La Cnil a finalement bien voulu nous communiquer son avis associé à cet arrêté. On comprend désormais mieux le nouveau système. Il vise à installer un dispositif « d’alerte des populations aux fins de garantir la sécurité au niveau national » (articles L112-1 et L112-2 du Code de la sécurité intérieure).
Le traitement permet aux autorités de déclencher à distance des alertes via le réseau des sirènes interconnectées. Il n’a donc rien à voir avec l’application SAIP. L’expression « abonnés » qu’on trouve dans l’arrêté concerne les fournisseurs de support de communication, chargés de relayer ces informations urgentes (automates d’appel, radios, TV…).
Au Journal officiel, l’Intérieur a publié un arrêté pour autoriser la création d’un traitement automatisé d’alerte des populations. Ce système préfigure l’arrivée d’un nouveau SAIP, abandonné en mai dernier. Contactée, la Cnil refuse de nous communiquer son avis motivé, qui n'a pas été publié malgré une obligation légale.
Lancée à l’occasion de l’Euro 2016, l’application SAIP (système d’alerte et d’information des populations) a finalement été délaissée deux ans plus tard par l’exécutif.
L’oraison funèbre a été nourrie en août 2017 par un rapport au Sénat qui jugeait cette app « imparfaite », avec des « bugs résiduels », issue d’un produit conçu « dans l’urgence » avec « des défaillances persistantes ». L’auteur du rapport, le sénateur Jean-Pierre Vogel, critiquait surtout la doctrine d’emploi, s’agissant d’alertes pas toujours déclenchées par les autorités.
À la place, l’exécutif a finalement prévu de privilégier les réseaux sociaux, en particulier Google, Facebook et Twitter. Sur ce dernier, le compte @Beauvau_Alerte a été calibré pour informer quiconque « d'un événement majeur de sécurité publique ou civile survenant en France ».
De même, a été envisagée la possibilité d’utiliser le Safety Check de Facebook, suite à un partenariat technologique. Sur Google, un bandeau d’alerte est censé mettre en avant les contenus diffusés par les autorités. Un système similaire doit être programmé sur France Télévisions, Radio France, la RATP et Vinci Autoroute, histoire d’informer les non-internautes. (le communiqué du ministère).
SAIP v2, en cas d'événements graves, imminents ou en cours de réalisation
Ce matin, au Journal officiel, un arrêté vient créer « un traitement de données à caractère personnel relatif au système d'alerte et d'information des populations ». Il laisse donc présager le déploiement effectif du nouveau système d’alerte.
Concrètement, il autorise le ministère de l’Intérieur et plus précisément la direction générale de la sécurité civile et de la gestion des crises, à mettre en œuvre un traitement dont la finalité est « de permettre la diffusion des mesures d'alerte et d'information à destination de la population, à la demande d'une autorité de police administrative, en cas d'événements graves, imminents ou en cours de réalisation, susceptibles de porter atteinte à l'intégrité physique des personnes ».
Le texte a été publié sur le fondement de l’article 26 de la loi de 1978 sur l’informatique et les libertés. Celui-ci autorise en effet ces traitements de données personnelles mis en œuvre pour le compte de l’État et qui intéressent la sûreté, la défense ou, comme ici, la sécurité publique.
Deux traitements de données personnelles, un large accès
Peu bavard sur le mode opératoire, le texte signé Gérard Collomb permet l’enregistrement des données des agents habilités à accéder aux données et informations du traitement (nom, prénom, qualité, adresse, etc.) Un deuxième fichier s’intéresse cette fois aux destinataires de ces mêmes flux, que ce soit des personnes physiques ou morales (nom, prénom, adresse).
Plusieurs entités se voient reconnaître un droit d’accès à ces informations : le premier ministre, le ministre de l'Intérieur, les préfets, les maires, des agents de la direction de la sécurité civile et de la gestion des crises, mais encore les agents des services d'incendie et de secours dans leur zone de compétence. L’arrêté prévoit classiquement une traçabilité dans chacune des opérations, que ce soit pour la création, la consultation, la mise à jour et les suppressions éventuelles.
Quelles seront exactement les modalités du système SAIP v.2 ? L’article 26 de la loi Informatique et libertés exige un avis motivé de la Commission nationale de l’informatique et des libertés. Parce qu’il est motivé, cet avis est nécessairement beaucoup plus détaillé que l’arrêté. Mieux, le même article demande à ce que l’avis de la Cnil soit publié en en même temps que l’arrêté, sans autre alternative, comme on peut le voir dans cette capture :
Problème, on a beau fouiller le Journal officiel ou Legifrance, cette précieuse publication concomitante n’a pas eu lieu.
Contactée, la Cnil nous indique que la décision de publication est dans les mains des services du gouvernement. Elle interviendra dans les jours à venir, suite visiblement à un petit décalage calendaire. Il a cependant été fait interdiction à notre interlocuteur non seulement de nous transmettre l’avis, mais également de nous faire part d’une quelconque manière que ce soit de son contenu.
Cette politesse de l’autorité indépendante pour l’exécutif est aussi inexplicable qu’illicite puisqu’elle va à l’encontre d’une disposition législative de rang supérieur.
