Avertir le modérateur

fichier

  • Tous fichés au nom de la Déesse Sécurité

    L’an dernier, je tapais sur le « gouvernement » qui vendait tout sur l’autel de la Déesse Laïcité, mais je dois changer mon analyse, en essayant de suivre les frasques de notre « gouvernement », qui n’a rien de solide – tout le monde le sait – mais est en train de passer du liquide au gazeux. Pendant ces temps de Hollandisme triomphant, le système ne tient plus que grâce au mythe de la lutte contre le terrorisme, et à l’idolâtrerie de la Déesse Sécurité.

    Dernier épisode, le fichage national de nos données personnelles. La Déesse Sécurité amoureuse de la Princesse Biométrie... Ça craint ! 

    Très honnêtement, je ne suis pas trop bien placé pour analyser ce texte. Bien sûr, j’ai en tête la décision du Conseil constitutionnel du 22 mars 2012 qui avait annulé la loi de Sarko l’instaurant, et la manip de Hollande reprenant le même contenu sous la forme d’un décret pour contourner le Conseil constitutionnel est un aveu suffisant. Hollande et Sarko sont deux frères de lait

    Mais nous sommes là sur des données qui lient étroitement le droit des libertés et la technique informatique. Or, je suis trop ignorant du second volet pour parler du tout.

    Voici donc cinq documents sur le sujet, et alors que chacun s’instruise, moi le premier. 

    La sécurité nous fait perdre la tête. 

    maxresdefault.jpg

    1

    François Saint-Bonnet, historien du droit et des libertés publiques, n’est pas d’accord.

    François Saint-Bonnet est professeur à l'Université Paris II Panthéon-Assas, spécialiste du droit des libertés et de l'histoire des institutions, donne son point de vue dans L’Express

    Historiquement, quelle est la particularité du fichier TES ? 

    Si l'on regarde l'histoire de la mise en place des fichiers, on observe deux logiques. La première date de la deuxième moitié du XIXe siècle, quand apparaissent les fichiers manuels de police. C'est une logique d'investigation, qui correspond aux tendances un peu scientistes de l'époque: c'est l'idée qu'on peut trouver des profils de criminels, catégoriser cette population. 

    Il s'agit d'une philosophie essentialiste, qui consiste à s'intéresser non pas à ce que font les gens, mais à ce qu'ils sont. S'ils commettent un acte criminel, il y a une sorte de fatalité à ce qu'ils restent des criminels. En cela, cette philosophie est contraire à celle de la Révolution Française, qui consiste à punir des faits criminels, pas des criminels, et qui stipule que, quoiqu'il arrive, on est présumé innocent. 

    La deuxième logique, née au XVIe siècle avec l'état civil, se développe dans l'entre-deux guerres avec l'Etat providence et les prestations sociales. C'est une logique de prestation de services.  

    Qu'est-ce qui pose problème dans le nouveau fichier ? 

    On confond ces deux logiques. D'un côté, fournir des cartes d'identité, de l'autre, éviter la falsification des passeports et faciliter la vérification d'identité. Or, ce n'est pas du tout la même chose. Ce qui doit prévaloir dans une logique de lutte contre la criminalité, c'est le droit à l'oubli. Dans une logique de prestation de service, c'est le contraire. On doit tout retenir.  

    Ceux qui accèdent à ce fichier sont autant les préfectures et les consulats que les services de police et de renseignements. Il n'aurait pas été si compliqué de faire en sorte que la police y accède en deux temps, par le biais d'une sollicitation des fonctionnaires en préfecture ou en consulat. Pris séparément, chacun des usages est justifié. Mais ce mélange des genres est tout à fait préjudiciable. 

    De quoi ce mélange des genres dont vous parlez est-il le signe? 

    Le signe qu'on ne réfléchit pas beaucoup. On confond le délinquant avec l'ennemi, on considère que tout le monde est potentiellement dangereux. On considère que mettre en avant l'aspect prestation de service, et en souligner la logique économique, est suffisant pour présenter l'aspect investigation comme accessoire. Parce que le discours sécuritaire prime sur tout le reste. 

    Notre vie est déjà totalement sous fiches. Et les fichiers administratifs, ce n'est pas l'Allemagne de l'Est, ce n'est rien par rapport à la granularité infiniment supérieure des données possédées par les GAFA (acronyme pour Google Apple Facebook Amazon, ndlr).  

    Le TES est un fichier biométrique. Faut-il déclarer, comme Raymond Forni (feu l'ex-vice-président de la CNIL) en 1980 : " Dans une démocratie, (...) il est nécessaire que subsiste un espace de possibilité de fraude. Si l'on n'avait pas pu fabriquer de fausses cartes d'identité pendant la guerre, des dizaines de milliers d'hommes et de femmes auraient été arrêtés " ?  

    La fraude passera par un autre biais. Aujourd'hui, les Etats sont obsédés par la biométrie, car ils n'ont plus le contrôle de l'espace, qui s'est mondialisé. Mais l'on peut passer toutes les frontières qu'on veut, même si la biométrie complique les choses, notamment dans les aéroports. La ruse passera par autre chose que les papiers.  

    Autre risque du fichier TES, le détournement, s'il tombait entre de mauvaises mains... 

    Oui, mais si quelqu'un faisait main basse sur les bases de données privées de Google, ça serait autrement plus intéressant ! 

    Il y a eu une forte mobilisation contre le projet de création du fichier SAFARI, en 1974. Pourquoi, l'opposition au TES est-elle minoritaire ? 

    Les arguments de la prestation de service et de la lutte contre les fraudes, tout le monde les entend. Les défenseurs des droits de l'Homme, dont je suis, sont inaudibles sur ce genre de sujet : nous considérons que la sécurité est un tout, que la garantie des droits est aussi importante que la sécurité physique. 

    Aujourd'hui, l'accent est mis sur la sécurité physique, mais à mon avis, on se trompe. Il faut choisir sécurité ET sécurité. Entre le 14 novembre 2015 et le 8 janvier 2016, sur plus de 3000 perquisitions effectuées dans le cadre de l'état d'urgence, une seule a abouti à une mise en examen en lien avec le terrorisme... Cela crée une très grande insécurité juridique.  

    275.jpg

    2
    Cazeneuve est d’accord

    Cazeneuve est d’accord, et Libé nous explique ça.

    Le gouvernement n’a que faire des avis de la Commission nationale de l’informatique et des libertés (Cnil) : en remontant la chronologie ayant entraîné le gouvernement à publier au Journal Officiel, ce dimanche 30 octobre au matin, en plein week-end de la Toussaint, un décret validant le fichage des identifiants biométriques de la quasi-totalité de la population française, on découvre que la planification de ce «fichier monstre» de 60 millions de Français avait été décidée et planifiée bien avant que la Cnil ne se soit prononcée à son sujet, dans le cadre d’une réforme visant à «simplifier la procédure pour les usagers et renforcer le degré de sécurité des titres délivrés», mais aussi et surtout à supprimer 1 300 équivalents temps plein travaillé (ETPT) dans l’administration préfectorale.

    En juin 2015, Bernard Cazeneuve présente son plan «préfectures nouvelle génération» (PPNG), censé «permettre une exécution pragmatique des plafonds d’emplois qui n’aurait pour seul objectif que l’intégration des contraintes pesant sur les finances publiques du pays». En clair : dégraisser. Un document annexé au projet de loi de finances 2016, daté d’octobre 2015, explique ainsi que «la modernisation des procédures de délivrance des titres et la lutte contre la fraude documentaire», qui mobilisent «29 % des effectifs totaux des préfectures», permettra de «réduire les formalités et démarches accomplies aux guichets des préfectures». Objectif: «libérer 2 000 ETPT de ces tâches inhérentes à la délivrance des titres et en redéployer 700 sur les autres missions prioritaires». Soit 1 300 suppressions d’ETPT.

