Lettre de Ségolène Royal au Président de la Commission Nationale de l’Informatique et des Libertés (CNIL)

Monsieur le Président

Ces cinq dernières années ont été mises à profit pour créer le plus grand nombre de fichiers à des fins sécuritaires de notre histoire, le plus souvent sans se soucier des avis de la CNIL et en se passant désormais de les solliciter ou d’avoir à les entendre.

Les lois Sarkozy et Perben votées depuis 2002 au nom de la lutte contre la délinquance, contre l’immigration clandestine ou contre le terrorisme ont fortement déséquilibré notre système de protection des données personnelles.

Ces lois ont institué une série de nouveaux fichiers comme le fichier des personnes françaises ou étrangères souhaitant héberger des ressortissants étrangers ou encore le fichier des empreintes digitales de tous les demandeurs de visa, l’empreinte étant conservée même lorsque le visa est refusé.

Elles étendent le périmètre de fichiers existants. Le fichier national des empreintes génétiques des auteurs condamnés d’infractions sexuelles a été élargi à tous les suspects d’un très grand nombre d’infractions (crimes et délits confondus). L’empreinte génétique d’un suspect, c’est-à-dire d’une personne ayant côtoyé un lieu d’infraction, est conservée aussi longtemps que l’auteur du crime ou du délit ne sera pas identifié. Il compte desormais plus de 350 000 profils.

Le Projet de loi "sécurité intérieure" a étendu le Fichier national des procès-verbaux de police judiciaire, le STIC, entrainant la constitution d’un véritable casier judiciaire des mineurs puisque les informations peuvent entrer dans le fichier sans considération d’age et de durée de la peine. L’inscription d’une personne dans le fichier n’est soumise à aucun contrôle préalable des juges du siège, seul le Procureur territorialement compétent étant susceptible de les contrôler et de les mettre à jour. Or, le STIC recense à ce jour 4,7 millions de personnes. En outre, le STIC est désormais consultable à des fins administratives ou lors d’enquêtes de moralité toujours plus nombreuses. Un rapport de l’Observatoire National de la Délinquance fait état de graves dysfonctionnements dans la gestion des fichiers, et révèle que ceux-ci contiennent jusqu’à 25 % de personnes fichées par erreur...

Un projet de l’actuel ministre de l’Interieur vise à contraindre les opérateurs téléphoniques, les fournisseurs d’accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.) à conserver pendant un an toutes les coordonnées et traces invisibles que laissent les utilisateurs lors de leurs déplacements avec un téléphone allumé, lors de tous leurs appels ou de toutes leurs connexions à Internet, de chaque diffusion ou consultation sur le Web d’un article, d’une photo, d’une vidéo, ou à l’occasion d’une contribution à un blog. Les renseignements généraux, les services d’espionnage et de contre-espionnage auraient accès à ces données sans contrôle, sur simple demande. Comme y auraient accès la police judiciaire et les magistrats instructeurs. Une fois recueillies, certaines données personnelles pourraient être "conservées pendant une durée maximale de trois ans" par les ministères de l’intérieur et de la défense. Ce projet de décret est inquiétant, comme l’ont expliqué les membres du Groupement des éditeurs de sites en ligne (Geste). Même les Etats-Unis de George W. Bush et leur "Patriot Act" post-11-Septembre n’ont jamais envisagé pareille conservation ou réglementation.

La lutte contre le terrorisme et le crime en général - un impératif que je partage - ne justifie pas de faire de la société française une société sous surveillance.

Je souhaite donner un coup d’arrêt à une dérive qui grignote un peu plus chaque jour les libertés publiques.

Préserver un cadre protecteur de la vie privée

La France a été pionnière dans l’adoption d’une législation de protection des données personnelles c’est à dire la protection de nos libertés et de notre vie privée. La législation européenne s’est inspirée de la loi françaisei de 1978 et en a approfondi l’approche, notamment en ce qui concerne les risques liés à des acteurs privés.

