue qu’elle n’ait même pas été consultée ! » s’indigne Arthur Messaud, juriste à l’association. « Si la Cnil est bien une autorité de conseil, il serait justement dans l’intérêt du gouvernement de lui soumettre des mesures qui risqueraient de ne pas passer devant le Conseil d’État, poursuit Félix Tréguer, sociologue et également membre de La Quadrature du Net. Elle devrait pouvoir faire passer ses arguments, mais on voit bien qu’elle n’y arrive pas. »
La polémique autour de ces trois décrets met en tout cas en lumière les difficultés que peut avoir la Cnil à réguler les fichiers de police, et le régime dérogatoire dont bénéficient ceux-ci. Tout d’abord, ils ont été exclus du Règlement général sur la protection des données (RGPD), un texte européen adopté en 2016, pour être inclus dans une directive « police-justice ». Ces deux textes ont été transposés en France par la loi relative à la protection des données du 20 juin 2018.
L’une des premières particularités des fichiers de police est de faire obligatoirement l’objet d’un acte réglementaire : soit un « arrêté du ou des ministres compétents » pour la plupart des fichiers de police, soit un « décret en Conseil d’État » pour ceux comportant des données sensibles comme « des données génétiques » ou « des données biométriques ».
Même si ces actes réglementaires doivent être toujours accompagnés d’un avis de la Cnil, ces dispositions prévues par « les articles 31 et 32 de la loi de 1978 imposent de créer les fichiers de police par un acte réglementaire, donc en excluant le Parlement. Il y a un problème de constitutionnalité », estime Félix Tréguer. « Tout passe par décret en échange d’un contre-pouvoir au rabais. Ce n’est pas très démocratique », ajoute Arthur Messaud.
En outre, certains fichiers particulièrement sensibles, comme certains fichiers des services de renseignement, peuvent bénéficier d’une dispense de publication de l’acte réglementaire. Dans ce cas, seul l’intitulé du décret est publié, accompagné d’un avis de la Cnil résumé à son strict minimum. Un avis qui, de plus, n’oblige en rien le gouvernement.
Il fut pourtant un temps où les pouvoirs de la Cnil furent tout autre. À sa création, elle disposait même de celui de rendre des « avis conformes » auxquels le gouvernement était contraint de se plier. La commission pouvait ainsi s’opposer frontalement à la création d’un fichier de police ou exiger sa modification.
La question du fichage pratiqué par l’État était d’ailleurs au cœur des débats ayant mené à l’adoption de la loi Informatique et libertés. L’idée de doter la France d’un grand texte sur la protection des données personnelles est née à la suite de la révélation, le 21 mars 1974 par Le Monde, du projet Safari, pour « système automatisé pour les fichiers administratifs et le répertoire des individus », qui prévoyait d’interconnecter l’ensemble de fichiers administratifs sur la base des numéros Insee des Français.
L’émotion suscitée par ce projet de fichage généralisé de l’ensemble de la population a conduit à la nomination d’une commission présidée par le conseiller d’État Bernard Tricot, qui remet son rapport en juin 1975. Celui-ci sert de base au travail législatif qui aboutira à l’adoption de la loi Informatique et libertés du 6 janvier 1978 et à la naissance effective de la Cnil, deux ans plus tard.
Lors des débats parlementaires, la question du fichage policier est au cœur des inquiétudes, et le souvenir de l’efficacité en la matière du régime de Vichy durant l’Occupation est encore vivace.
« En cette heure, je pense avec effroi à ce qu’aurait été le sort de la Résistance si la police allemande et la milice de Vichy avaient disposé de moyens informatiques modernes. Elles n’auraient pas attendu le printemps 1944 pour démanteler ses réseaux ! Et aucun texte ne les aurait retenues », déclare ainsi à l’ouverture des discussions, le 4 octobre 1977, le député UDR Jean Foyer, rapporteur du texte.
Ce juriste, ancien ministre de la justice et l’un des artisans de la Constitution de 1958, justifie alors la nécessité de créer une institution indépendante pour défendre les libertés des citoyens par une défiance nécessaire vis-à-vis de l’État. « Les libertés publiques ne sont jamais respectées que par les gouvernements épris de liberté, avertissait Jean Foyer. Les libertés publiques sont des fleurs de beaux jours, elles ne prospèrent pas dans les temps de guerre, de crise, de troubles ou de désordres. La législation sur les libertés publiques – c’est une constatation historique et assez dramatique – est une législation pour les jours heureux. »
Une référence historique que l’on retrouve jusque dans le choix du bâtiment abritant la Cnil, qui, durant l’Occupation, était celui du commissariat général au travail obligatoire. Comme le rappelle une plaque commémorative, c’est là que, le 25 février 1944, la Résistance mena une opération commando afin de détruire le fichier des jeunes Français susceptibles d’être envoyés au travail obligatoire.