    Le 1er octobre 2015, l’instruction et la validation de la carte nationale d’identité (CNI) «sur l’application TES» (pour Titres électroniques sécurisés, le fichier des passeports biométriques) étaient présentées comme «hypothèses de travail» dans un point d’étape du PPNG. Le 10 novembre 2015, un nouveau point d’étape se fait plus catégorique : «l’instruction des CNI sera désormais faite dans l’application Titres électroniques sécurisés (TES)», et non plus dans le fichier national de gestion (FNG), le système informatique utilisé jusqu’alors pour les cartes nationales d’identité. La Cnil ne rendra son avis que près d’un an plus tard, mais la décision est déjà prise, et le ministère de l’Intérieur n’a de cesse, depuis, d’avancer à marche forcée.

    «Arme de destruction massive d’emplois»

    Le 16 décembre 2015, Bernard Cazeneuve présente ainsi au Conseil des ministres le PPNG, qualifié dans la foulée par la CGT Intérieur d'«arme de destruction massive d’emplois dans les préfectures» dans la mesure où, «sous couvert de “simplification” et de “modernité”, ce plan va faire disparaître tous les accueils en préfectures et sous-préfectures : 2 000 emplois sont impactés, dont 1 300 seront purement et simplement supprimés». La CGT, la FSU et Sud lancent une pétition, qui ne recueillera que 369 signatures.

    Saisi le 12 janvier 2016 pour «savoir si la création d’un fichier informatique regroupant les données relatives aux cartes nationales d’identité et aux passeports peut s’opérer par la voie réglementaire sans méconnaître la Constitution», le Conseil d’État répond  le 23 février que «compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, il n’est pas interdit au gouvernement, s’il le croit opportun, d’emprunter la voie législative».

    Le 24, Bernard Cazeneuve rend publique une carte des 47 futures «plateformes d’instruction des demandes de titres», dont «21 plateformes conjointes aux CNI et passeports». Signe de l’ampleur de la réforme en cours, un troisième point d’étape précise le 15 avril que 201 ateliers et «17 séminaires réunissant 433 acteurs RH» ont été organisés entre février et avril pour «accompagner le changement (et) consolider les compétences des agents concernés par la réforme de la délivrance des titres», et que «des séminaires régionaux pour près de 900 encadrants sont en cours pour les directeurs, chefs de bureau et chefs de section».

    Le calendrier de déploiement de ces centres d’expertise et de ressources «titres» (CERT), qui figure dans un quatrième point d’étape du PPNG, prévoit que les préfets engagent «à la rentrée» une concertation afin de déployer, en mairies, 228 bornes biométriques supplémentaires, que «la publication du décret instituant le système d’information unique dit 'FNG dans TES'» aura lieu «fin octobre 2016», et qu’une «expérimentation départementale dans les Yvelines» serait mise en œuvre en novembre 2016, prévoyant une «bascule FNG => TES pour toutes les demandes» au premier trimestre 2017, juste avant la «période électorale», et la «fermeture» du FNG au quatrième trimestre.

    Machine administrative lancée

    Ce document, qui fixe l’ordre de bataille de la «bascule» du fichage biométrique des Français, et qui prévoit la publication du décret «fin octobre», est daté du 22 juillet 2016, alors que la Cnil venait tout juste de recevoir, le projet de décret, le lundi 20. Interrogé à ce sujet, le ministère de l’Intérieur nous a répondu que «quand elle conduit des projets, l’administration les programme, et se fixe des échéances. C’est bien le moins, pour conduire des politiques publiques. Ce qui ne signifie pas qu’elle n’est pas amenée à les réviser ou à les aménager autant que nécessaire». De fait, le gouvernement n’a pas tenu compte de la proposition du Conseil d’Etat et de la Cnil de passer par la voie législative. La machine administrative était lancée, à marche forcée.

    Tentant de répondre aux récriminations des syndicats, le ministère de l’Intérieur fait paraître au Journal officiel du 3 août un arrêté, daté du 21 juillet, «fixant le montant de la prime de restructuration de service attribuée» dans le cadre de la mise en place des CERT : les fonctionnaires mutés dans le cadre du PPNG pourront escompter de 2 800 à 9 200 euros (si d’aventure ils sont amenés à devoir aller travailler à «plus de 10 (mais) moins de 40 kilomètres» de leurs domiciles), et de 6 100 à 15 000 euros s’ils doivent déménager.

    La Cnil contournée

    Le 20 septembre 2016, un cinquième comité de suivi du PPNG révèle sa «stratégie de communication», incarnée par un slogan, «MES DÉMARCHES, à portée de clic !», censé «garantir, par une communication adaptée, l’adhésion des usagers à la réforme». On y apprend également que «le recueil des expressions de besoins des préfectures pour la mise en place des futurs CERT [a] pu être organisé durant l’été», que «d’ores et déjà, 14 projets d’aménagement immobilier de CERT CNI-Passeport ont fait l’objet d’une validation prioritaire», que «le financement du volet immobilier de PPNG est assuré par une enveloppe dédiée à hauteur de 7 millions d’euros» et que le calendrier de diffusion des nouveaux «guides de procédure» est «prévu à la mi-octobre pour les CNI-passeports».

    Dans le même temps, plusieurs préfectures, un peu partout en France, recrutent une dizaine de fonctionnaires en charge de ces plateformes CERT, faisant explicitement référence à l'«utilisation de l’application TES pour l’instruction des CNI». La délibération de la Cnil date du 29 septembre : elle n’avait donc pas encore émis son avis que la campagne de com', les aménagements immobiliers, les recrutements et le calendrier étaient fixés.

    Interrogé pour savoir en quoi ladite suppression de 1 300 ETPT justifierait le fichage biométrique de 60 millions de Français, le ministère de l’intérieur nous a répondu que la réforme PPNG permettra de «substantiellement simplifier la procédure pour les usagers et de renforcer le degré de sécurité des titres délivrés», que «le traitement des demandes de CNI et de passeport ne se situent pas en préfectures, mais dans les mairies», et que «les gains de productivité cités résulteront de la transmission par voie électronique des demandes de permis de conduire et cartes grises, dont la généralisation est prévue en novembre 2017». Impossible, en l’état, de vérifier combien d’ETPT supprimés le seront du fait de la seule fusion des fichiers FNG & TES. La «bascule», et donc le «fichier monstre», n’en relève pas moins du PPNG.

    «SAFARI ou la chasse aux Français»

    Pour mieux comprendre pourquoi le gouvernement peut ainsi faire de la Cnil une simple chambre d’enregistrement, il faut en revenir aux origines de la loi informatique et libertés. Adoptée en 1978 suite au scandale SAFARI, du nom du projet qui prévoyait d’interconnecter tous les fichiers administratifs français au profit du ministère de l’intérieur, la loi prévoyait alors que «si l’avis de la commission est défavorable, il ne peut être passé outre que par un décret pris sur avis conforme du Conseil d’État». Or, saisie par le ministère de l’intérieur en 1994 au sujet de son Système de traitement des infractions constatées (Stic), «casier judiciaire bis» répertoriant les personnes «mises en cause», la Cnil refusa d’émettre un avis favorable, au motif qu’il ne respectait pas tous les droits informatiques et libertés. Le Stic fonctionna ainsi illégalement pendant six ans, jusqu’à ce que Lionel Jospin n’accède aux requêtes de la Commission, en juillet 2001.

