La CNIL : une autorité conciliante

La CNIL est comme tout le monde le sait une « autorité administrative indépendante » chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés dans le monde numérique. Administrative, elle l’est, mais on peut parfois douter et de son autorité et de son indépendance. Deux exemples pour étayer ce propos. 

La CNIL mène depuis 2009 des contrôles sur les fichiers de police – le STIC pour la police nationale, Judex pour la gendarmerie. Elle publie chaque année un rapport sévère dénonçant un nombre très important de fiches erronées, des défauts de mises à jour et de suppression ayant des conséquences graves pour les personnes y figurant. Mais, promis, l’autorité allait veiller au grain et s’assurer que les erreurs ne se colportent pas dans le fichier des antécédents judiciaires (TAJ), qui doit fusionner les deux précédents.

Des kilomètres de données

Quatre ans plus tard, après un dernier contrôle réalisé de fin 2012 à février 2013, le bilan est consternant. Les fichiers enflent : 6 844 443 fiches dans le STIC, 11 millions de consultations annuelles (100 000 personnes y ont accès), 2 674 626 dans Judex avec 15 millions de consultations (consulté par 79 000 personnes) et 12 227 766 dans le TAJ (avec des doublons qui seront expurgés avant sa mise en route officielle en 2014). Et les erreurs perdurent. De l’aveu même de la CNIL, «   le fonctionnement du STIC n’a pas connu d’évolution réelle   » et «   il n’a pas été prévu de mettre à jour les millions de fiches issues du STIC et de JUDEX, qui comportent de nombreuses données inexactes, avant leur versement dans TAJ   » .

Ce qui ne l’empêche pas d’évoquer pour la énième fois une hypothétique amélioration dans la mise à jour grâce à… l’interconnexion avec TAJ (par la grâce d’un miracle numérique sans doute) et avec Cassiopée, le nouveau fichier des tribunaux, véritable usine à gaz, et qui nécessite du personnel dont les parquets ne disposent pas. Quant au contrôle des accès, la police fait ce qu’elle veut, comme elle veut, et la CNIL déplore qu’ « aucune procédure spécifique n’est mise en œuvre afin de permettre une vérification de l’identité et de la qualité de l’interlocuteur » .

Elle conclut par dix propositions, parmi lesquelles «   engager une réflexion visant à réduire les durées de conservation des données dans les fichiers d’antécédents en fonction des types d’infractions concernées » . En voilà une idée qu’elle est bonne ! Pourquoi ne pas aussi envisager de revenir sur les modifications de 2004 de la loi informatique et libertés qui n’ont laissé à la CNIL qu’un pouvoir consultatif face à l’État ? Et y inscrire de vrais pouvoirs de contrôle qui contribueraient à lui donner un peu d’autorité et d’efficacité ?

Protection des industriels

La Commission n’est certes pas dotée de moyens légaux, financiers et humains suffisants pour traquer et sanctionner les atteintes à la vie privée sur des fronts numériques de plus en plus nombreux. Mais elle pèche cependant par des avis ou des décisions qui protègent plus souvent l’entreprise et certains intérêts privés que le simple quidam. Elle s’est plusieurs fois fait épingler par les Big Brother Awards, pour, par exemple, son choix d’une procédure de déclaration simplifiée pour l’installation de système d’identification biométrique. Ce genre de contrôle allégé au détriment de la protection des libertés individuelles est justifié par la prise en compte d’enjeux économiques et d’innovation industrielle. Critères qui ne relèvent pas franchement de son champ d’intervention, et qui sont la marque du lobbying de l’industrie concernée.

On retrouve ce même argument dans ses récentes déclarations concernant le projet de règlement européen pour la protection des données personnelles. La posture est heureusement critique et demande plus de garanties, mais la question d’un nécessaire équilibre entre vie privée et nouveaux services innovants y figure en bonne place. Autant dire que le chantage à la croissance et aux emplois incitant à sacrifier un peu de vie privée pour avoir de « meilleurs services » fonctionne bien.

Autre exemple récent, l’avis de la CNIL sur le décret, dit « Sunshine », relatif à la transparence des relations entre les firmes et les autres acteurs de la santé. D’abord non publié, il a été divulgué par le ministère de la Santé. La Commission insiste lourdement sur la nécessité «  de concilier l’objectif de transparence voulu par le législateur et la protection des données personnelles prévues par la loi du 6 janvier 1978  » . Et là, curieusement, c’est la protection de la vie privée qui prime. Elle recommande que le site public, qui doit à terme permettre à tout un chacun de vérifier si tel médecin, radiologue ou étudiant ne se fait pas graisser la patte par un labo, soit interdit de référencement par Google. Ce qui, fait fort justement remarquer le site PC INpact, empêchera du même coup les études ciblées sur le réseau d’influence d’un labo ou la rigueur d’une clinique ou d’une université. Le lobby des labos est passé par là, mais sans doute aussi celui des médecins. Avec l’art et la manière de convaincre notre très indépendante autorité que leurs données professionnelles – nom, adresse du cabinet, numéro d’inscription à l’ordre, etc. – qui sont par nature publiques, sont en fait des données très personnelles méritant un surcroît de protection. On espère qu’elle reste aussi vigilante lorsqu’il s’agit de nos données…