La CNIL critique le projet de loi sur la sécurité publique et les atteintes au chiffrement
Note pour l'avenir : saisir la CNIL
Le 11 juillet 2017 à 15h23
6 min
Droit
Droit
Pour énerver une autorité comme la CNIL, rien de plus simple. Il suffit de rédiger un texte créant de nouveaux fichiers aspirant quantité de données personnelles, et de ne pas la consulter. Le projet de loi sur la sécurité publique et contre le terrorisme en est le parfait exemple.
Faute d’avoir été saisie par le gouvernement, la CNIL a rappelé bruyamment à l’exécutif son existence dans un communiqué sur son site. Elle insiste sur la nécessaire « vigilance, tant de méthode que de fond, qu’exige la préparation des lois affectant les données personnelles des citoyens ». Ambiance.
« Les citoyens attendent que la lutte contre le terrorisme soit efficace, mais aussi qu’elle se fasse dans le respect dû à la protection de leur vie privée et de leurs données. C’est une condition de respect de l’Etat de droit, d’acceptabilité sociale et de légitimité des politiques de sécurité. La CNIL a précisément reçu du législateur la mission de veiller à cet équilibre » rappelle l’autorité administrative dans un style diplomatique très allégé.
Des critiques qui visent le contournement de la CNIL
Ses sentences ne relèvent pas seulement de la politesse de base. Le doigt sur l’article 11 de la loi de 1978, elle remémore au gouvernement son obligation de la consulter sur toutes les dispositions de projet de loi relatives à la protection des données à caractère personnel.
Or, avec le projet de loi venant transférer dans le droit commun des pans entiers de l’état d’urgence, on est clairement dans ce périmètre : il vient modifier les traitements de données d’enregistrement et de réservation des passagers aériens ou sur les navires, et intègre des dispositions relatives aux communications électroniques par voie hertzienne. D’autres problématiques liées à la vie privée, comme la localisation des personnes sous surveillance électronique mobile, l’obligation de déclarer ses identifiants, les saisies informatiques... bref, tous ces points auraient dû faire « tilt » dans l’esprit de l’exécutif et susciter la saisine de la Commission. Il n’en a rien été.
Des critiques qui visent aussi le projet de loi
Le mécontentement de la CNIL ne se limite pas à son contournement. Il vise aussi le contenu même du projet de loi. « Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives (…), elle estime que ces garanties devraient être renforcées ».
Parmi les brèches mises à l’index, arrive déjà l’obligation de déclarer les identifiants. Pour la CNIL, le texte est calibré pour être très gourmand puisque son champ embrasse « la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc. ». Et les oublieux risqueront trois ans d’emprisonnement et 45 000 euros d’amende… « Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants », ni même les conditions de conservations de ce stock comme l’a déjà critiquées le sénateur Michel Mercier (UDI).
La fin du caractère expérimental du PNR (Passenger Name Record) suscite également des inquiétudes. Ce fichier est « susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée » considère la CNIL alors que le traitement envisagé en France est plus ample que celui prévu par le droit européen. Chez nous , il pourra « être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation ».
Le manque de contrôle global des fichiers du renseignement
Boudée, la CNIL poursuit sur sa lancée en revenant sur une problématique déjà soulevée lors de la loi sur le renseignement. Si les opérations des services du renseignement impliquent l’intervention a priori de la Commission nationale de contrôle des techniques du renseignement, et a posteriori d’une formation spéciale du Conseil d’Etat en cas de contentieux, « il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes ». Pourtant il s’agit à ses yeux d’un impératif dès lors que le sécuritaire devient plus prégnant.
L’autorité, qui plaide évidemment pour jouer ce rôle, juge la situation paradoxale : « les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect ».
Le chiffrement, un élément essentiel de la résilience de nos sociétés
Et pour ne pas avoir à être une nouvelle fois oubliée, elle en profite pour ajouter une couche sur un sujet non abordé par le projet de loi : le chiffrement. On sait que le plan ébauché par Emmanuel Macron et Theresa May rêve de « permettre l’accès au contenu chiffré ». Comment ? En créant « une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.) ». A l’instar du Conseil national du numérique, la CNIL indique aux deux protagonistes que « le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli ». Une analyse partagée par l'ANSSI.
