Observée du coin de l’œil depuis que les révélations portant sur les différents programmes de surveillance étatiques ne cessent de tomber, la CNIL s’est surtout illustrée par sa temporisation. L’institution tente néanmoins de reprendre la main et met aujourd’hui sur la table différentes propositions qu’elle présente comme des « solutions pour prévenir de telles pratiques ». Au programme notamment : une extension de son pouvoir de contrôle sur les fichiers des services de renseignements français.

Le mois dernier, la CNIL laissait transparaître son impuissance quant au contrôle des programmes de surveillance étatiques. Répondant à plusieurs associations qui l’avaient saisi suite aux révélations portant notamment sur Prism, l’institution expliquait effectivement que la loi Informatique et Liberté faisait « obstacle à ce que la CNIL puisse contrôler, de manière générale, les traitements utilisés en matière de lutte anti-terroriste et de sûreté nationale ».

La CNIL passe à l’offensive

Mais alors que de nouvelles révélations - issues une nouvelle fois des documents dérobés par Edward Snowden - tendaient à démontrer en début de semaine que la NSA avait espionné les conversations téléphoniques de nombreux Français, la CNIL a de nouveau évoqué le sujet lors de sa séance plénière d’hier. Et l’on dirait que la gardienne des données personnelles s’est décidée à passer à l’offensive après être restée bien discrète sur le sujet. « Si la lutte contre le terrorisme ou certaines menaces à l'ordre public peuvent justifier des atteintes ponctuelles et ciblées à la vie privée des personnes, la CNIL rappelle que, dans un État de droit, aucune considération ne saurait justifier une surveillance généralisée et indifférenciée de la population, pas plus que la "mécanisation" de cette surveillance par une aspiration automatique des données » a-t-elle ainsi averti.

L’autorité administrative poursuit en faisant part de son « inquiétude » et de sa « réprobation à l'égard de traitements qui auraient un tel objet ou un tel effet ». La CNIL affirme désormais que « le traitement Prism constitue une violation de la vie privée des citoyens européens d'une ampleur inédite ». Pour faire bouger un tant soit peu les choses, la gardienne des données personnelles préconise néanmoins d’agiter deux leviers.

Agir au niveau international et sur un plan juridique

D’un, la CNIL propose d’agir au travers de la législation européenne, cet échelon étant présenté comme « le niveau pertinent de réponse en la matière ». Plus précisément, l’autorité administrative mise sur les discussions qui se tiennent au sujet du projet de règlement européen relatif à la protection des données personnelles, lequel pourrait être définitivement adopté d’ici l’année prochaine. La CNIL rappelle ainsi qu’elle souhaiterait « que tout transfert de données relatives à des citoyens européens à la demande d'États tiers soit subordonné à l'autorisation des autorités des pays des citoyens concernés ».

De deux, l’institution propose d’agir au travers d’accords internationaux. Elle prône par exemple des accords entre les États membres de l'Union européenne et les États-Unis, et ce afin d’encadrer les échanges de données de renseignement entre ces pays. Selon l’autorité administrative, ceci permettra « aux entreprises sollicitées à ce titre de s'opposer à la divulgation de ces données en l'absence d'un tel accord ».

Aucun élément confirmant ou infirmant l'existence d'un « Prism à la française » 

Il est enfin un sujet sur lequel la CNIL s’était peu exprimée jusqu’ici : les activités de surveillance de l’État français à l’encontre des personnes résidant sur son propre territoire. Le Monde révélait en effet cet été l’existence d’un programme de surveillance « Prism » à la française, dont les contours juridiques semblaient pour le moins hasardeux. L’autorité administrative avait alors saisi le gouvernement afin d’avoir davantage de précision sur ces informations.

Dans son communiqué d’hier, la CNIL fait référence à ses réclamations adressées au Premier ministre, au ministre de l’Intérieur ainsi qu’à celui de la Défense, mais elle ne dit pas quels retours elle a obtenu (si elle en a eu). Dans une interview au Monde, la présidente de la CNIL a cependant affirmé que l’institution n’avait « jamais vu d'éléments qui permettent soit de confirmer, soit d'infirmer l'existence d'un Prism à la française ». Mais selon Isabelle Falque-Pierrotin, « si un système de collecte massive de données de citoyens français existait, il serait "a-légal" ».

Vers un contrôle portant sur les fichiers de renseignement ? 

Après avoir insisté sur le fait que la loi Informatique et Libertés « ne [lui] permet pas de contrôler, de manière générale, les fichiers de renseignement », la CNIL termine son propos en affirmant qu’elle a également « proposé au gouvernement de renforcer son pouvoir de contrôle en la matière, selon des modalités adaptées à la nécessité de protéger les secrets attachés à ces activités ». D’après la présidente de l’autorité administrative, « il serait légitime que la CNIL puisse exercer sur eux [les fichiers de la DGSE, de la direction du renseignement militaire et des différents organes de renseignement français, ndlr] un véritable contrôle démocratique, tout en respectant le secret défense ». La balle est désormais dans le camp du ministère de l’Intérieur.