    Entre-temps, l’Europe s’était dotée, en 1995, d’une directive sur la protection des données, que la France aurait dû transposer en 1998. Après (là aussi) six ans d’illégalité, la France ne le fit qu’en 2004, tout en profitant de l’occasion pour rayer d’un trait la notion d'«avis conforme» : depuis, le gouvernement doit toujours demander son avis à la Cnil, mais il n’a plus à en tenir compte. Sa seule obligation est de le publier au JO, empêchant depuis lors la Cnil de faire ce pourquoi elle avait pourtant initialement été créée. La Cnil avait déjà émis des réserves, en 2008, dans sa délibération sur la création du fichier biométrique des passeports électroniques, mais n’avait pas plus été écoutée que cette année. Plusieurs commissaires de la Cnil ne cachent pas leur exaspération d’être méprisés de la sorte. Gaëtan Gorce, par ailleurs sénateur (PS), avait ainsi interrogé le ministère de l’intérieur, le 6 octobre dernier, rappelant qu’un fichier similaire avait été censuré par le Conseil constitutionnel en 2012. Il a depuis expliqué, à Libération, tout le mal qu’il pense de ce «fichier monstre».

    Le Conseil national du numérique s’autosaisit

    François Pellegrini, chercheur en informatique à l'INRIA et à l'Université de Bordeaux, rappelle de son côté que les fichiers européens des demandeurs d’asile et de visa ont déjà vu leurs finalités modifiées de sorte de pouvoir être utilisés à des fins policières, et qu’il pourra donc en être de même, à l’avenir, avec ce fichier des passeports et cartes d’identité. Eux aussi commissaires à la Cnil, les chercheurs Valérie Peugeot et Maurice Ronai l’ont de même qualifié, sur Twitter, de «dangereux», rappelant, comme l’a exprimé la Cnil dans son avis, et Isabelle Falque-Pierrotin, la présidente de la Cnil, à l’AFP, qu’il devrait être soumis au Parlement. Le Conseil national du numérique, chargé de «rendre publics des avis et des recommandations sur toute question relative à l’impact du numérique sur la société et sur l’économie», et dont plusieurs membres ont critiqué la façon dont a été créé ce fichier TES, a annoncé ce vendredi qu’il avait bousculé son agenda, de sorte de recevoir la Cnil «pour examiner la crise déclenchée par le décret», et qu’il s’était autosaisi de ce fichier.

    Mais tant que ses avis ne seront que consultatifs, les gouvernements successifs continueront à traiter la Commission comme une simple chambre d’enregistrement. Une chose est d’appeler à un débat parlementaire sur ce «fichier monstre». Une autre est de permettre à la Cnil de faire ce pourquoi elle avait été initialement créée, à savoir protéger les citoyens d’un fichage généralisé de la population, a fortiori par le ministère de l’intérieur. Ironie de l’histoire, la Cnil vient d’emménager dans les anciens locaux du Commissariat général au travail obligatoire, où une plaque commémorative rappelle que, «le 25 février 1944, un commando des groupes francs […] de libération nationale […] détruisit le fichier des jeunes Français de la classe 42 susceptibles d’être appelés pour le service du travail obligatoire».

    Jean-Marc Manach

     

    ob_b78c54_12310491-10208320418792733-65809787804.jpg

     

    3

    Axelle Lemaire pas d’accord

    Axelle Lemaire, secrétaire d’Etat chargée du Numérique et de l’Innovation, a découvert... en lisant le Journal Officiel, le 1er novembre, le décret du gouvernement créant un fichier géant, qui regroupe les données personnelles des Français.

    Un tel mégafichier était déjà inscrit dans une proposition de loi adoptée par la droite en 2012, à la fin du précédent quinquennat, et avait été retoqué par le Conseil constitutionnel. Axelle Lemaire voit dans la résurgence du sujet « l’œuvre de la technostructure : l’administration a son propre agenda, elle se contrefiche du moment politique ».

    La ministre du net juge que « ce genre de fichier était une bonne solution il y a dix ans ». Mais pose en revanche aujourd’hui de réels problèmes de sécurité : plus le fichier est gros, plus les risques de hackage par des pirates informatiques sont importants.

    Depuis le 1er novembre, Axelle Lemaire n’a même pas pu faire valoir ses arguments auprès du ministre de l’Intérieur Bernard Cazeneuve, faute d’avoir obtenu un rendez-vous. Place Beauvau, on répond que le cabinet d’Axelle Lemaire a « reçu tous les détails du projet le 28 octobre et n’a fait aucun retour ». Axelle Lemaire ne se faisant aucune illusion sur l’accueil que lui réserve Bernard Cazeneuve, elle promet d’en « parler au Président, mais que croyez-vous que je pèse, face au ministre de l’Intérieur, au Garde des sceaux et au Premier ministre ?... »

    Quant à démissionner, la jeune femme, qui avait déjà eu des états d’âmes lors de la discussion de la loi Renseignement en 2015, n’y a cette fois pas songé : « Si je pars, j’ai 40 décrets d’application qui ne passent pas, et j’affaiblis encore plus le gouvernement... »

    Le Conseil National du Numérique demande au gouvernement de suspendre le décret.

     

    con_windows.JPG

    4

    Le Conseil National du Numérique pas d’accord

    Le CNNum appelle le Gouvernement à suspendre sa mise œuvre et s’autosaisit pour examiner des alternatives techniques plus modernes et respectueuses des droits et libertés

    PARIS — Le dimanche 30 octobre, le Gouvernement a publié le décret n°2016-1460 prévoyant l’instauration d’un nouveau fichier des “titres électroniques sécurisés” (TES) à l’ampleur inégalée. ​Ce dernier vise à élargir le fichier TES, qui existe déjà pour la gestion des passeports biométriques, aux cartes d’identités. Présenté comme un moyen de lutte contre la fraude documentaire, ce fichier pourra néanmoins faire l’objet de réquisitions judiciaires ou être utilisé par les services spécialisés de renseignement. A terme, il pourrait conserver les données biométriques de près de 60 millions de français dans une base centralisée. Cette décision administrative, prise sans aucune concertation préalable et minimisée dans ses conséquences depuis lors par le Gouvernement, suscite depuis une semaine une inquiétude croissante. Le Conseil national du numérique a donc décidé de s’autosaisir du fichier TES en vue de la publication prochaine d’un avis détaillé.

    En premier lieu, le Conseil déplore l’absence de toute concertation préalable à la publication de ce décret. Un dialogue avec les communautés d’experts aurait certainement pu permettre au Gouvernement d’explorer des alternatives techniques plus résilientes et respectueuses des droits des citoyens, tout en permettant d’atteindre les mêmes objectifs. À un mois du Sommet de Paris sur le Partenariat pour un gouvernement ouvert (PGO) présidé par la France pour un an, cette opacité contraste fortement avec les objectifs affichés par les pouvoirs publics en matière de transparence, sans compter qu’elle s’inscrit à rebours de la démarche de consultation initiée par Axelle Lemaire sur les décrets d’application de la loi pour une République numérique.

    L’existence de ce fichier laisse la porte ouverte à des dérives aussi probables qu’inacceptables

    Le choix, pris par décret, d’une architecture technique centralisée pour la conservation de données biométriques soulève un grand nombre d’inquiétudes. Dans un monde numérique où le code fait la loi, l'existence d'un tel fichier laisse la porte ouverte à des dérives aussi probables qu'inacceptables. Aussi légitimes que soient les finalités initiales du Gouvernement, rien ne pourra techniquement prévenir leur extension future au gré d’une grave actualité. Il suffira alors, pour le pouvoir en place, de changer quelques lignes d’un décret pris en Conseil d’État après simple avis consultatif de la CNIL (depuis 2004 l’autorité ne dispose plus de son pouvoir de veto). L'existence même d’un fichier centralisé suffit mécaniquement à susciter des appétits ; un fichier massif est propice aux détournements massifs de finalités. Ces dernières pourraient à terme permettre l’identification systématique de la population avec les moyens de la reconnaissance faciale ou de la reconnaissance d’image, à des fins policières ou administratives.

