Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?
Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.
Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :
- Licéité, loyauté et transparence,
- Limitation des finalités,
- Minimisation des données,
- Exactitude,
- Limitation de la conservation,
- Intégrité et confidentialité, et
- Responsabilité.
Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.
La Commission Nationale de l’Informatique et des Libertés (la CNIL) s’était déjà prononcé en juin dernier sur les projets de décrets, avec des réserves relativement limitées.
Voir notamment Délibération n° 2020-064 du 25 juin 2020 sur le fichier « Prévention des atteintes à la sécurité publique » (PASP), Délibération n° 2020-065 du 25 juin 2020 sur le fichier « Gestion de l’information et Prévention des atteintes à la sécurité publique » (GIPASP), et Délibération n° 2020-066 du 25 juin 2020 sur le fichier « Enquêtes administratives liées à la sécurité publique » (EASP).
Les deux arguments principaux des organisations syndicales (dont la CGT, FO ou la FSU, mais aussi le Syndicat de la magistrature et le Syndicat des avocats de France) dans leur recours reposaient sur une atteinte à la liberté d’opinion et l’absence de saisine de la CNIL entre son avis de juin et une modification rédactionnelle ultérieure par le Gouvernement.
Il semble évident que les organisations syndicales veillent à la licéité des conditions d’utilisation de ces données. En effet, l’élargissement des décrets vise en particulier des « catégories particulières » de données, plus communément appelées « données sensibles », ayant trait à ce que les personnes sont (origines raciales ou ethniques, données de santé, génétiques et biométriques, vie et orientation sexuelles) ou pensent (opinions politiques, convictions religieuses et philosophique, appartenance syndicale). Dans une société démocratique, et indépendamment de la finalité poursuivie par leurs traitements, la simple collecte de ces données seraient susceptibles de porter atteinte aux libertés fondamentales des personnes si des garanties nécessaires ne sont pas assurées, et notamment la proportionnalité par rapport aux objectifs poursuivis.
Les décrets modifient la rédaction précédente, qui permettait la collecte de données relatives à « des activités politiques, philosophiques, religieuses ou syndicales », pour viser à présent les « opinions » politiques, les « convictions » philosophiques, religieuses et « l’appartenance » syndicale. A mon sens, il faut y voir une mise en adéquation de forme avec la terminologie du RGPD et donc un référentiel commun pour contrôler la licéité des fichiers.
L’exemple de Singapour n’est pas pertinent en l’espèce – les seules données médicales visées par les décrets ont trait aux « Données relatives aux troubles psychologiques ou psychiatriques obtenues conformément aux dispositions législatives et réglementaires en vigueur » dans la mesure où elles constitueraient des facteurs de dangerosité de ces individus, et les destinataires potentiels des données personnelles collectés sont énumérés de manière exhaustive dans les fichiers. Là encore, la finalité de ces fichiers est gravée dans le marbre et toute tentative de contournement serait interprétée de manière restrictive.
Par le passé, la collecte bien intentionnée, de ce genre d’informations a-t-elle été utilisée à mauvais escient ? Est-ce que l’on doit craindre aujourd’hui encore ?
Claude-Etienne Armingaud : Il ne faut pas oublier le contexte dans lequel la loi Informatique et Libertés de 1978, l’une des premières au monde sur le sujet, avait été adoptée :
Au milieu des années 1970, l’Administration française envisageait de croiser ses fichiers pour en faire un méga-fichier, le fameux SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus), dans un contexte de Guerre Froide et une Union de la Gauche, comprenant le Parti Communiste, sur la pente ascendante.
La CNIL a été justement mise en place pour prévenir tout risque en France.
Faut-il garder à l’esprit les risques de dérives ? Sans aucun doute. Mais les garde-fous institutionnels sont en place pour, sinon les prévenir, en tout état de cause, les contrôler. A cet égard, chacun des directeurs généraux de chaque institution devra présenter un rapport annuel mettant en place le principe de responsabilité décrit ci-dessus.
Existe-t-il une possibilité de collecter des données aussi sensibles de manière responsable ? Sait-on correctement exploiter ces données ?
Claude-Etienne Armingaud : Il s’agit de deux points différents et le juriste que je suis ne peut légitimement répondre que sur le premier.
D’un point de vue juridique, le principe de responsabilité posé par le RGPD et sa transposition française impose aux responsables du traitement de pouvoir démontrer la pertinence du traitement – sur sa finalité, les données collectées, les mesures de sécurité mise en œuvre, etc. L’impossibilité de démontrer la manière responsable dont le traitement est mis en œuvre est en soi un manquement aux obligations qui reposent sur les administrations. C’est donc bien une obligation de résultat, quoique tempérée d’un principe de réalisme au regard des moyens disponibles et notamment, technologiques. Ce sera dont un effort de démonstration constant.
Au regard de la sensibilité des finalités et des données, ainsi que de l’émoi provoqué par le fichier EDVIGE sur des questions similaires, nul doute que les associations syndicales, la CNIL et le quatrième pouvoir analyseront strictement et de concert le respect de ces obligations. D’un point de vue opérationnel, il m’est impossible de pouvoir affirmer si l’on saura exploiter ou non ces données de manière efficace. Les données n’ont pour valeur que le sens qu’on arrive à leur donner.
Première publication sur Atlantico.fr.