En plein mois d’août, le ministère de l’Intérieur a modifié ou créé par décret plusieurs fichiers de sécurité. La CNIL a rendu des avis parfois non publics. Tour d’horizon des principales dispositions.
Au Journal officiel, a d'abord été publié voilà quelques jours le décret du 2 août 2017 « modifiant les traitements automatisés de données à caractère personnel prévus aux articles R. 236-1, R. 236-11 et R. 236-21 du code de la sécurité intérieure ».
Derrière ces trois articles, on trouve autant de fichiers revus et corrigés suite à plusieurs mises à jour législatives. Ce sont respectivement les fichiers relatifs aux « enquêtes administratives liées à la sécurité publique », à la « prévention des atteintes à la sécurité publique » et enfin à la « gestion de l'information et de prévention des atteintes à la sécurité publique » (EASP, PASP et GIPASP). Tous sont passés sans difficulté entre les griffes de la CNIL.
Fichier des enquêtes administratives
Le premier est celui des enquêtes administratives. Il est encadré par l’article R236-1 du Code de la Sécurité intérieure (CSI). Il autorisait initialement des enquêtes préalables à un recrutement, une habilitation et un agrément concernant des emplois touchant à la souveraineté de l’État, en matière de sécurité et défense, dans le domaine des jeux, paris et courses, etc. Bref, dans des secteurs sensibles. Il s’agissait alors de « vérifier que le comportement des personnes physiques ou morales intéressées n'est pas incompatible avec l'exercice des fonctions ou des missions envisagées ».
Même usage en amont des « demandes d'acquisition de la nationalité française et de délivrance et de renouvellement des titres relatifs à l'entrée et au séjour des étrangers ainsi que pour la nomination et la promotion dans les ordres nationaux ».
Début août, ce fichier a été étendu aux emplois en lien direct avec la sécurité des personnes et des biens au sein d'une entreprise de transport, mais également pour le filtrage des personnes aux portes des grands événements exposés, par leur ampleur ou leurs circonstances particulières, à un risque exceptionnel de menace terroriste.
Dans le même temps, l’Intérieur a modifié l’article R236-6 du CSI afin de rendre destinataires des différentes informations collectées (état civil, nationalité et profession, adresses physiques, numéros de téléphone et adresses électroniques, photographies, etc.) de nouvelles personnes : les agents du service national des enquêtes administratives de sécurité, ceux du Commandement spécialisé pour la sécurité nucléaire et enfin n’importe quel agent de gendarmerie ou de police « sur demande expresse précisant l'identité du demandeur, l'objet et les motifs de la consultation ».
Fichiers relatifs à la sécurité publique
Le ministère a également modifié le traitement concernant la « Prévention des atteintes à la sécurité publique ». Ce traitement a « notamment pour finalité de recueillir, de conserver et d'analyser les informations qui concernent les personnes susceptibles d'être impliquées dans des actions de violence collectives, en particulier en milieu urbain ou à l'occasion de manifestations sportives ». Désormais, s’y engouffrent celles « susceptibles de prendre part à des activités terroristes ».
Précisons d’ailleurs que l’article R236-12 permet l’enregistrement de plusieurs données : évidemment l’identité des personnes concernées, l’état civil, les signes physiques particuliers et objectifs, mais également le nom des « personnes entretenant ou ayant entretenu des relations directes et non fortuites avec l'intéressé ». Soit un précieux carburant pour le renseignement, qui peut mettre en œuvre des interceptions voire une collecte en temps réel des données de connexion en visant l’entourage d’un suspect, du moins jusqu'au 1er novembre suite à une récente censure constitutionnelle.
Là encore, le texte au J.O. étend la liste des personnes pouvant être destinataires de ces informations. Même constat s’agissant du troisième traitement, la « gestion de l'information et prévention des atteintes à la sécurité publique ». On pourra d’ailleurs comparer la liste de ces personnes avant et après modification.
La grande interconnexion
De manière plus conséquente, le décret d’août supprime les dispositions qui interdisaient de connecter plusieurs fichiers entre eux. Un exemple : l’ancien article R236-8, abrogé ce 3 août, expliquait jusqu’à lors que le traitement des enquêtes administratives liées à la sécurité publique ne pouvait faire « l'objet d'aucune interconnexion, aucun rapprochement ni aucune forme de mise en relation avec d'autres traitements ou fichiers ».
