La CNIL critique le projet de loi sur la sécurité publique et les atteintes au chiffrement

Pour énerver une autorité comme la CNIL, rien de plus simple. Il suffit de rédiger un texte créant de nouveaux fichiers aspirant quantité de données personnelles, et de ne pas la consulter. Le projet de loi sur la sécurité publique et contre le terrorisme en est le parfait exemple.

Faute d’avoir été saisie par le gouvernement, la CNIL a rappelé bruyamment à l’exécutif son existence dans un communiqué sur son site. Elle insiste sur la nécessaire « vigilance, tant de méthode que de fond, qu’exige la préparation des lois affectant les données personnelles des citoyens ». Ambiance.

« Les citoyens attendent que la lutte contre le terrorisme soit efficace, mais aussi qu’elle se fasse dans le respect dû à la protection de leur vie privée et de leurs données. C’est une condition de respect de l’Etat de droit, d’acceptabilité sociale et de légitimité des politiques de sécurité. La CNIL a précisément reçu du législateur la mission de veiller à cet équilibre » rappelle l’autorité administrative dans un style diplomatique très allégé.

Des critiques qui visent le contournement de la CNIL

Ses sentences ne relèvent pas seulement de la politesse de base. Le doigt sur l’article 11 de la loi de 1978, elle remémore au gouvernement son obligation de la consulter sur toutes les dispositions de projet de loi relatives à la protection des données à caractère personnel.

Or, avec le projet de loi venant transférer dans le droit commun des pans entiers de l’état d’urgence, on est clairement dans ce périmètre : il vient modifier les traitements de données d’enregistrement et de réservation des passagers aériens ou sur les navires, et intègre des dispositions relatives aux communications électroniques par voie hertzienne. D’autres problématiques liées à la vie privée, comme la localisation des personnes sous surveillance électronique mobile, l’obligation de déclarer ses identifiants, les saisies informatiques... bref, tous ces points auraient dû faire « tilt » dans l’esprit de l’exécutif et susciter la saisine de la Commission. Il n’en a rien été.

Des critiques qui visent aussi le projet de loi

Le mécontentement de la CNIL ne se limite pas à son contournement. Il vise aussi le contenu même du projet de loi. « Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives (…), elle estime que ces garanties devraient être renforcées ».

Parmi les brèches mises à l’index, arrive déjà l’obligation de déclarer les identifiants. Pour la CNIL, le texte est calibré pour être très gourmand puisque son champ embrasse « la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc. ». Et les oublieux risqueront trois ans d’emprisonnement et 45 000 euros d’amende… « Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants », ni même les conditions de conservations de ce stock comme l’a déjà critiquées le sénateur Michel Mercier (UDI).

La fin du caractère expérimental du PNR (Passenger Name Record) suscite également des inquiétudes. Ce fichier est « susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée » considère la CNIL alors que le traitement envisagé en France est plus ample que celui prévu par le droit européen. Chez nous , il pourra « être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation ».

Le manque de contrôle global des fichiers du renseignement

Boudée, la CNIL poursuit sur sa lancée en revenant sur une problématique déjà soulevée lors de la loi sur le renseignement. Si les opérations des services du renseignement impliquent l’intervention a priori de la Commission nationale de contrôle des techniques du renseignement, et a posteriori d’une formation spéciale du Conseil d’Etat en cas de contentieux, « il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes ». Pourtant il s’agit à ses yeux d’un impératif dès lors que le sécuritaire devient plus prégnant.

L’autorité, qui plaide évidemment pour jouer ce rôle, juge la situation paradoxale : « les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect ».

Le chiffrement, un élément essentiel de la résilience de nos sociétés

Et pour ne pas avoir à être une nouvelle fois oubliée, elle en profite pour ajouter une couche sur un sujet non abordé par le projet de loi : le chiffrement. On sait que le plan ébauché par Emmanuel Macron et Theresa May rêve de « permettre l’accès au contenu chiffré ». Comment ? En créant « une possibilité d’accès au contenu des communications et à leurs métadonnées (entourage d’un suspect, IP de connexion, sélecteurs techniques de l’utilisateur, etc.) ». A l’instar du Conseil national du numérique, la CNIL indique aux deux protagonistes que « le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli ». Une analyse partagée par l'ANSSI.

Une politique contraire, reposant par exemple sur l’introduction de backdoors, mettrait « en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées ». C'est bien simple, ces atteintes « créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. »