Pourtant, peu à peu, la Cnil a vu ses pouvoirs contraignants réduits au profit d’un rôle d’accompagnement et de conseil du gouvernement. « Dès le début des années 1990, des observateurs font le constat d’une insuffisance de ses pouvoirs, explique Felix Tréguer. La loi du 10 juillet 1991 sur le secret des correspondances, par exemple, confie à un nouvel organisme la charge de contrôler la surveillance effectuée par les services de renseignement, la Commission nationale de contrôle des interceptions de sécurité (CNCIS). »
« À partir du milieu des années 1990 va commencer à émerger le débat sur la vidéosurveillance dans lequel la Cnil a une position assez critique, poursuit le sociologue. À partir de ce moment, une partie de la classe politique va commencer à se demander si la commission n’a pas trop de pouvoirs. Cela va déboucher sur la réforme de 2004, qui lui enlève son principal pouvoir et la transforme en conseiller du prince. »
L’adoption de la loi du 6 août 2004 est, en effet, un tournant dans l’histoire de la Cnil. C’est ce texte qui retire à la commission sa principale arme contre les fichiers de police : l’avis conforme. Désormais, elle ne sera plus que consultée. Et c’est à partir de cette période que les reproches quant à son indulgence vis-à-vis du gouvernement vont se multiplier. Le rapporteur du texte, Alex Türk, qui deviendra dans la foulée le nouveau président de la Cnil, sera d’ailleurs nommé cette année-là aux Big Brother Awards, une cérémonie qui récompensait alors les personnalités et les projets les plus « orwelliens ».
Le 14 juillet 2004, plusieurs anciens membres de la Cnil s’étaient invités dans le débat avec une tribune publiée dans Le Monde, soulevant plusieurs points résonnant avec la polémique actuelle. En effet, avant la loi du 6 août 2004, il était strictement interdit « de collecter et d’enregistrer des données sensibles (origine ethnique, opinions politiques ou religieuses, mœurs, etc.). Ce principe –conquête du Parlement lors du vote de la loi de 1978 – serait désormais assorti de neuf dérogations », s’inquiétaient les signataires. Et l’une d’elles concerne justement les « fichiers intéressant la sécurité publique, la défense et la sureté de l’État, c’est-à-dire les plus sensibles de tous les fichiers ».
De plus, « lorsqu’ils comportent de telles données sensibles, ces fichiers ne peuvent être mis en œuvre actuellement que par décret pris après un avis conforme de la Cnil et du Conseil d’État. Désormais, l’avis de la Cnil ne liera plus le conseil d’État et encore moins le gouvernement, puisque la réforme vise précisément à le libérer de cette contrainte. »
Concernant la publication des avis de la Cnil au Journal officiel, les signataires s’interrogeaient : « Où est, là encore, la cohérence d’une garantie qui consiste, alors qu’il s’agit de fichiers à haut risque, à publier un texte valant autorisation, indifférent à l’opinion voisine pouvant être opposée ? N’est-ce pas préférer au débat les polémiques stériles en prenant à témoin une opinion incrédule lorsqu’elle constatera que le fichier aura déjà été créé et les textes qui l’organisent publiés ? En somme, on offre une transparence qui, en réalité, met fin au dialogue en évitant le débat. »
En évoquant les anciens pouvoirs de la commission, les auteurs concluaient : « Cette Cnil-là doit être sauvegardée, tous ses avis rendus publics. Aucun fichier sensible ne doit être créé sans son autorisation. Le projet de loi est à refaire. »
Émilie Seruga-Cau, de son côté, défend le dispositif actuel. « L’avis de la Cnil est toujours obligatoire. S’il n’est ni une autorisation ni un refus, c’est parce que son but est d’éclairer le gouvernement et, le cas échéant, le Conseil d’État. À l’occasion de ces décrets, on a d’ailleurs pu voir leur force, car ils ont conduit à leur modification pour prendre en compte la position de la Cnil. Et, historiquement, les avis de la Cnil ont déjà pu conduire à l’abandon de certains projets, comme le fichier Edvige. Il ne faut donc pas les minimiser. »
La responsable des fichiers régaliens de la Cnil appelle à considérer « le contrôle a priori comme un élément d’un ensemble. Il y a l’examen par le Conseil d’État et le contrôle a posteriori. Tout ça s’inscrit dans une même logique », explique-t-elle.