    L’histoire récente nous enseigne que la constitution de tels fichiers a régulièrement conduit à l’élargissement de leurs finalités initiales​, qu’ils s’opèrent dans un cadre légal (comme pour le système Eurodac des demandeurs d’asile, le fichier des demandeurs de visa ou encore le STIC) ou hors de tout contrôle (rappelons que l’absence d’encadrement était, jusqu’à une époque récente, caractéristique de l’activité des services de renseignement). Penser que notre pays ferait exception revient à ignorer les leçons de l'histoire et des comparaisons internationales. Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux États-Unis, rendent déraisonnables ces paris sur l’avenir.

    Le choix de la centralisation revient à créer une cible d’une valeur inestimable

    Ces menaces peuvent sembler lointaines à certains ; mais d'autres apparaîtront immédiatement dès la mise en ligne du fichier. ​La publication de ce décret intervient à un moment où les cybermenaces se font redoutables et où tout indique que ces risques ont changé d’échelle : rappelons que de façon inédite, l’issue des élections américaines peut en partie dépendre des conséquences de piratages d’Etats. Dans ce contexte, le choix de la centralisation revient à créer une cible d’une valeur inestimable, face à des adversaires qui ne sont pas des amateurs. En matière de sécurité informatique, aucun système n’est imprenable. Les défenses érigées comme des lignes Maginot finissent immanquablement par être brisées. Comme le soulignait par ailleurs Jean-Jacques Urvoas en 2012 (au sujet de la proposition de loi qui a semble-t-il inspirée ce décret), ce n’est qu’une question de temps.

    Les réponses juridiques doivent absolument s’accompagner de garanties techniques

    À ces menaces ouvertes par la technique, les réponses juridiques ne suffisent plus : elles doivent s’accompagner de garanties techniques. ​Il s’agit autant de garantir la résilience du système TES à ces détournements de finalités que d’assurer la sécurité des données de nos concitoyens. Techniquement, de telles architectures existent et fondent déjà une part importante de l’économie numérique : c’est le sens du mouvement en faveur du privacy by design (la protection de la vie privée dès la conception). A ce titre, nombreux sont ceux à recommander la conservation des données biométriques sur un support individuel exclusivement détenu par la personne, à l’instar de la CNIL ou du Conseil constitutionnel. Cette conservation pourrait par exemple, mais ce n’est pas l’unique possibilité, s’opérer au moyen d’un composant électronique intégré aux cartes d’identité, comme c’est les cas pour les passeports.

    Ces alternatives, qui s’inscrivent dans la logique d’autodétermination informationnelle consacrée par la loi numérique, permettent d’atteindre les objectifs de lutte contre la fraude documentaire tout en étant respectueuses de la vie privée des citoyens. ​Les balayer d’un revers de main revient — qu’on l’ait voulu ou non — à ignorer l’état actuel des technologies disponibles et à faire obstacle au progrès des droits et des capacités des individus au profit d’une mise sous tutelle de la population par ses gouvernants.

    Le Conseil national du numérique contribuera ainsi à la réflexion entourant ce nouveau fichier. Dans les prochains jours, il étudiera les alternatives techniques à cette base centralisée et les garanties qui pourraient lui être apportées — toutes les personnes disposées à l’aider dans cette démarche sont invitées à prendre contact à l’adresse suivante : info@cnnumerique.fr.​ Dans l’intervalle, il appelle le Gouvernement à suspendre la mise en œuvre de ce fichier ainsi que la publication des arrêtés et à initier une réflexion ouverte en impliquant les experts numeriques au sein de l'Etat comme la DINSIC (Direction interministérielle du numérique et des systèmes d’information et de communication) et au sein de la société civile avec le CNNum.

    Paris, le 7 novembre 2016

     

    artfichier_219758_5905322_201607291550205.jpg

    5

    Patrick, mon copain flic, n’est pas d’accord

    Le "gouvernement-fichier" a encore frappé. Ce décret reprend le débat du quinquennat précédent sur la loi sur la protection de l'identité prévoyant déjà ce traitement centralisé des donnés, dont les députés socialistes - dont Jean-Jacques URVOAS - ont obtenu la censure du Conseil constitutionnel (22 mars 2012, décision DC 2012-625) au motif que : « Considérant qu'il résulte de ce qui précède qu'eu égard à la nature des données enregistrées, à l'ampleur de ce traitement, à ses caractéristiques techniques et aux conditions de sa consultation, les dispositions de l'article 5 portent au droit au respect de la vie privée une atteinte qui ne peut être regardée comme proportionnée au but poursuivi » et que « les dispositions de l'article 3 ne précisent ni la nature des « données » au moyen desquelles ces fonctions peuvent être mises en œuvre ni les garanties assurant l'intégrité et la confidentialité de ces données ; qu'elles ne définissent pas davantage les conditions dans lesquelles s'opère l'authentification des personnes mettant en œuvre ces fonctions, notamment lorsqu'elles sont mineures ou bénéficient d'une mesure de protection juridique ; que, par suite, le législateur a méconnu l'étendue de sa compétence ; qu'il en résulte que l'article 3 doit être déclaré contraire à la Constitution " Dans la logique du quinquennat actuel, le gouvernement Valls adopte ce qu'il a fait censurer hier et qu'il sait inconstitutionnel.

    Manuel Valls lassé de dégainer le 49-3 a contourné l'obstacle en adoptant par décret des dispositions inconstitutionnelles dont la CNIL demandait à ce que le parlement en soit prioritairement saisi. L'inversion normative bat des records... Un règlement pour contourner la constitution. Ce n'est toutefois pas aussi fort que la loi travail (un accord privé contournant le droit international). Ce que la droite appelait « fichier des gens honnêtes » et devenu un casier pré-judiciaire, comme il existe maintenant des procédures pré-disciplinaire pour trouver un motif à engager une procédure disciplinaire. On n'arrête pas le progrès la régression.

    Les futurs exilés sensibles à la violation du droit sur les données personnelles réfléchiront à revendiquer le rétablissement du passeport Nansen, remplacé depuis par le titre de voyage des réfugiés disponible dans les bonnes préfectures (mais il faut être réfugié).

     

  • Faillite de nos institutions : Heureusement, un étudiant sauve nos libertés individuelles

    51AK1J4S0XL.jpgLe transfert massif de données individuelles informatiques depuis les pays européens vers les États-Unis (Amérique du Nord, Territoire indien occupé) respecte-t-il le droit alors qu’il n’existe aux États-Unis aucune garantie effective pour la protection de l’intimité de la vie privée ? La réponse est non et c’est la Cour de Justice de l’Union Européenne (CJUE) qui nous l’explique dans un arrêt du 6 octobre 2015 (C-362/14).

     

    C’est une question essentielle pour nous tous, utilisateurs des grands opérateurs d’Internet. Il s’agit de savoir dans quelles conditions nos données individuelles filent aux US, chacun sachant que la gratuité du net est compensée par l’exploitations de ce trésor que sont les données personnelles des utilisateurs, spécialement pour ceux ayant un bon pouvoir d’achat, comme les Européens. Si tu ne payes pas le produit, c’est que c’est toi le produit.

     

    - Mais ça filait « comme cela », simplement parce qu’en signant le contrat d’ouverture d’un compte sur Facebook à partir des filiales européennes, tu acceptes le transfert des données aux États-Unis, pour exploitation ?

     

    - Non, ça filait en toute tranquillité parce que la Commission européenne, qui doit donner son autorisation, avait estimé que les États-Unis assuraient une protection adéquate. C’est la décision de la Commission du 26 juillet 2000, dite du safe harbor, prise dans le cadre de la directive 95/46 du 24 octobre 1995 sur le traitement des données personnelles. 

