Surveillance de masse : la CNIL prête à endosser le képi

Surveillance de masse : la CNIL prête à endosser le képi

IFP IRL

Avatar de l'auteur
Marc Rees

Publié dans

Droit

23/03/2017 6 minutes
6

Surveillance de masse : la CNIL prête à endosser le képi

Hier, à l’Assemblée nationale, Isabelle Falque-Pierrotin, présidente de la CNIL, a exposé son analyse de la question de l’encadrement des services du renseignement. Elle a évidemment abordé les boites noires et la surveillance de masse, tout en se plaçant candidate pour contrôler ces opérations. 

À l’occasion d’un colloque organisé à l’Assemblée nationale, la présidente de l’autorité administrative indépendante a considéré, sans mal, que depuis les révélations Snowden, la question de cet encadrement de la surveillance de masse « a pris une actualité nouvelle ».

Pourquoi ? Parce qu’elles « ont mis en lumière le fait que les données personnelles des citoyens européens étaient au cœur d’un dispositif de surveillance, exercé notamment via les grands acteurs du numérique, et étaient donc susceptibles de profiter aux services américains du renseignement ». Ces révélations ont ainsi « alimenté un sentiment de perte de maîtrise, ou de confiance, dans l’écosystème numérique » et favorisé le lancement d’« une conversation mondiale sur le contrôle des activités du renseignement ». 

Les fichiers sensibles et la CNIL

Seul souci, les marges de manœuvre des autorités de contrôle face à ces fichiers régaliens, sécurisés par le secret-défense, n’est pas aussi ample que pour les autres données. Cependant, la CNIL a tenu à rappeler qu’elle dispose d’« un rôle de régulateur du traitement des données ». Isabelle Falque-Pierrotin insiste : « nous intervenons à tous les stades de création et d’utilisation de ces données ».

Quelques exemples donnés lors du colloque : cet examen s’exprime via les avis exposés sur les textes comme la loi Renseignement. La CNIL intervient en outre pour avis sur la création des fichiers. De plus, « en 2015, nous avons contrôlé les fichiers de l’administration pénitentiaire ».

À cette occasion, a été révélée l’existence d’un système de renseignement « CAR », relatif au suivi des personnes placées sous main de la justice et destiné à la prévention des atteintes à la sécurité pénitentiaire et à la sécurité publique. Ce fichier « n’était pas connu de la CNIL mais pour autant existait au sein de cette administration ». Il a été sacralisé par un décret de novembre 2015, avec avis très laconique de l’autorité. Le rôle de la CNIL s’inscrit enfin dans le contrôle indirect des fichiers sensibles. Il permet à quiconque d’exercer des droits d’accès et de rectification via un magistrat de la CNIL, qui s'en chargera pour lui.

Le contrôle a posteriori des fichiers

Seulement, cette accentuation du contrôle du renseignement n’est pas encore pleine et entière. « Si une réelle normalisation est intervenue depuis 2015 (…) pour autant une dernière pièce du puzzle me semble encore manquer à l’édifice ». Et quelle pièce : des fichiers mis en œuvre par le renseignement, après collecte des données via les nouvelles techniques « ne sont pas soumis, contrairement aux autres fichiers mis en œuvre sur le territoire national, au pouvoir de contrôle a posteriori de la CNIL » regrette Isabelle Falque-Pierrotin.

Plus exactement, précise-t-elle, de tels fichiers sont soumis à la loi Informatique et libertés, mais non aux modalités opérationnelles de la commission. Conclusion : « personne ne peut contrôler le respect pratique des obligations liées à ces fichiers », alors qu’une dizaine de personnes à la commission sont habilitées secret-défense. « Un tel contrôle offrirait plus de garanties juridiques pour l’État et une plus grande acceptabilité sociale », là où la méfiance du citoyen est trop souvent la norme.

Le passage d'une surveillance ciblée à une surveillance massive

Si la CNCTR intervient tout de même pour jauger de la conformité de la collecte à l'autorisation initiale donnée par le Premier ministre, les remarques de la présidente ont aussi visé le thème de la surveillance et la collecte de masse. Que ce soit avec les boites noires ou le Passager Name record (PNR), on assiste au « passage d’une surveillance ciblée à une surveillance massive aux fins d’identification des personnes à surveiller ». 