Que ce soit en France avec la CNIL ou au niveau européen avec le groupe de travail G29, une vraie communauté de réflexion s’est mise en place, qui a fait la preuve de sa capacité à réagir de façon précoce aux problèmes soulevés par de nouvelles technologies (identifiants de la version 6 du protocole internet, biométrie, RFID, nanotechnologies informationnelles).

L’approche européenne de la protection des données a fait la preuve de sa capacité à influencer l’approche américaine, certes de façon insuffisante (limites du Safe Harbour) mais néanmoins significativement.

Cet acquis précieux est sévèrement mis en danger depuis le 11 septembre. La question du transfert des données des usagers des transports aériens aux Etats-Unis est emblématique : le Parlement tout comme la Cour de Justice, ont condamné l’accord conclu entre l’Union européenne et les Etats-Unis sur ce point. Je veillerai à ce que la prochaine présidence française de l’Union Européenne propose la renégociation de cet accord.

Le 11 septembre 2001 a aussi été l’occasion d’élargir le champ de la biométrie. Jadis réservée aux fichiers de condamnés, elle touche désormais à l’identité de tous : visas, passeports ou cartes d’identité. Au niveau européen, l’avis du groupe européen de protection des données dit « groupe de l’article 29 » doit être salué comme constituant une première initiative significative en ce sens. Il affirme que le traitement des données biométriques est susceptible d’avoir de très fortes répercussions sur les droits fondamentaux des personnes concernées et ce d’autant plus qu’il porterait sur des éléments dont les personnes laissent des traces dans la vie quotidienne (empreintes digitales en particulier). Quant à la délivrance de documents administratifs comportant des informations biométriques, même si leur finalité est légitime, le groupe émet de nombreuses réserves vis-à-vis du principe de proportionnalité et des risques entraînés par leur usage.

Les nouvelles formes de collecte et de traçage, la biométrie, la radio-identification (RFID) la dimension internationale de la collecte, et la valeur marchande attribuée aux données personnelles font surgir de nouveaux risques. Alors que les technologies peuvent être mises au service d’une surveillance de tous les instants, les missions de la CNIL doivent prendre une nouvelle dimension.

La réforme de la loi du 6 janvier 1978, adoptée en 2004, a malheureusement fait régresser la protection des libertés publiques et la vie privée. Elle a affaibli les pouvoirs de la CNIL pour les fichiers intéressant la sécurité publique, la défense et la sfreté de l’Etat, c’est-à-dire les plus sensibles de tous les fichiers. La loi de 1978 interdisait la collecte et l’enregistrement des données sensibles. Ce principe est désormais assorti de très nombreuses dérogations dont l’une concerne les fichiers établis par l’État pour des raisons de sécurité publique, de défense ou de sûreté. L’avis préalable et conforme de la C.N.I.L. n’est plus nécessaire dans bien des cas.

Si je suis élue, je m’engage à :

• Assurer l’indépendance de la CNIL

• Augmenter le budget de la CNIL et lui permettre de faire face à ses nouvelles missions.

• Instaurer un contrôle strict des fichiers de police et de sécurité

• Revoir les dispositions relatives à la conservation et à l’accès des données de téléphonie et de connexion à internet, pour tenir compte des observations de la CNIL

• Interrompre et remettre à plat le projet de carte d’identité biométrique

• Refuser toute disposition qui aboutirait à transférer la mise en oeuvre pratique de pouvoirs de police ou de caractère judiciaire à des acteurs privés, ou qui induirait des transferts de données personnelles à ces acteurs avant une décision judiciaire au fond. Là àù de telles dispositions existent, oeuvrer à leur révision.

• Engager un grand débat sur l’équilibre à trouver entre les exigences de sécurité et les risques que fait peser l’extension rapide, subreptice et sans contrôle des technologies de la surveillance.

• Soumettre toute proposition risquant de conduire à un affaiblissement de l’état actuel de protection des données personnelles au nom d’exigences sécuritaires à l’avis du Parlement sur la base de rapports contradictoires dont ceux émanant des organismes chargés de la protection des données et des associations dans le domaine des droits de l’homme.