     

    - Tu veux donc dire que c’est la Commission européenne qui s’est pris une raclée devant la CJUE ?

     

    - Oui.

     

    - Magnifique, ça montre que les institutions fonctionnent…

     

    - Pas du tout. Ça montre que la CJUE, une fois de plus, sait imposer les principes du droit aux groupes les plus puissants, mais c’est une faillite des autres institutions européennes et nationales. Il y a dans chaque État un gouvernement et un parlement, et il existe au sein de l’Union européenne, un gouvernement avec le Conseil européen et un Parlement… Il existe aussi maintes ONG, qui passent leur temps à s’exciter sur les Etats faibles et les minorités… Mais personne de tout ce joli monde n’envisage d’attaquer les États-Unis devant la Cour de justice. Nous devons cette remarquable décision de justice à l’initiative d’un étudiant autrichien, Maximillian Schrems, utilisateur de Facebook.

     la-vie-privee-d-henry-viii.jpg

    - Ah bon, un étudiant, comme çà, tout seul ?

     

    - Oui.

     

    - Et si cet étudiant autrichien n’avait rien fait ?

     

    - Les États-Unis continueraient à se gaver de nos données personnelles, fouillant notre vie privée, déterminant nos algorithmes, établissant l’arbre de nos amis, de nos centres d’intérêts, de nos opinions, de tous nos secrets.

     

    - Et pourquoi cet étudiant a réagi ?

     

    - Il était utilisateur de Facebook depuis 2008, et avait donc gentiment signé son accord pour le transfert des données individuelles recueillies par son site vers des serveurs situés aux US. Mais en 2013, il y a eu les révélations d’un certain Edward Snowden sur les activités de la National Security Agency (NSA). Oki ?

     

    - Oki.

     

    - Maximillian a fait le constat que le droit et les pratiques US n’offraient aucune garantie pour la protection de l’intimité de la vie privée, et il a saisi la justice pour obtenir la suspension de ces transferts. L’affaire est venue devant la High Court of Ireland, qui a jugé qu’effectivement ces données étaient exploitées sans aucune garantie au US. Dans la mesure où cela remettait en cause la décision de la Commission européenne, il fallait saisir la CJUE, qui seule peut décider si une décision de la Commission est valide ou non.

     

    - Cela veut donc dire qu’aucune institution nationale ou européenne et qu’aucun parlementaire national ou européen n’a réagi, et que cet immense progrès dans les libertés individuelles doit tout à l’initiative d’un étudiant ?


    libertés,fichier,vie privée,cjue,us- Oui et c’est à la fois consternant et rassurant. C’est consternant car cela montre le naufrage des institutions démocratiques. Ces lascars qui vont encore chercher à nous culpabiliser si on ne vote pas pour eux, montrent qu’ils ne servent à rien... C’est également rassurant car, dans l’Etat de droit, chacun peut agir pour défendre les libertés. Gardez bien en mémoire l’image de cet étudiant qui, parce qu’il a un raisonnement juste, dézingue la Commission européenne devant la CJUE, démontre que les États-Unis sont une zone de non-droit, et ridiculise les élus qui ont abandonné le peuple.

     

    - Comment a jugé la CJUE ?

     

    - Ce qui était en cause, c’était la validité de la décision de la Commission du 26 juillet 2000, le safe harbor, autorisant le transfert des données vers les US. Pour donner un tel accord, la Commission était tenue de constater que les États-Unis assuraient effectivement, en raison de leur législation interne ou de leurs engagements internationaux, un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union européenne.

     

    - Et… 

     

    - La protection est aux US totalement bidon. Les entreprises étaient tenues car elles s’engageaient, mais cet engagement était inopposable aux autorités publiques US, qui faisait ce qu’elles voulaient, quand elles voulaient. Il suffisait à ces autorités d’invoquer des exigences relatives à la sécurité nationale, à l’intérêt public ou au respect des lois des États-Unis pour s’attribuer sans contrôle la gestion des données individuelles.

     

    - Brrr…

     - … avec la précision qu’il n’existe aucun recours juridique efficace aux États-Unis, et aucun contrôle international car les États-Unis sont restés au stade du tribalisme judiciaire, refusant tout contrôle extérieur, comme la Corée du Nord.

    Not-my-life.png

  • Pour la CNIL, le projet de loi sur le renseignement « reste profondément déséquilibré »

    Le Monde (des libertés) a publié ce 21 mai une excellente interview d’Isabelle Falque-Pierrotin, la présidente de la Commission nationale informatique et libertés (CNIL), par Morgane Tual et Damien Leloup. Le discours est clair : la loi va très loin dans le contrôle de la vie privée, mais elle ne prévoit pas de procédés fiables de garantie.

    La loi sur le renseignement est complexe, et un très mauvais esprit a soufflé, ringardisant les opposants, sur le thème : « Eh rigolo, face au terrorisme, le renseignement, faut se donner les moyens de le chercher, et puis finalement la loi ne fait que donner un cadre à ce qui se fait en douce ». Sauf que d’emblée tout est faux, dans cette loi post-11 janvier.

    D’abord, ce n’est pas une loi post-7 janvier, car tout montre que cette loi n’aurait rien changé à ce crime d’une particulaire gravité commis par des bras cassés, au cerveau débranché et ne disposant pas de 1% de conscience politique. Les mecs se finançaient par des crédits Cofidis, et achetaient leurs armes aux mastards du quartier, alors qu’un autre vivait avec une gendarmette... De grands clandestins…. Les mecs étaient fichés et régulièrement contrôlés, mais impossible de mettre en cause les services, tant l’organisation parait fugace, insaisissable. Nous attendons tous avec impatience les résultats de l’enquête, et il y aura un procès car des complices doivent être jugés. Je suis donc plus que prudent, mais à ce jour rien n’accrédite l’existence des réseaux terrifiants qui sont le prétexte de cette loi. Les portables et ordis de ces tueurs ont fait l’objet des meilleures expertises, et six mois plus tard, l’enquête n’a établi aucune connexion sérieuse avec des commanditaires. On est donc sur de l’extrémisme par onanisme forcené.

    Il s’agit en revanche bien sûr d’une loi post-11 janvier. Notez que je distingue d’une part le 7 et le 11, et d’autre part le 11 et le post-11, qui marque le savoir-faire des marchands du temple. C’est de la pure folie politique, qui se retournera contre ses concepteurs, que d’avoir voulu créer une légende nationale reposant sur deux données aussi insaisissables que le crime et l’émotion. Pour une maison, il faut des fondations, et solides… Ce crime et cette émotion, pour refonder le corps social, c’est s’exposer à de rudes déconvenues. Mais le pouvoir, qui est par terre et se bat pour sa survie, a tout joué à court terme, fondant sur l’occasion pour créer un consensus réactionnel – Paris, capitale du monde (Obama, ne pouvant accepter la moindre concurrence sur le marché du 11IX, n’était pas venu à Paris) – et faire un bond en avant dans la culture de l’asservissement : « Le monde est compliqué, pourri par les dégénérés islamistes – alors que toutes les guerres sont des fabrications US, destinées à maintenir le marché de l’armement – et les masses de pauvres qui veulent envahir notre beau pays, pour détourner les aides sociales. Aussi, toi qui est pur et n’a rien à te reprocher, accepte de devenir un pion numérique, accepte que ta vie privée n’aie pas de secret pour moi, car c’est le prix à payer pour nous donner un avenir… » Et ça marche !