L’interdiction ayant sauté, tout est désormais possible en matière de fichiers de police.
Modification du traitement d’antécédents judiciaires
Un autre décret publié le même jour vient modifier le fichier dit « TAJ », un traitement « utilisé dans le cadre des enquêtes judiciaires (recherche des auteurs d’infractions) et d’enquêtes administratives (comme les enquêtes préalables à certains emplois publics ou sensibles) » résume la CNIL sur son site.
Ce fichier, qui englobe aussi bien les données des personnes mises en cause que les victimes, comprend depuis le 3 août leurs adresses de messagerie électronique ainsi que leurs numéros de téléphone.
D’autres réformes ont été entreprises. On remarquera que si les services du renseignement peuvent avoir accès à ces données selon les finalités prévues par le Code de la sécurité intérieure, le gouvernement a fait sauter là encore la petite phrase qui interdisait l’interconnexion des fichiers. On pourra une fois encore comparer l’avant-dernier alinéa de cette disposition avant et après réforme.
Naissance du fichier GESTEREXT
Un nouveau fichier est créé parmi la longue liste des traitements sensibles intéressant la défense, la sûreté ou la sécurité publique. Il s’agit du fichier GESTEREXT. Un fichier dont la définition de l’acronyme n’est même pas donnée, mais dont on retrouve sur les moteurs les traces d’une existence passée : derrière, on trouve en effet le fichier relatif à la « Gestion du terrorisme et des extrémistes à potentialité violente », géré par la Direction Régionale de la Préfecture de Police de Paris.
Impossible d’en savoir plus : ce traitement « bénéficie de la dispense de publication de l'acte réglementaire et ne peut faire l'objet d'un contrôle sur pièce et sur place de la Commission nationale de l'informatique et des libertés ». Voilà pourquoi l’avis de la CNIL, favorable avec néanmoins des « réserves » (au pluriel), n’a pas été publié.
L’interconnexion des données sera en tout cas possible, faute, visiblement, d’interdiction expresse. D’ailleurs, « ce traitement ainsi que le fichier des objets et véhicules signalés, avance l’Intérieur, pourra être consulté pour les besoins de l'enquête administrative » précitée.
Modification du fichier Cristina
La modification du fichier relatif à la Centralisation du renseignement intérieur pour la sécurité du territoire et des intérêts nationaux (ou Cristina) est encore plus discrète. Ce fichier classé secret défense a subi une modification au Journal officiel du 3 août sans aucune publication. On ne peut donc savoir ce que recèle la réforme estivale de ce traitement.
L’avis de la CNIL n’est pas plus bavard : « Avis favorable avec réserve » (au singulier) prévient-elle dans sa délibération cadenassée.
Modification du FSPRT
Autre changement estival, le traitement automatisé dénommé « Fichier de traitement des signalements pour la prévention de la radicalisation à caractère terroriste » (FSPRT). Aucun détail, pas plus dans la délibération CNIL attenante qui a pointé toutefois une réserve.
Pour mémoire, ce fichier est né de la loi Renseignement. Selon un rapport d'avril 2015 de Jean-Pierre Sueur sur les filières djihadistes, il a pour ambition de permettre à l’UCLAT (unité de coordination de la lutte antiterroriste « de centraliser toutes les informations résultant des signalements qui lui parviennent par le biais du Centre national d'assistance et de prévention de la radicalisation ». D’après le sénateur, « il fera mention des suites données à chaque situation individuelle, en particulier du nom du service chargé du suivi du cas, ce qui permettra à l’UCLAT de s’assurer qu’aucune situation n’est laissée sans réponse ».
Modification du fichier des personnes recherchées
Sur sa lancée, Gérard Collomb a également procédé à plusieurs ajustements d’un autre traitement né en 2010, le fichier des personnes recherchées. Comme pour les autres, il pourra être consulté dans le cadre des enquêtes administratives détaillées ci-dessus. Les services de la police nationale, les unités de la gendarmerie nationale et les agents des douanes pourront également butiner ses données dans une optique de « surveillance », plus seulement pour « la recherche » et « le contrôle ».