« Cette tendance conduit à une inversion de la présomption d’innocence, ajoute la présidente. Tout le monde est surveillé a priori, et plus simplement les populations à risque ou suspectes, et ceci à travers ses usages quotidiens. La norme devient la surveillance généralisée, par défaut, des personnes. »

Fait intéressant : ce sujet est aujourd’hui pris en main par la justice européenne. Que ce soient avec l’invalidation du Safe Harbor en 2015, l’arrêt « Digital Rights » et celui dit « Télé2 » du 23 décembre 2016 – ce dernier étant néanmoins jugé par l’intéressée comme « opérationnellement difficile à respecter », « il y a une volonté politique du juge de mettre un hola aux pratiques de collecte indifférenciée et de traitement massif, en l’absence de garantie suffisante y compris par les services du renseignement ».

La CNIL entre en scène

De ce mouvement, elle tire plusieurs conclusions : la nécessité d’un encadrement plus strict et de l’existence de garanties pour assurer leur conformité aux droits fondamentaux. Et bien entendu, la CNIL grimpe immédiatement sur scène. Alors que le juge se contente de trancher, « le régulateur a pour mission de fournir des solutions en tenant en compte des spécificités du secteur ». Cette position se vérifiera par exemple dès l’automne 2017 lors de la révision annuelle du Privacy Shield. Le G29 devra ausculter les dispositifs mis en place par les autorités américaines « pour s’assurer que la surveillance de masse est limitée conformément aux engagements de l’administration Obama ».

Enfin, la CNIL plaide pour que les services de renseignement « prennent pleinement en compte l’écosystème numérique ». Et pour cause, « Snowden a sonné le glas de services de renseignement fonctionnant relativement en vases clos. Le Privacy Shield aussi puisqu’il a introduit au sein d’une négociation commerciale des engagements de sécurité nationale pris par le département d’État. La sphère régalienne et la sphère économique se rapprochent donc ».

Conséquences ? L’écosystème offre des capacités nouvelles mais les services se retrouvent confrontés aussi aux problématiques du numérique, telles la sécurité des données, la question de leur localisation ou l’encadrement des algorithmes. « Nous savons à la CNIL, avance la candidate au contrôle, que leur utilisation n’est pas sans susciter des difficultés non résolues, puisqu’ils ne sont pas exempts de biais et peuvent conduire à des conclusions préoccupantes. »

6

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les fichiers sensibles et la CNIL

Le contrôle a posteriori des fichiers

Le passage d'une surveillance ciblée à une surveillance massive

La CNIL entre en scène

Commentaires (6)


OK, la CNIL donne son avis, qui file souvent directement a la poubelle, elle contrôle les administration, si elle trouve une irrégularité, c’est corrigé.



Elle menace parfois les entreprises d’amende, cf google. Mais peut-elle sanctionner les administrations?


Depuis la réforme de la Loi Informatique et Libertés du 6 août 2004, la Cnil n’a plus d’autorité sur les fichiers des administrations publiques (seulement un avis consultatif) :





Ok, merci pour le lien, la CNIL a donc bien un pouvoir de sanction administratif “allant du simple avertissement jusqu’aux sanctions pécuniaires”.


Le pouvoir de sanction administratif ne veut pas dire que la CNIL a la capacité de sanctionner des administrations, mais signifie que la CNIL, étant une administration, est en mesure de prononcer une sanction d’elle-même.


Ok, c’est un peu confus, merci pour la précision. La sanction administrative peut cibler des entités privées et publiques, sans distinction?

 (j’avais en tête une distinction, les entités publiques / l’etat étant un peu spécifiques en droit, car si on les vise, il faut parfois passer par le tribunal administratif)


Techniquement, la sanction administrative prononcée par la CNIL peut viser des entités de droit privé comme des entités administratives. C’est toutefois très rare dans le second cas.

Cette sanction étant prononcée par une administration, toute contestation de cette sanction se fait devant les juridictions administratives (s’agissant de la CNIL, devant le Conseil d’Etat).