    Bon, je suis donc totalement opposé à cette loi. Comme nous attendons gentiment son vote pour la cribler de QPC, le gouvernement a décidé qu’il soumettra lui-même sa loi faisandée au Conseil constitutionnel. Le Conseil constitutionnel statuera largement à l’aveugle, car il n’y aura aucun groupe politique – lune de miel UMP-PS – pour donner les arguments. Or que vaut la justice sans le contradictoire ? Il nous restera donc les QPC que l’injustice des situations fera apparaitre, et le gouvernement cherchera à tuer ces QPC en plaidant : « le Conseil constitutionnel s’est déjà prononcé ». Ce qui obligera à se rendre devant la CEDH, mais là c’est après des années de procédure. Et la présidentielle de 2017 sera loin…

    Deux remarques enfin.

    Les « frondeurs » se la ferment sur le sujet, montrant leur adhésion aux thèses de Bush, tout est bon quand c’est « la guerre contre le terrorisme ». D’où l’intérêt qu’on leur porte.

    Juppé, shooté aux sondages (politiques), n’a rien à dire. Alain, tu fais comme tu veux, mais voter pour le moins pire, c’est définitivement fini. Je note donc que tu n’as rien à dire sur une loi qui viole les libertés, bafoue l’intimité de notre vie privée, et instaure la suffocante logique de l’obéissance.

    R36XXXXa.GIF

    En attendant, voici l’interview d’Isabelle.  

    La CNIL avait émis un avis assez critique au sujet de la première version du projet de loi sur le renseignement. Le texte a été modifié en partie par les députés. Quel est votre regard sur le texte issu de l'Assemblée ? Est-ce qu'une partie de vos inquiétudes ont été levées ?

    Nous avons été saisis très en amont sur l'avant-projet de loi. Nous avons émis un avis le 5 mars, dans lequel nous faisions part de notre inquiétude par rapport aux nouvelles techniques de collecte qui nous paraissaient présenter un risque de collecte massive. Nous avions attiré l'attention du gouvernement sur la nécessité de resserrer le dispositif de différentes manières. Soit en réservant certaines techniques à certaines finalités, soit en travaillant sur la durée de conservation des données…

    L'avis de la CNIL a été entendu par le gouvernement et par le législateur, qui ont resserré les mailles de la collecte. C'est positif, tout comme le fait d'avoir un texte qui donne un cadre juridique à l'activité des services de renseignement. Les « boîtes noires » ont été réservées à l'objectif de lutte contre le terrorisme, le périmètre des écoutes a été resserré, avec la notion d'entourage qui est plus précisément définie, les modalités de contrôle de la CNCTR [la commission qui encadrera les activités de surveillance] ont été harmonisées…

    Ces avancées sont-elles suffisantes ?

    Nous considérons que ce dispositif reste profondément déséquilibré. Il y a un encadrement en amont de la collecte de ces données, mais il n'y a finalement aucun encadrement en aval de la manière dont ces données alimentent des fichiers de renseignement.

    Or, ce contrôle permettrait de vérifier que ces fichiers sont tenus conformément à la loi, à ses objectifs, à la durée de conservation des données... Ces fichiers sont soumis à la loi informatique et libertés, mais ils bénéficient en fait d'une dérogation selon laquelle la CNIL n'a pas de pouvoir d'inspection, de contrôle sur ces fichiers, comme elle l'a sur tous les autres fichiers existants, de police, publics, privés… D'ailleurs, le nom de la CNIL n'apparaît nulle part dans ce projet de loi. Cela nous paraît extrêmement préoccupant.

    Des amendements ont pourtant réduit, comme vous le souhaitiez, la durée pendant laquelle ces données peuvent être conservées.

    « Lorsque l'on accroît les techniques de collecte, il faut accroître les modalités de contrôle »

    Oui, mais nous n'avons aucun moyen de vérifier que cette durée de conservation est respectée. Ni aucun moyen de vérifier que les IMSI-catchers [les dispositifs qui permettent de surveiller les téléphones mobiles], qui sont prévus en nombre limité dans la loi, sont bien utilisés comme prévu. Les ministres, les services de renseignement, nous disent qu'ils ne sont pas malintentionnés. Je n'ai aucun doute que les promoteurs du texte sont portés par les meilleures intentions. Mais ce n'est pas sur ces critères qu'on évalue un dispositif. La loi, elle, est faite pour durer, pour résister au réel.

    C'est d'ailleurs une préoccupation qui a été celle du rapporteur du texte, M. Urvoas : la notion de lanceur d'alerte qui a été mise en place montre qu'il fallait fixer des garanties. C'est une bonne initiative mais elle ne peut pas être la seule garantie démocratique ! Lorsque l'on accroît comme on le fait aujourd'hui de manière substantielle les techniques de collecte, il faut de la même manière accroître les modalités de contrôle.

    Vous demandez à renforcer le contrôle « en aval », est-ce que cela veut dire que vous jugez suffisant le contrôle « en amont » des mécanismes de collecte ?

    On peut continuer à resserrer les dispositifs, à rétrécir les mailles du filet, par exemple en posant davantage d'exigence pour le renouvellement des autorisations – ce qui serait naturel au regard de l'élargissement des motifs pouvant conduire à une mise sous surveillance. Il y a encore tout un travail que le législateur peut faire sur les modalités techniques, encore assez vagues. Sur cette question, nous proposons d'ajouter une clause générale de rendez-vous : aujourd'hui, elle n'existe que pour les « boîtes noires », mais il ne serait pas anormal que l'ensemble de ces dispositifs puisse être réexaminé au bout de quelques années.

    Justement, aux Etats-Unis, les députés doivent décider cette semaine de renouveler ou non le financement du système de surveillance de la NSA, ce qui a lancé un débat public. En France, comme au Royaume-Uni, les gouvernements prévoient plutôt de renforcer les pouvoirs de surveillance…

    La France et l'Europe jouent énormément leur image dans les législations dont nous débattons sur la surveillance. Nous sommes vus comme le pays qui a contribué à la création des droits de l'Homme : il faut que nous puissions donner des éléments précis, convaincants, sur le fait que notre législation est équilibrée. J'étais ces derniers jours à une réunion internationale sur ces questions ; nous sommes très attendus à l'étranger sur ce projet de loi et sur les garanties que nous proposerons.

    « Ce n'est pas parce qu'il y a un impératif de sécurité qu'on doit oublier l'Etat de droit »

    Une difficulté commune à l'Europe et aux Etats-Unis, c'est de faire prendre conscience au public de l'importance de ce sujet de la protection des données, dans le secteur public comme dans le secteur privé. Nous parlons d'une surveillance qui est invisible, que le grand public ne voit pas toujours, mais ce n'est pas parce qu'il y a un impératif de sécurité qu'on doit oublier l'Etat de droit.

    Les opposants au texte arguent qu'il est paradoxal de mettre en place des mesures menaçantes pour la protection de la vie privée après les attentats de janvier et les manifestations massives pour la défense de la liberté d'expression. Protection de la vie privée et de la liberté d'expression, même combat ?

    Je pense que les personnes sont beaucoup plus à même de se mobiliser pour la liberté d'expression que pour la vie privée, ou plus exactement pour la protection des données personnelles, qui apparaît comme quelque chose d'abstrait et d'un peu extérieur à elles. Le risque éventuel en termes de protection des données est beaucoup moins ressenti et appréhendé par le grand public que celui sur la liberté d'expression. C'est une de nos difficultés.

    Un des objectifs que nous avons maintenant, c'est de donner de la chair à tout ça, de rendre visible l'invisible et de rendre l'individu plus maître de l'utilisation de ses données. Nos données personnelles, c'est notre « corps numérique », notre identité. Nos sociétés se virtualisent de plus en plus ; pourquoi pas, mais il faut que l'individu puisse y être un pilote, pas un objet.