Sont maintenant inscrites dans le fichier, de nouvelles catégories de personnes faisant l'objet d'une recherche pour les besoins d'une enquête de police judiciaire. Par exemple, les étrangers faisant l'objet d'une interdiction de circulation sur le territoire français en application de la loi sur l’état d’urgence, mais aussi celles qui font l'objet d'une assignation à résidence et, le cas échéant, d'une interdiction de se trouver en relation avec certaines personnes, etc. « Ces modifications (…) apparaissent justifiées » considère la CNIL dans son avis, qui tient là aussi compte des récentes évolutions législatives.
Dans ce même fichier, pouvait être enregistrée « la photographie » de la personne recherchée. L’Intérieur autorise maintenant le stockage de plusieurs photos. Il est toutefois toujours interdit d’utiliser un mécanisme de reconnaissance faciale sur ce stock.
Enfin, signalons que le même ministère a étendu le nombre d’agents pouvant accéder à ce fichier, spécialement pour les enquêtes réalisées en amont de l’embauche dans des emplois sensibles ou pour la gestion des grands évènements ou encore les agents du ministère des Affaires étrangères chargés de l'instruction des demandes de visa. La CNIL estime justifiées ces modifications.
ACCReD, la grande consultation automatique des fichiers de sécurité
Au détour de deux délibérations de la CNIL portant sur ces multiples réformes, on apprend que le gouvernement préparait un méga traitement chapotant ces différents fichiers dans l’optique de nourrir les enquêtes administratives organisées dans des secteurs sensibles.
Dans ses délibérations publiées le 3 août, la commission a révélé « qu'est envisagée la mise en œuvre d'un outil spécifique, le traitement de données à caractère personnel ACCReD », acronyme d’Automatisation de la consultation centralisée de renseignements et de données. Ce traitement est né « de la nécessité de prendre en charge un volume important d'enquêtes et de procéder à la consultation simultanée de multiples traitements » explique d’ailleurs la commission.
Le 4 août, au Journal officiel, ACCReD a donc été officialisé. Ce criblage (triage automatique) est organisé pour la mise en œuvre des enquêtes administratives en autorisant l’exploitation de plusieurs fichiers dont celui des personnes recherchées, mais aussi les traitements EASP, PASP et GIPASP, le TAJ, les objets et véhicules volés ou signalés, CRISTINA, GESTEREXT, etc. (la liste complète).
Il est mis en œuvre par deux nouveaux services à compétence nationale déjà cités, le « Service national des enquêtes administratives de sécurité » (SNEAS) et le « Commandement spécialisé pour la sécurité nucléaire » (CoSSeN). D’autres personnes pourront être destinataires de tout ou partie des nombreuses données et informations pouvant être enregistrées, notamment des agents du ministère de l'Intérieur, certaines personnes morales ou l'autorité administrative à l'origine de la demande, le préfet, etc.
En principe, l'article 8 de la loi de 1978 interdit « de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ».
Mais ACCReD passe outre cette restriction s’agissant des opinions politiques, philosophiques ou religieuses lorsque leur collecte est jugée « indispensable à la réalisation des enquêtes administratives ».
Mieux, dans le projet de décret, le gouvernement envisageait même de collecter des données relatives aux origines raciales ou ethniques des personnes. La CNIL a bruyamment critiqué ce point, rappelant que « l'objectif des enquêtes administratives est de porter une appréciation sur la dangerosité de comportements ou d'agissements et qu'à cette fin, la collecte d'informations relatives « aux origines raciales ou ethniques », qui ne renvoient à aucune catégorie de données objectives liées à des agissements ou des comportements, ne saurait être justifiée ».
Ajoutons qu’il est dans tous les cas interdit de sélectionner une catégorie particulière de personnes à partir des seules données relatives à ses opinions.
Vérifications complémentaires : entre promesses et réalité
Ce fichier peut avoir des conséquences lourdes pour les personnes qui y sont inscrites, notamment lorsqu’elles envisagent de répondre à une offre d’emploi dans un secteur sensible. Selon la délibération de la CNIL, le projet de décret expliquait initialement que « lorsque la consultation automatique révèle que l'identité de la personne concernée a été enregistrée dans un traitement, l'enquête administrative ne peut aboutir à un avis défavorable sans procéder à un complément d'information, par consultation dudit traitement ou par la saisine préalable du responsable dudit traitement ».
La commission a là aussi griffé ce passage, considérant qu’une simple consultation du traitement initial était trop maigre, et qu’une vérification plus solide s'imposait. Le ministère s’était engagé à modifier le décret en ce sens, mais on ne trouve aucune trace de cette promesse dans le texte publié.
