Il y a 20 ans, la CNIL se couchait devant l’État
La novlangue sécuritaire de 1984 2004
Hier, nous avons publié une rétrospective de 50 ans d’histoire de la CNIL, avec un passage rapide sur les changements apportés par la loi de 2004. Ils sont loin d’être anodins et ont modifié en profondeur l’ADN de la Commission, notamment dans son rapport avec le gouvernement, dont elle est indépendante.
Le 26 mars 2024 à 16h04
11 min
Droit
Droit
La loi de 2004 arrive avec six ans de retard
Sous couvert de transposer la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel, le Parlement adoptait, en 2004, une refonte de la loi de 1978 opérant un véritable renversement de perspectives.
Cette refonte de 2004 avait d’ailleurs fait bondir Louis Joinet (premier directeur de la CNIL) et Raymond Forni, ancien vice-président de la Commission de 1998 à 2000. La France aurait dû transposer cette directive depuis 1998 (elle avait donc six ans de retard) et elle fut le dernier pays de l’Union européenne à le faire.
L’État s’immunise contre les sanctions de la CNIL…
Entre autres choses, le projet de loi revenait, en effet, à retirer à la CNIL ses pouvoirs de sanction dès lors que c’est l’État qui serait pris en flagrant délit d’infraction, et libéralisait la création de fichiers portant sur l’ensemble de la population.
De plus, il donnait un délai courant jusqu'en 2010 (soit un délai de six ans) aux fichiers policiers et de renseignement (dont plusieurs étaient alors « hors la loi », et truffés d'erreurs) pour qu'ils se mettent en conformité, et s’avèrent « adéquats, pertinents, exacts, complets et, si nécessaire, mis à jour ». Un comble, pour une loi initialement créée pour encadrer le fichage policier.
Le projet retirait en outre à la CNIL le fait d’autoriser, ou non, « les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et portant sur des données biométriques nécessaires à l’authentification et au contrôle de l’identité des personnes ». Il faisait de même pour les traitements tendant à « faciliter le développement de l’administration électronique » et ayant recours au numéro de sécurité sociale, anticipant donc la future carte d’identité biométrique, ainsi que le dossier médical partagé.
… et s'émancipe de son avis « conforme »
Le gouvernement avait également fait adopter un amendement retirant à la CNIL ses « pouvoirs de contrôle sur place et sur pièce » des « traitements intéressant la sûreté de l’État », en pratique les fichiers les plus sensibles de la DST et de la DGSE… « à la demande de services de renseignements étrangers » et au nom de la règle du tiers service, qui impose qu’un service de renseignement destinataire d’informations émanant d’un autre service de renseignement ne peut les retransmettre à un autre service (i.e. service tiers) qu’avec l’accord du service émetteur.
De plus, la loi de 2004 mettait fin aux « avis conformes » de la CNIL, qui constituait jusque-là son principal (contre-)pouvoir. En effet, et selon la loi de 1978, en cas d'avis défavorable de la Commission, le gouvernement ne pouvait passer outre que par un décret pris sur avis conforme du Conseil d'État. Sa seule possibilité de passer en force était de créer le traitement par une loi.
Or, et depuis 2004, le gouvernement n'est plus tenu de respecter l'avis de la CNIL, ni même d'en tenir compte. Sa seule obligation est uniquement de le publier au Journal Officiel.
La CNIL et le camouflet du fichier des « gens honnêtes »
Ce qui permit, par exemple, à Bernard Cazeneuve de décider, par simple décret – sans communiqué, dossier de presse ni débat parlementaire – de centraliser les empreintes digitales de l'ensemble des détenteurs d'une carte nationale d'identité dans le fichier des titres électroniques sécurisés (ou fichier TES). Une décision prise avant même de recevoir l'avis (négatif) de la CNIL (qui préconisait l'inscription des empreintes digitales dans la seule puce électronique, sans fichage centralisé), mais aussi avant même de le lui avoir demandé.