    TPA12062106.jpg

     

     

  • Fichier STIC : La France condamnée par la CEDH

    On fiche les condamnés, mais aussi les innocents pour le simple fait qu’ils ont été concernés par une enquête… et c’est fait pour 20 ans. La CEDH point l’insuffisance des contrôles judiciaires, et condamne le fichier.

    inspector-gadget

    Les faits

    Les faits, c’est une dispute conjugale, avec un chouia de trop de violence. La dame porte plainte, et le compagnon est entendu en garde à vue. L’affaire parait en fait embrouillée,  et le procureur décide d’envoyer le dossier en médiation. La réunion de médiation se tient, les deux demandent que l’affaire en reste là, le couple voulant poursuivre son histoire, et le procureur classe l’affaire sans suite.

    Problème : du fait de sa mise en cause, notre ami l’amoureux impétueux est inscrit dans le système de traitement des infractions constatées (STIC).

    Quelques mois plus tard, il demande au procureur de la République du tribunal de grande instance d’Evry de faire procéder à l’effacement de ses données du fichier STIC, mais, celui-ci a rejeté cette demande, précisant que sa décision insusceptible de recours.

    Formule creuse… car reste toujours un recours en droit européen.

    Kézaco le STIC ?

    Le STIC est un fichier, utilisé dès les années 1990, qui a été créé par le décret no 2001-583 du 5 juillet 2001, plusieurs fois modifié, et se trouvant désormais inclus dans le code de procédure pénale (Art. 230-6 s. et R. 40-23 s.).

    Le STIC ne traite pas les condamnations mais – et c’est tout le problème – les informations provenant des comptes rendus d’enquêtes de la police nationale, la gendarmerie nationale ou les douanes.

    Sont inscrites au STIC les personnes à l’encontre desquelles sont réunis, pendant la phase d’enquête, des indices graves ou concordants rendant vraisemblable leur participation à la commission d’un crime, d’un délit ou de certaines contraventions de 5e classe définies dans le décret du 5 juillet 2001.

    Pour chacune, le fichier mentionne les éléments d’identification dont la photo. Plus compliquée, figurent « les informations non nominatives qui concernent les faits objets de l’enquête, les lieux, dates de l’infraction et modes opératoires, et les informations et images relatives aux objets, y compris celles qui sont indirectement nominatives ». Les victimes de ces faits sont également répertoriées.

    Le fichier est géré par le ministère de l’Intérieur, sous le contrôle du procureur de la République.

    Les informations concernant un mis en cause majeur sont en principe conservées pendant vingt ans.

    Qui a accès au STIC ?

    Le STIC est accessible à la consultation par :

    • les personnels des services de la police nationale, de la gendarmerie nationale et des douanes, individuellement désignés et spécialement habilités à cet effet,
    • les autres fonctionnaires investis par la loi d’attributions de police judiciaire,
    • les magistrats du parquet et les juges d’instruction pour les recherches relatives aux infractions dont ils sont saisis ;
    • les organismes de coopération internationale en matière de police judiciaire ;
    • les services de police étrangers, sous certaines conditions ;
    • les personnels chargés d’effectuer certaines enquêtes administratives préalables à la fourniture d’une habilitation ou d’un agrément, ou d’instruire des demandes d’acquisition de la nationalité française, de délivrance et de renouvellement des titres relatifs à l’entrée et au séjour des étrangers, ou encore de nomination et de promotion dans les ordres nationaux.

    Comment sortir du fichier ?

    Les victimes peuvent s’opposer à la conservation de leurs données dès lors que l’auteur a été condamné définitivement.

    S’agissant des personnes mises en causes, l’article 3 du décret de 2001 disposait :

    « (…) Toute personne mise en cause lors d’une enquête préliminaire, de flagrance ou sur commission rogatoire d’une juridiction d’instruction peut exiger que la qualification des faits finalement retenue par l’autorité judiciaire soit substituée à la qualification initialement enregistrée dans le fichier.

    Toute personne ayant bénéficié d’une mesure de classement sans suite pour insuffisance de charges, d’une décision de non-lieu, de relaxe ou d’acquittement devenue définitive peut demander que le fichier soit mis à jour par le responsable du traitement dans les conditions prévues au III de l’article 21 de la loi du 18 mars 2003 susmentionnée compte tenu de ces suites judiciaires.

    Ces demandes peuvent être adressées soit directement au procureur de la République territorialement compétent, soit, par l’intermédiaire de la Commission nationale de l’informatique et des libertés, au responsable du traitement qui les soumet au procureur de la République territorialement compétent.

    Les personnes morales ne peuvent présenter leur demande que directement auprès du procureur de la République. »

    Donc, le procureur de la République comme seul et dernier recours.

    La procédure a été un peu améliorée par le décret du 12 mars 2012 (CPP Art. 230-8) et l’article 230-9 a institué un magistrat référent chargé de suivre la mise en œuvre et la mise à jour des traitements automatisés de données à caractère personnel. Il dispose des mêmes pouvoirs d’effacement, de rectification ou de maintien des données personnelles que le procureur de la République. Il peut agir d’office ou sur requête des particuliers et se prononce sur les suites qu’il convient de donner aux demandes d’effacement ou de rectification dans un délai d’un mois.

    Mais la principale garantie juridictionnelle résulte d’un arrêt du Conseil d’Etat du 17 juillet 2013, qui soumet les décisions du procureur au contrôle de la juridiction administrative : « les décisions en matière d’effacement ou de rectification, qui ont pour objet la tenue à jour du STIC et sont détachables d’une procédure judiciaire, constituent des actes de gestion administrative du fichier et peuvent faire l’objet d’un recours pour excès de pouvoir devant le juge administratif ».

    Le Conseil d’Etat pourra donc désormais joyeusement appliquer la jurisprudence de la CEDH.

    Une ingérence dans la vie privée

    Le requérant allègue que son inscription au STIC constitue une violation de la Convention, invoquant en substance son article 8, dont les dispositions se lisent comme suit :

    « 1.  Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

    « 2.  Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien‑être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d’autrui. »

    L’inscription au fichier est une ingérence dans la vie privée. Pour qu’elle soit juridiquement admissible, il faut qu’elle réponde à un « besoin social impérieux » et, en particulier, qu’elle soit proportionnée au but légitime poursuivi (CEDH,M.K. c. France, no 19522/09, § 33, 18 avril 2013).

    Le raisonnement de la Cour

    « 35.  La protection des données à caractère personnel joue un rôle fondamental pour l’exercice du droit au respect de la vie privée et familiale consacré par l’article 8 de la Convention. La législation interne doit donc ménager des garanties appropriées pour empêcher toute utilisation de données à caractère personnel qui ne serait pas conforme aux garanties prévues dans cet article. Cette nécessité se fait d’autant plus sentir lorsqu’il s’agit de protéger les données à caractère personnel soumises à un traitement automatique, en particulier lorsque ces données sont utilisées à des fins policières. Le droit interne doit notamment s’assurer que ces données sont pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées, et qu’elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire aux finalités pour lesquelles elles sont enregistrées. Le droit interne doit aussi contenir des garanties de nature à protéger efficacement les données à caractère personnel enregistrées contre les usages impropres et abusifs (CEDH, S. et Marper c. Royaume-Uni [GC], nos 30562/04 et 30566/04, § 101, CEDH 2008, § 103 ; Gardel c. France, CEDH 1999-VI, no 16428/05, § 62, CEDH 2009, et M.K. c. France, précité, § 35).

    « 36.  Pour apprécier le caractère proportionné de la durée de conservation des informations au regard du but poursuivi par leur mémorisation, la Cour tient compte de l’existence ou non d’un contrôle indépendant de la justification de leur maintien dans le système de traitement, exercé sur la base de critères précis tels que la gravité de l’infraction, les arrestations antérieures, la force des soupçons pesant sur la personne ou toute autre circonstance particulière (S. et Marper c. Royaume-Uni, § 119, et B.B. c. France, no 5335/06, et M.B. c. France, no 22115/06, 17 décembre 2009,  B.B. c. France, précité, § 68).

