[ 28 mars 2012 ]

Le SAFARI au Bigbrother

La contestation fut si vive que non seulement le projet ne se réalisa pas mais il déboucha sur la création de la Commission nationale informatique et liberté et plus largement sur la création d'un régime législatif de contrôle des dispositifs de créations de fichiers dont l'essentiel demeure aujourd'hui encore en vigueur.

Le projet de fichier prévu dans la loi relative à la carte d'identité biométrique, censuré tout dernièrement par le Conseil constitutionnel, ressemblait à bien des égards au projet SAFARI. Il avait en effet un aspect systématique, et consistait non pas à ficher une partie de la population en considération d'un objet spécial (la rétention d'un permis de conduire, d'une arme, la commission d'une infraction, etc.) mais à ficher « tout le monde ». Pour reprendre une expression entendue au cours de la discussion parlementaire c'était « le fichier des honnêtes gens ».

La décision du Conseil constitutionnel censure la création d'un tel fichier pour un motif de fond : une atteinte disproportionnée au droit au respect de la vie privée, en raison à la fois des données collectées, du systématisme de cette collecte, et la possibilité de consultation à des fins très larges de ce fichier traduit donc une continuité très frappante du système de protection à l'égard des fichiers existant en droit français.

On observera à cet égard que le fait que la loi soit issue d'une proposition parlementaire et non d'un projet gouvernemental, avait permis d'éviter que la CNIL, justement sur le fondement de la loi mentionnée en commençant, et que le Conseil d'État, en vertu des règles constitutionnelles ordinaires, ne donnent un avis sur ce texte et disent tout le mal qu'ils en pensaient. Le contrôle du Conseil constitutionnel montre bien que cette habileté de procédure était vouée à l'échec. Certes la discussion du projet aura permis de grands effets de rhétorique sur la sécurité, et de remplir les calendriers médiatiques de tel ou tel ministre ou parlementaire, mais à la vérité, la messe était dite depuis le départ. D'un texte voué à la censure et qui au fond n'était conçu que comme une vitrine politique.

Mais la décision du Conseil constitutionnel ne porte pas que sur le fichier lié à la carte d'identité biométrique. Elle censure une autre disposition qui pose des questions cette fois si beaucoup plus récentes et très importantes.

L'article 3 de la loi conférait une fonctionnalité nouvelle à la carte nationale d'identité en permettant que cette carte contienne des « données » permettant à son titulaire de mettre en œuvre sa signature électronique, et la transformait ainsi en outil de transaction commerciale, notamment sur Internet.

La question ici en jeu est celle du pouvoir de l'État de créer un système public de données personnelles, utilisé notamment à des fins de communication ou de commerce en ligne. On mesure qu'ici les questions sont tout autres.

L'État peut-il intervenir sur ce sujet ou bien faut-il laisser l'initiative aux acteurs privés des données en ligne, quelles sont les données qui peuvent valablement être collectées, quelles sont les conditions de collecte et de conservation des données, comment s'opère le droit d'accès à celles-ci ? Questions nombreuses et difficiles qui conduisent, sur le texte présent, le Conseil constitutionnel a censuré la loi pour avoir été trop imprécise sur ces questions, et renvoie donc à plus tard le débat de fond.

Mais questions, surtout qui renvoient à une autre grande interrogation du moment, celle des conditions dans lesquels des acteurs privés, comme Google ou Facebook peuvent également collecter, conserver et permettre l'accès à des données privées. On sait que la CNIL agissant cette fois-ci en tant que tête de file des régulateurs européens sur ce sujet, est en train d'entrer en conflit avec Google sur ces questions, à l'occasion de « sa nouvelle politique de confidentialité », qui, en réalité, centralise et interconnecte les données des utilisateurs de chacun des services de Google.

On voit donc qu'ici, la question est celle du statut de la protection des données personnelles, du choix du mode public ou privé de leur collecte et de leur conservation, du droit qui leur est applicable. Et ici, paradoxalement, un système public pourrait être regardé comme offrant des garanties supérieures à celles données par des entités privées.

On le voit, si les rapports entre contrôles publics et fichiers sont désormais bien connus, les rapports entre commercialité des données et garantie des droits des personnes restent beaucoup plus incertains.