Une politique contraire, reposant par exemple sur l’introduction de backdoors, mettrait « en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées ». C'est bien simple, ces atteintes « créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. »
La CNIL critique le projet de loi sur la sécurité publique et les atteintes au chiffrement
-
Des critiques qui visent le contournement de la CNIL
-
Des critiques qui visent aussi le projet de loi
-
Le manque de contrôle global des fichiers du renseignement
-
Le chiffrement, un élément essentiel de la résilience de nos sociétés
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 11/07/2017 à 15h33
Tiens, c’est bizarre, ne pas consulter les commissions lorsque l’on sait qu’elles donneront un avis contraire, ne pas consulter les citoyens pour les mêmes raisons…
Allez, à quand l’interdiction du port 443 pour éviter que les pédoterroristes ne chiffrent leurs communications ?!
Et vive la république, vive la démocratie !
Le 11/07/2017 à 15h42
Heureusement que la CNIL veille et tente de faire son taf.
Ça reste bien tous les mêmes, c’est la République au Pas.
Le 11/07/2017 à 15h43
Il me semble que l’obligation de déclarer ses identifiants se heurte au droit de rester silencieux sans que ce silence puisse être reproché.
Je pensais que le “nous avons les moyens de vous faire parler” avait disparu avec l’état de droit et l’interdiction de la torture.
Visiblement les marcheurs avancent à reculons de l’histoire …
Le 11/07/2017 à 16h02
encore un avis avec lequel le gouvernement va pouvoir se torcher…
Le 11/07/2017 à 16h08
Le 11/07/2017 à 16h12
“…” rappelle l’autorité administrative dans un style diplomatique très allégé.
Oui, c’est le moins qu’on puisse dire. La prochaine étape c’est un communiqué façon Michel Audiard:
“Mais il connaît pas la CNIL, ce mec ! il va avoir un réveil pénible. J’ai voulu être diplomate à cause de vous tous, éviter que le sang coule. Mais maintenant c’est fini, je vais le travailler en férocité, le faire marcher à coup de lattes ! À ma pogne, je veux le voir ! Et je vous promets qu’il demandera pardon, et au garde-à-vous !”
" />
Le 11/07/2017 à 16h16
Gare au bourre-pif…
Le 11/07/2017 à 18h07
« La CNIL ? C’est une startup dans quel domaine ? »
Le 11/07/2017 à 19h54
Je n’y avais pas pensé, mais je trouve que ce dialogue est de circonstance … Merci MM Audiard et 127.0.0.1
" />
Le 11/07/2017 à 19h57
GRANDE BRADERIE DE BAIGNOIRES ET DE GEGENES CHEZ KILOUTOU © ! ! !
Le 11/07/2017 à 23h13
Du coup c’est quoi leur justification ? Ils savaient pas mais ils savent reconnaitre leurs erreurs alors tout est pardonné ?
Cela dit, c’est habile, parce que le but c’est jamais de passer tout le texte; on met des passages bien grossiers et liberticides histoire de donner du grain a moudre aux médias et a l’opposition, mais on grignote quand meme le droit commun en faisant passer les autres mesures une fois que ça a bien été retoqué.
Le 12/07/2017 à 04h43
visiblement, vous n’êtes pas à la hauteur de la pensée complexe de notre président.
Le 12/07/2017 à 07h28
en rajoutant encore le reste de la famille jusqu’à l’arrière grand père la boucle sera bouclée
Le 12/07/2017 à 07h53
Puisqu’on vous dit que c’est parfaitement conforme à l’Etat de Droit tout ça ! La preuve, c’est voté conformément aux institutions, par une Assemblée Nationale sur proposition d’un Gouvernement dont le président a été élu au suffrage universel direct.
On fait pas plus “état de droit” que ça, si…?
Le 12/07/2017 à 09h12
Trop tard : tout et parti en quelques heures !
Reste quelques fauteuils de dentiste, c’est sans danger, façon Dustin Hoffman …
Le 12/07/2017 à 09h16
Le 12/07/2017 à 14h19
Réponse du gouvernement à ce communiqué : CNIL toi
Le 12/07/2017 à 17h38