    « 37.  Enfin, il appartient à la Cour d’être particulièrement attentive au risque de stigmatisation de personnes qui, à l’instar du requérant, n’ont été reconnues coupables d’aucune infraction et sont en droit de bénéficier de la présomption d’innocence. Si, de ce point de vue, la conservation de données privées n’équivaut pas à l’expression de soupçons, encore faut-il que les conditions de cette conservation ne leur donne pas l’impression de ne pas être considérés comme innocents (S. et Marper, précité, § 122, et M.K., précité, § 36)

    Application des principes

    Les informations répertoriées au STIC ne comportent ni les empreintes digitales, ni le profil ADN des personnes, mais elles présentent néanmoins un « caractère intrusif non négligeable », en ce qu’elles font apparaître des éléments détaillés d’identité et de personnalité en lien avec des infractions constatées, dans un fichier destiné à la recherche des infractions.

    Notre ami a bénéficié, à la suite de la médiation pénale, d’un classement sans suite justifiant qu’il reçoive un traitement différent de celui réservé à une personne condamnée, afin d’éviter tout risque de stigmatisation. Or, le problème est la durée de conservation de la fiche, qui est de vingt ans, et il s’agit de savoir si ce délai est proportionné.

    Le procureur

    La loi ne donne au procureur le pouvoir d’ordonner l’effacement d’une fiche que dans l’hypothèse d’un non-lieu ou d’un classement sans suite motivé par une insuffisance des charges.

    Pour rejeter la demande de retrait, le procureur de la République d’Evry a appliqué strictement ces dispositions et s’est borné à constater que la procédure concernée avait fait l’objet d’une décision de classement sans suite fondée sur une autre cause que l’absence d’infraction ou son caractère insuffisamment caractérisé. Le procureur n’avait pas compétence pour vérifier la pertinence du maintien des informations concernées dans le STIC au regard de la finalité de ce fichier, ainsi que des éléments de fait et de personnalité. La Cour estime qu’un tel contrôle ne saurait passer pour effectif, l’autorité chargée de l’exercer n’ayant pas de marge d’appréciation pour évaluer l’opportunité de conserver les données.

    Le magistrat chargé du contrôle

    Le droit interne permet désormais d’adresser une nouvelle demande au magistrat référent visé à l’article 230-9 du code de procédure pénale. Mais le texte précise que ce magistrat « dispose des mêmes pouvoirs d’effacement, de rectification ou de maintien des données personnelles (…) que le procureur de la République».

    « Aux yeux de la Cour, un tel recours ne présente donc pas le caractère d’effectivité nécessaire, l’autorité décisionnaire ne disposant d’aucune marge d’appréciation quant à la pertinence du maintien des informations au fichier, notamment lorsque la procédure a été classée sans suite après une médiation pénale, comme en l’espèce ».

    La garantie du Conseil d’Etat,… si elle est effective

    La jurisprudence récente du Conseil d’État reconnaît désormais la possibilité d’exercer un recours pour excès de pouvoir contre les décisions du procureur en matière d’effacement ou de rectification, qui ont pour objet la tenue à jour du STIC et sont détachables d’une procédure judiciaire. Mais, la durée de vingt ans prévue est en pratique assimilable, sinon à une conservation indéfinie, du moins à une norme plutôt qu’à un maximum. Aussi, la loi ne laisse pas un juste équilibre entre les intérêts publics et privés concurrents en jeu. La conservation litigieuse s’analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée et ne peut passer pour nécessaire dans une société démocratique.

  • Sarko se fait exploser son fichier

    Et encore un magnifique râteau pour mon Sarko. L’affaire est passée un peu inaperçue dans le fracas toulousain, mais le Conseil constitutionnel a proprement dézingué la loi Sarko qui plaçait tous les Français dans un fichier (Décision n° 2012-652 DC du 22 mars 2012).

    fichier, Liberté, Vie privée, ump

    Cette loi prévoyait la création d'un fichier regroupant les données nécessaires à la délivrance du passeport et de la carte nationale d'identité. On y trouvait outre l'état civil et le domicile du titulaire, sa taille, la couleur de ses yeux, mais surtout deux empreintes digitales et la photographie. Prétexte ? Lutter contre les usurpations d’identité ! Donc, pour des poursuites hypothétiques contre une poignée de fraudeurs, on place tous les Français sous un fichier.

    Surtout, la loi permettait aux policiers et aux gendarmes d'avoir accès à ces données, pour les besoins de la prévention et de la répression de diverses infractions, notamment celles liées au terrorisme. Donc, à tout moment, et en dehors de toute enquête, la police peut surveiller ce que tu fais.

    Dans un régime normal, ce sont les bandits qui sont fichés ; avec Sarko, c’est tout le monde. C’est la perversion sécuritaire : vu que vous n’avez rien à vous reprocher, vous ne craignez pas d’être contrôlés. Demain, les mêmes proposeront des garde-à-vues inopinées pour trouver des délinquants qui se planquent. Comme vous ne commettez pas d’infractions, la garde-à-vue sera négative et on vous relâchera, alors de quoi vous plaignez vous ? Tout ceci est fait pour votre bien… Ca va même vous simplifier la vie :

    -       Chéri, tu rentres bien tard ce soir…

    -       Ben oui, parce que j’ai eu une garde-à-vue préventive.

    -       C’est bien. Comme les gentils policiers n’ont rien trouvé, tu te trouves tranquille.

    -       Oui, c’est génial. Je suis lavé de tout soupçon. Ca vaut une présomption d’innocence triple A.

    -       Ils t’ont bien donné ton certificat ?

    -       Oui, valable 3 mois. C’est super, comme çà j’ai l’âme en paix !  

    Ah, ah, ah. Contrôler toute une population, par des données qui relèvent de l’intimité de la vie privée, pour chercher quatre bandits… Il est trop, mon Sarko.

    fichier, Liberté, Vie privée, ump

    Le Conseil a trouvé plein de défauts à ce « fichier des braves gens » :

    -       Il est destiné à recueillir des données relatives à la quasi-totalité de la population française.

    -       Parmi les données enregistrées, on trouve les données biométriques, dont empreintes digitales, données particulièrement sensibles.

    -       Le fichier peut être consulté non seulement aux fins de délivrance ou des titres d'identité, mais également à d'autres fins de police administrative ou judiciaire, c’est-à-dire, même pour de simples actions préventions, sans contrôle du juge ni information de la personne !

    Dégage la loi, dixit le Conseil, pour « atteinte disproportionnée au respect de la vie privée » de 60 millions de Français.

    Ca n’empêchait pas le p’tit nerveux d’annoncer le jour même qu’il allait créer un contrôle de tout Internet pour traquer ceux qui consultent les sites extrémistes.  

    Mais c’est quoi, un site extrémiste ? C’est par exemple le site d’une petite équipe ayant pour but de remettre en cause les libertés fondamentales de l’ensemble de la population,… comme ce projet UMP heureusement dézingué par le Conseil constitutionnel. Un groupe portant une atteinte grave aux libertés de 60 millions de Français, c’est très extrémiste, çà, ou alors les mots ne veulent plus rien dire.

    Oh purée, ça serait trop rigolo. Sarko le premier à aller en taule grâce à sa loi… parce qu’il est accro au site de la liberticide UMP !

    fichier, Liberté, Vie privée, ump

Toute l'info avec 20minutes.fr, l'actualité en temps réel Toute l'info avec 20minutes.fr : l'actualité en temps réel | tout le sport : analyses, résultats et matchs en direct
high-tech | arts & stars : toute l'actu people | l'actu en images | La une des lecteurs : votre blog fait l'actu