Pourtant, ce pouvoir de contrôle lui-même est contesté. Pour les citoyens fichés, vouloir faire jouer son droit d’accès aux données les concernant, pour éventuellement les faire effacer ou corriger en cas d’erreur, relève le plus souvent du parcours du combattant pouvant impliquer de saisir une formation spécialisée du Conseil d’État. Et si la personne est inscrite dans l’un des fichiers intéressant la sûreté de l’État, le gouvernement pourra, de toute manière, s’opposer à toute transmission d’information. Dans ce cas, la Cnil se contentera d’indiquer qu’elle a effectué les vérifications, sans plus de précision.
Or, les quelques informations publiées sur l’état des fichiers de police sont loin d’être rassurantes. Le dernier rapport de la mission d’information de l’Assemblée nationale sur les fichiers de police et de gendarmerie, publié le 17 octobre 2018, pointait de nombreux problèmes. Les auteurs évoquaient notamment le problème des nombreux fichiers de police illégaux. Celui-ci est ancien et faisait alors, expliquait le rapport d’un « mouvement de régularisation » mené par la Cnil. Pourtant, « compte tenu des délais de préparation des textes et de l’augmentation du nombre de fichiers (80 recensés), 45 % d’entre eux restaient dépourvus de base juridique », expliquaient les auteurs.
Cette régularisation de fichiers non déclarés est une autre critique émise contre la Cnil. Régulièrement, celle-ci semble en effet valider dans ses avis des pratiques que certains voudraient voir sanctionnées. C’est d’ailleurs encore le cas avec les décrets sur les fichiers Pasp et Gipasp pour lesquels la commission pointe, dans ses avis, qu’ils ont pour but de « tenir compte de l’évolution de certaines pratiques dans l’utilisation de ce traitement et, ce faisant, de les régulariser ».
« C’était déjà la même logique avec la loi Renseignement de 2015, rappelle Felix Tréguer. Cela pose la question de l’impunité des responsables administratifs et politiques de ces projets. Les situations d’illégalité constantes court-circuitent le débat démocratique. » « Plus qu’une impunité, c’est un encouragement, ajoute Arthur Messaud. Les services sont incités à installer des pratiques illégales dont ils savent qu’elles seront légalisées. »
Il existe également de nombreuses inquiétudes sur la manière dont sont tenus ces fichiers. En juin 2013, la Cnil avait rendu un rapport sur ses contrôles effectués au sein des « fichiers d’antécédents du ministère de l’intérieur », et notamment le système de traitement des infractions constatées (Stic), qui recense toutes les personnes impliquées dans une enquête de police, qu’elles soient suspectes ou victimes. La commission, qui avait constaté un taux d’erreur de 40 % dans les fiches qu’elle avait contrôlées, alertait sur « un nombre important d’erreurs et d’imprécisions dans le fichier Stic et plus généralement dans les fichiers d’antécédents ».
Sur cette question de la tenue des fichiers, Émilie Seruga-Cau se veut rassurante : « On constate une amélioration due à la diffusion d’une culture “informatique et libertés”, affirme-t-elle. Désormais, toutes les administrations ont une personne ou un département en charge de la protection des données. »
Les militants de La Quadrature du Net, auteurs de nombreux recours contre des projets de surveillance gouvernementaux, regrettent, de leur côté, ce qu’ils estiment être « un recul de la Cnil sur les questions régaliennes ». « On aimerait que la Cnil reprenne le pouvoir sur le contrôle des fichiers de police », affirme Felix Tréguer. « Il n’y a quasiment plus de bras de fer, hormis sur quelques sujets comme le Health Data Hub », poursuit le sociologue.
En effet, la commission est encore capable de rendre certaines décisions fortes, comme son avis s’opposant au déploiement d’un système de contrôle biométrique à l’entrée des lycées à Nice et à Marseille. « Mais elle pourrait appliquer la même casuistique juridique à plein d’autres projets qui pullulent et que nous recensons sur notre projet Technopolice. Or, elle ne le fait pas », pointe le sociologue.
« J’ai l’impression que c’est un peu le Conseil d’État qui a pris le rôle de la Cnil, estime, de son côté, Arthur Messaud. Mais le Conseil d’État n’a pas la même culture en matière d’informatique et pas la même indépendance. On se dit : “Au pire il y a le Conseil d’État…” »
« Aujourd’hui, la Cnil est devenue une organisation assez technocratique et pas très politique, reprend Felix Tréguer. Pourtant, lors des débats sur la loi Informatique et libertés de 1978, elle avait été présentée comme un gardien devant empêcher le basculement dans une société de surveillance. On ne peut que constater qu’elle a échoué. »
#activisme #données #religion #profiling #syndicat #CNIL #LaQuadratureduNet #Pasp #Gipasp
