Fichage des opinions politiques : l’efficacité attendue vaut-elle le risque posé aux libertés ?

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

• Licéité, loyauté et transparence,

• Limitation des finalités,

• Minimisation des données,

• Exactitude,

• Limitation de la conservation,

• Intégrité et confidentialité, et

• Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

La Commission Nationale de l’Informatique et des Libertés (la CNIL) s’était déjà prononcé en juin dernier sur les projets de décrets, avec des réserves relativement limitées.

Voir notamment Délibération n° 2020-064 du 25 juin 2020 sur le fichier « Prévention des atteintes à la sécurité publique » (PASP), Délibération n° 2020-065 du 25 juin 2020 sur le fichier « Gestion de l'information et Prévention des atteintes à la sécurité publique » (GIPASP), et Délibération n° 2020-066 du 25 juin 2020 sur le fichier « Enquêtes administratives liées à la sécurité publique » (EASP).

Les deux arguments principaux des organisations syndicales (dont la CGT, FO ou la FSU, mais aussi le Syndicat de la magistrature et le Syndicat des avocats de France) dans leur recours reposaient sur une atteinte à la liberté d’opinion et l’absence de saisine de la CNIL entre son avis de juin et une modification rédactionnelle ultérieure par le Gouvernement.

Il semble évident que les organisations syndicales veillent à la licéité des conditions d’utilisation de ces données. En effet, l’élargissement des décrets vise en particulier des « catégories particulières » de données, plus communément appelées « données sensibles », ayant trait à ce que les personnes sont (origines raciales ou ethniques, données de santé, génétiques et biométriques, vie et orientation sexuelles) ou pensent (opinions politiques, convictions religieuses et philosophique, appartenance syndicale). Dans une société démocratique, et indépendamment de la finalité poursuivie par leurs traitements, la simple collecte de ces données seraient susceptibles de porter atteinte aux libertés fondamentales des personnes si des garanties nécessaires ne sont pas assurées, et notamment la proportionnalité par rapport aux objectifs poursuivis.

Les décrets modifient la rédaction précédente, qui permettait la collecte de données relatives à « des activités politiques, philosophiques, religieuses ou syndicales », pour viser à présent les « opinions » politiques, les « convictions » philosophiques, religieuses et « l’appartenance » syndicale. A mon sens, il faut y voir une mise en adéquation de forme avec la terminologie du RGPD et donc un référentiel commun pour contrôler la licéité des fichiers.

L’exemple de Singapour n’est pas pertinent en l’espèce - les seules données médicales visées par les décrets ont trait aux « Données relatives aux troubles psychologiques ou psychiatriques obtenues conformément aux dispositions législatives et réglementaires en vigueur » dans la mesure où elles constitueraient des facteurs de dangerosité de ces individus, et les destinataires potentiels des données personnelles collectés sont énumérés de manière exhaustive dans les fichiers. Là encore, la finalité de ces fichiers est gravée dans le marbre et toute tentative de contournement serait interprétée de manière restrictive.

Cédric Levieux, Florie Marie, Nicolas Petitdemange et Vincent Sénétaire, Porte-Paroles du Parti Pirate: Les trois fichiers qui ont reçu cette autorisation d’élargissement servaient à ficher les hooligans et les manifestants violents. Ces fichiers pourront maintenant être utilisés pour recenser les personnes soupçonnées d’activités terroristes (soit) mais aussi les personnes susceptibles « de porter atteinte à l’intégrité du territoire ou des institutions de la République ». Cette définition, particulièrement floue, pourrait parfaitement définir un militant politique voulant une 6° république ou une personne défendant sa langue régionale.

On comprend alors le risque, même avec une “bonne volonté”, d’étendre ces fichiers ou de permettre des connexions entre des fichiers et les données de géolocalisation issues des applications de traçage de la COVID-19.

Pire, à aucun moment ne se pose la question de l’efficacité de cette mesure (ou de l’ensemble des mesures sécuritaires qui précèdent). Encore une fois, et depuis des années, on nous demande de sacrifier une partie de nos libertés pour une hypothétique sécurité supplémentaire.

Un État ne peut exercer son autorité sans avoir la légitimité de le faire. L’enchaînement des politiques répressives et intrusives n’a pourtant qu’une seule issue possible, la perte progressive mais inévitable de confiance des citoyens dans nos institutions.

Par le passé, la collecte bien intentionnée, de ce genre d’informations a-t-elle été utilisée à mauvais escient ? Est-ce que l’on doit craindre aujourd’hui encore ?

Claude-Etienne Armingaud : Il ne faut pas oublier le contexte dans lequel la loi Informatique et Libertés de 1978, l’une des premières au monde sur le sujet, avait été adoptée :

Au milieu des années 1970, l’Administration française envisageait de croiser ses fichiers pour en faire un méga-fichier, le fameux SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), dans un contexte de Guerre Froide et une Union de la Gauche, comprenant le Parti Communiste, sur la pente ascendante.

La CNIL a été justement mise en place pour prévenir tout risque en France.

Faut-il garder à l’esprit les risques de dérives ? Sans aucun doute. Mais les garde-fous institutionnels sont en place pour, sinon les prévenir, en tout état de cause, les contrôler. A cet égard, chacun des directeurs généraux de chaque institution devra présenter un rapport annuel mettant en place le principe de responsabilité décrit ci-dessus.

Cédric Levieux, Florie Marie, Nicolas Petitdemange et Vincent Sénétaire, Porte-Paroles du Parti Pirate: La collecte de données est toujours “bien intentionnée” pour les gouvernements qui la mettent en place, on a rarement vu des gouvernements revendiquer des intentions malveillantes pour constituer des fichiers, mais les bonnes intentions de ces gouvernements ne sont pas toujours celles qu’on espère et, surtout, les gouvernements changent régulièrement, alors que la loi, elle, reste. L’Histoire nous a montré à de nombreuses reprises que collecter des données personnelles n’est jamais sans danger, quel que soit l’usage que l’on prévoit d’en faire.