Et ce, quand bien même le Conseil constitutionnel avait pourtant, précédemment, censuré un projet similaire, porté par Claude Guéant et Nicolas Sarkozy. À l’époque, le motif était qu'il avait « porté au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi ». Une telle mesure était donc contraire à la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
Un « fichier des gens honnêtes » justifié, au demeurant, par le fait d'économiser quelques « équivalents temps-plein » de postes de fonctionnaires. Ces derniers étaient en effet jusque-là payés pour la maintenance d'une « application obsolète » appelée FNG ou Fichier national de gestion, mise en service en 1987. La maintenance informatique (en langage « cobol ») était devenue délicate, et ne permettait pas de transmission numérisée, mais uniquement papier, entre les mairies et les services préfectoraux.
En résumé : la loi de 2004 permit au gouvernement de décider de centraliser dans un seul et même fichier les empreintes digitales de la quasi-totalité de la population, malgré un avis négatif de la CNIL, et une précédente censure du Conseil constitutionnel, au motif qu'un tel fichage serait « disproportionné », pour... économiser quelques postes de fonctionnaires.
Et ce, alors que la « proportionnalité » est pourtant l'un des cinq grands principes des règles de protection des données personnelles et donc de la loi « relative à l’informatique, aux fichiers et aux libertés ».
« Il faut sauver la loi informatique et libertés »
La refonte de la loi avait à l'époque fait bondir Louis Joinet et Raymond Forni, ancien vice-président de la CNIL et considéré comme le « père inspiré » de la loi Informatique et libertés.
Dans une tribune intitulée « Il faut sauver la loi informatique et libertés », ils déploraient que cette refonte de la loi de 1978 interviennent sur fonds d'inflation sécuritaire post-attentats du 11 septembre 2001 : « Ces deux dernières années ont été mises à profit pour créer le plus grand nombre de fichiers à des fins sécuritaires de notre histoire, le plus souvent sans se soucier des avis de la CNIL ».
Louis Joinet et Raymond Forni reconnaissaient, certes, que la loi de 1978 devait être dépoussiérée et allégée, de sorte de l'adapter à l'informatisation croissante de la société. Mais aussi au fait que la majeure partie des fichiers informatisés étaient depuis créés et maintenus par des entreprises privées, contrairement à ce qui était le cas en 1978.
« Une Commission désormais tenue dans l’ignorance »
Ils n'en déploraient pas moins une forme d'exonération des responsables de fichiers de toute formalité dès lors qu'ils aient désigné un « "correspondant à la protection des données" dont les attributions et les garanties d’indépendance sont entourées d’un flou juridique inquiétant ».
« À l’évidence, cette niche à exonérations risque d’être fort attractive pour de nombreuses entreprises face à une Commission désormais tenue dans l’ignorance de la création de milliers de fichiers », précisaient-ils, alors que cette refonte « favorisera les grands groupes auxquels est ainsi offerte la possibilité légale d’échapper au contrôle de la CNIL ».
En tout état de cause, ce renversement de perspectives de la CNIL fut suivi d'effets bien concrets en termes d'inflation sécuritaire : en 2011, le nombre de fichiers policiers avait ainsi « augmenté de 169 % depuis l'arrivée de Nicolas Sarkozy au ministère de l'Intérieur, en 2002 », puis son élection à la présidence de la République, en 2007. Et « plus de la moitié des 70 fichiers » alors recensés avaient été créés sous son autorité.
De plus, lorsque la loi d'orientation et de programmation pour la performance de la sécurité intérieure (LOPPSI 2) fut adoptée, en 2011, c’était la 42e loi sécuritaire adoptée par le Parlement depuis 2002.
Les arguments d’Alex Türk, alors président de la CNIL
Ce projet de refonte de la loi de 1978 avait, par ailleurs, été porté par Alex Turk, alors sénateur divers droite, membre de la CNIL depuis 1992, dont il venait aussi et surtout de prendre la présidence. Il justifiait ce retournement de perspectives au motif que la CNIL était « débordée » et « envahie sous la paperasse », que l’avis conforme de l'autorité sur les fichiers de police n’avait « jamais utilisé en 20 ans », et qu'elle obtenait, en contrepartie, des pouvoirs d’enquête, d’investigation et de sanctions administratives et financières renforcés… mais ne visant que les seules entreprises privées.