Nous avons un exemple tout récent avec le confinement et le fichier ADOC, un fichier de police destiné à l’origine au recensement des infractions au code de la route, des contraventions et des délits, que la police s’est empressée d’utiliser pour intégrer les violations des règles du confinement dès les premières heures de sa mise en place. Cela a été contesté, certains délits ont pu être annulés, mais la réponse du ministère de l’Intérieur a été de modifier la loi encadrant ce fichier, pas pour renforcer les principes qu’elles disposaient et ainsi empêcher que les forces de l’ordre puisse à nouveau détourner ce fichier, mais bien pour autoriser cette nouvelle utilisation et rassurer les forces de l’ordre dans leur pratique.

Malheureusement, cet exemple est très loin d’être le premier dévoiement de l’usage des nombreux fichiers qui ont existé, qui existent ou qui existeront. Et plutôt que de limiter ces dévoiements, on observe trop souvent que le législateur, sûrement bien intentionné, préfère les encadrer quitte à réduire encore un peu plus, une loi après l’autre, nos libertés, et parmi elles notre droit à la vie privée.

Cet élargissement du recueil d’informations qui va permettre d’indiquer, noir sur blanc, l’opinion politique, l’appartenance religieuse ou syndicale des individus, sur des fichiers traitant de la sécurité publique tenus par les forces de l’ordre de l’État est terrifiant.

Existe-t-il une possibilité de collecter des données aussi sensibles de manière responsable ? Sait-on correctement exploiter ces données ?

Claude-Etienne Armingaud : Il s’agit de deux points différents et le juriste que je suis ne peut légitimement répondre que sur le premier.

D’un point de vue juridique, le principe de responsabilité posé par le RGPD et sa transposition française impose aux responsables du traitement de pouvoir démontrer la pertinence du traitement - sur sa finalité, les données collectées, les mesures de sécurité mise en œuvre, etc. L’impossibilité de démontrer la manière responsable dont le traitement est mis en œuvre est en soi un manquement aux obligations qui reposent sur les administrations. C’est donc bien une obligation de résultat, quoique tempérée d’un principe de réalisme au regard des moyens disponibles et notamment, technologiques. Ce sera dont un effort de démonstration constant.

Au regard de la sensibilité des finalités et des données, ainsi que de l’émoi provoqué par le fichier EDVIGE sur des questions similaires, nul doute que les associations syndicales, la CNIL et le quatrième pouvoir analyseront strictement et de concert le respect de ces obligations. D’un point de vue opérationnel, il m’est impossible de pouvoir affirmer si l’on saura exploiter ou non ces données de manière efficace. Les données n’ont pour valeur que le sens qu’on arrive à leur donner.

Cédric Levieux, Florie Marie, Nicolas Petitdemange et Vincent Sénétaire, Porte-Paroles du Parti Pirate: Non, et non. Le risque de mauvais usage des données est beaucoup trop grand.

On ne peut pas prévoir l’usage qui sera fait des données personnelles par une personne qui y aurait accès. Tout individu peut, d’un jour à l’autre, avoir un intérêt nouveau, par exemple financier ou idéologique, à faire usage d’informations personnelles : un nouveau contrat avec une entreprise, une élection pour laquelle on chercherait à cibler de potentiels votants…

Le contrôle et la confiance envers les personnes peuvent être pleins et entiers, et malgré l’existence d’un certain nombre de lois encadrant la gestion des données et punissant leur mauvaise utilisation, les faits montrent que des informations confidentielles peuvent se retrouver dans les mains de n’importe qui à tout moment. Et les causes en sont multiples, incontrôlables et souvent imprévisibles.

Par exemple, le marché du numérique est tel qu’une grande partie de l’informatique, dans les plus grandes entreprises, institutions et administrations, est déléguée à des sous-traitants. qui interviennent sur des systèmes critiques pendant des durées allant de quelques mois à plusieurs années. Dès lors qu’ils quittent leur mission, même les meilleures clauses contractuelles ne les empêcheront pas d’emporter illégalement avec eux toutes les données auxquelles ils ont pu avoir accès, ni de communiquer ces données à une personne qui y trouverait un intérêt, potentiellement contre rémunération. Le monde de l’informatique est lui aussi, comme tous les domaines dans lesquels une intervention humaine est nécessaire, victime de corruption, et il va de soi que les spécialistes de la sécurité numérique savent mieux que quiconque comment trouver des contacts ou organiser des échanges ou des transactions financières dans le plus strict anonymat.

En outre, aucun système informatisé n’est infaillible.

Des méthodes d’intrusion sont crées quotidiennement, c’est un jeu permanent du chat et de la souris entre les attaquants et les défenseurs. Quand le chat réussit à mettre la patte sur la souris, c’est trop tard, d’innombrables données sont déjà dans la nature.

Les évènements des dernières années nous ont montré que des informations apparemment insignifiantes ont été utilisées frauduleusement pour favoriser l’élection de Donald Trump en 2016 ou encore influencer l’issue du référendum sur le Brexit.

On ne le répétera jamais assez, n’importe quel régime autoritaire peut faire usage d’une multitude de données différentes, des plus banales aux plus sensibles, pour mener une politique de répression à l’encontre d’opposants ou de personnes dont la religion, l’orientation sexuelle ou les idées politiques déplaisent, quand bien même ces fichiers auraient été créés avec les meilleurs intentions du monde.