Et ce, alors même qu'il estima pourtant que la « vague sécuritaire » apparue dans la foulée des attentats du 11 septembre 2001 « pourrait bien submerger » les autorités de protection de données personnelles : « ces politiques liées aux nouvelles exigences de sécurité publique » étaient susceptibles de constituer ce qu'il qualifia (en gras) de « choc de civilisation ».
« La difficulté majeure », poursuivait Alex Türk, vient de ce que, « aujourd’hui, l’informatique est devenue une informatique de "confort" indispensable dans tous les actes de la vie quotidienne (pour se contacter, se localiser, s’informer, se sécuriser…). Mais nos concitoyens se préoccupent-ils de la traçabilité et de la surveillance potentielle de leurs déplacements, de leurs comportements, de leurs relations ? (…) Pouvait-on prévoir que l’on pourrait être identifié à distance par son passeport ou encore que l’on pourrait rechercher un passé judiciaire sur internet "grâce" aux formidables capacités d’investigation dans la vie privée qu’offrent aujourd’hui les moteurs de recherche ? ».
Quoi qu’il en soit, les prises de position d'Alex Türk faisaient alors débat, au point d'être plusieurs fois nommé aux Big Brother Awards [ndla : dont je faisais partie], ces récompenses ironiques décernées aux personnalités ou entreprises remarquées pour leur mépris des libertés individuelles ou leur promotion du contrôle des citoyens, « notamment en 2003, 2004 et 2005 "pour l'ensemble de son œuvre", ainsi qu'en 2010 pour son usage de la novlangue », comme le rappelle Wikipédia.
La novlangue du sénateur et président de la CNIL
Alex Türk avait aussi voté pour la LOPPSI 2 qui, entre autres choses, visait à remplacer le mot « vidéosurveillance » par celui de « vidéoprotection », au motif que le premier serait « inapproprié » car le terme de « surveillance » pouvait « laisser penser à nos concitoyens, à tort, que ces systèmes pourraient porter atteinte à certains aspects de la vie privée ». Un vote que le président de la CNIL avait justifié en avançant que cela rendrait plus facile l’installation de systèmes de vidéosurveillance par les maires « de gauche ».
Reconnaissant qu'il s’agissait « avant tout de communication politique », il expliqua en effet que « les maires de gauche que je rencontre – j’en rencontre autant que de maires de droite – reconnaissent que le terme "vidéoprotection" passe mieux auprès de leurs administrés », et que « si cette expression permet d’aider les maires qui ont fait le choix, comme c’est leur droit, de recourir à un tel système, je ne vois pas pourquoi on les empêcherait de l’utiliser ».
Il avait également voté pour la loi HADOPI et ce, malgré l'avis défavorable de la CNIL qu'il présidait. Un vote qu'il justifia par le fait que la CNIL « n’émet pas d’avis favorable ou défavorable »… une conséquence directe de la refonte de la loi de 2004 qui, depuis, a en effet réduit la CNIL à ne plus pouvoir émettre que des avis « consultatifs » en réponse aux projets émanant de l'État.
Il y a 20 ans, la CNIL se couchait devant l’État
-
La loi de 2004 arrive avec six ans de retard
-
L’État s’immunise contre les sanctions de la CNIL…
-
… et s'émancipe de son avis « conforme »
-
La CNIL et le camouflet du fichier des « gens honnêtes »
-
« Il faut sauver la loi informatique et libertés »
-
« Une Commission désormais tenue dans l’ignorance »
-
Les arguments d’Alex Türk, alors président de la CNIL
-
La novlangue du sénateur et président de la CNIL
Commentaires (19)
Modifié le 26/03/2024 à 16h50
Elle avait besoin d'évoluer parce que entre 1978 et 2004, l'informatique a explosé et qu'il était effectivement impossible à la CNIL de traiter chaque déclaration de fichier.
Par contre, oui il aurait fallu que la CNIL garde plus de pouvoirs vis-à-vis de l'État.
Modifié le 26/03/2024 à 16h55
Le 2004 en bleu ressort très mal avec le thème giga noir, surtout sur la page d'accueil sur le gris.
Le 26/03/2024 à 17h00
Le 26/03/2024 à 16h59
Au fait que sont devenus les Big Brother Awards ?
Le 26/03/2024 à 17h23
Modifié le 26/03/2024 à 17h42
Le 26/03/2024 à 18h47
Mais sinon, quel rapport avec le défenseur des droits, Alex Turk étant par ailleurs resté à la CNIL jusqu'en 2011...
Modifié le 27/03/2024 à 06h14
Sources: un condensé des livres de droit des libertés publiques de la BU et interviews des analyses des suites de la commission Veil (Simone) suite à la non inscription de la vie privée dans la Constitution (que Alex Türk soutenait).
Le 27/03/2024 à 11h00
: Elu en son sein, le président de la CNIL ne pourra plus être un élu. L'article 4 dispose en effet : « La fonction de président de la commission est incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La durée du mandat de président est de cinq ans. »
Le 27/03/2024 à 11h23
Le 27/03/2024 à 12h32
Le 27/03/2024 à 12h35
Le 26/03/2024 à 19h20
Le 26/03/2024 à 20h52
Le 26/03/2024 à 23h12
Modifié le 27/03/2024 à 03h51
Pour ceux dont la création a eu lieu, et qui ignoraient pouvoir s'y opposer, la suppression est possible.
Du coup, vu les cgu sur monespacesante.fr/cgu, je me pose des questions sur la pertinence de ton pavé.
"3.3 Opposition à la création de « Mon espace santé »
Si l’Usager ne souhaite pas que Mon espace santé soit créé pour lui ou son enfant mineur, ou le majeur qu’il représente, il peut exercer son droit d’opposition durant un délai de six semaines à compter de l’envoi de l'e-mail ou du courrier d’invitation.
A l’expiration de ce délais, l’Usager peut demander la clôture de son profil Mon espace santé (cf. paragraphe 3.5.2.f Clôturer Mon espace santé)."
Pas de compte monespacesanté, Aucune des tracasseries dont tu fais état.
L'usager lambda n'est pas au courant.
Quand bien même il le serait, ça lui en touche une sans faire bouger l'autre.
Et les usagers avertis, et préoccupés par ça, ont des leviers pour s'y opposer.
Après, je dois tout communiquer manuellement lors de mes prises en charge, mais c'est le prix à payer.
Et ça ne me change pas d'avant, donc je n'y vois aucun problème.
Le 27/03/2024 à 09h35
Modifié le 27/03/2024 à 11h09
Autre exemple (et d'autres), toujours sur le Covid : https://www.lepoint.fr/societe/secret-medical-consentement-du-patient-toutes-les-digues-ont-cede-13-05-2020-2375278_23.php
Autre exemple dans la fonction publique : « VIII.-Nonobstant toutes dispositions contraires, peuvent être communiqués, sur leur demande, aux services administratifs placés auprès de l'autorité à laquelle appartient le pouvoir de décision et dont les agents sont tenus au secret professionnel, les seuls renseignements médicaux ou pièces médicales dont la production est indispensable pour l'examen des droits définis par le présent article. » Article 7 - République Française
Autre exemple ici : https://www.cdm44.org/un-patient-peut-il-demander-la-suppression-de-certains-elements-de-son-dossier-medical-ij
"La CNIL considère que la demande d’un patient que soient effacées des données de son dossier médical ne peut être satisfaite si ces données inscrites dans le dossier ne sont ni inexactes, ni incomplètes, ni équivoques, ni périmées et que leur collecte, utilisation, communication ou conservation sont conformes à la loi. "
On pourra toujours rétorquer que c'est pour faire des contrôles "légitimes", mais alors il faut bien admettre que le secret médical ne tient pas toujours quand il y a des enjeux.
Il y a encore d'autres exemples et je vais pas tous les citer, et les choses pourront encore évoluer. Je ne cherche pas à dire que c'est tout noir. Je dis juste que le secret médical est relatif, et il l'est de plus en plus.
Modifié le 27/03/2024 à 10h14