La CNIL s’inquiète de l’article 20 de la LPM… après sa promulgation

Alors que la loi de programmation militaire a été officiellement promulguée jeudi par François Hollande, la CNIL a publié le lendemain un communiqué dans lequel elle affirme que le glissement opéré par l’article 20 de ce texte lui fait craindre « une atteinte disproportionnée au respect de la vie privée ». Manifestement vexée de ne pas avoir été saisie des dispositions de ce fameux article, l’institution prévient l’exécutif qu’elle sera vigilante quant aux décrets d’applications de cette loi.

C’est donc le 1er janvier 2015 qu’entrera en vigueur l’article 20 de la « loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale ». Tout du moins si aucune « rustine » législative ne vient modifier d’ici là les dispositions de ce texte, comme l’envisagent déjà plusieurs parlementaires.

Mais revenons-en au texte en lui-même. Nous avons déjà eu l'occasion de l’expliquer à maintes reprises : son article 20 a suscité de nombreuses levées de boucliers, puisqu’il ouvre les vannes du droit de communication à une ribambelle d’administrations (du côté de Bercy, de l’Intérieur ou de la Défense) à propos de tous les « documents » et « informations » transmises ou stockées dans les câbles des opérateurs (télécoms, FAI, mais également opérateurs des opérateurs) ou les nuages des hébergeurs. Pour puiser dans ces flux, les autorités compétentes devront justifier de la recherche de renseignements intéressant par exemple la sécurité nationale, la prévention du terrorisme, la criminalité, la délinquance organisée ou surtout « la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France » (pour en savoir plus, voir notre analyse détaillée, ou notre résumé).

À la fin novembre, alors que le projet de loi avait déjà été adopté dans sa globalité par le Sénat et commençait à être débattu à l’Assemblée nationale, la Commission nationale de l’informatique et des libertés (CNIL) avait publié un communiqué dans lequel elle déplorait solennellement de « ne pas avoir été saisie des dispositions relatives à l'accès aux données de connexion ». C'est-à-dire aux dispositions du fameux article litigieux, l’article 13 (et devenu désormais l’article 20).

Un glissement vers « une atteinte disproportionnée au respect de la vie privée »

Jeudi dernier, la gardienne des données personnelles a décidé de faire connaître sa position sur le fameux article en question, quand bien même l’exécutif n’avait pas jugé bon de le lui demander. Verdict de l’institution ? « Le recours à la notion très vague "d'informations et documents" traités ou conservés par les réseaux ou services de communications électroniques, semble permettre aux services de renseignement d'avoir accès aux données de contenu, et non pas seulement aux données de connexion (contrairement à ce qu'indique le titre du chapitre du Code de la sécurité intérieure créé par ces dispositions) ». Chacun appréciera ici l’utilisation du mot « semble », qui laisse à penser que la CNIL elle-même a eu du mal à interpréter le flou de la loi...

Quoi qu’il en soit, aux yeux de l’autorité administrative, « une telle extension, réalisée dans le cadre du régime administratif du recueil des données de connexion, risque d'entraîner une atteinte disproportionnée au respect de la vie privée ». L’institution rejoint sur ce point les inquiétudes exprimées au cours des dernières semaines par de nombreux acteurs : La Quadrature du Net, la Fédération internationale des droits de l’Homme, etc.

Pas d'aspiration massive et directe des données selon la CNIL

Néanmoins, tout n’est pas rayé en rouge sur la copie de la CNIL. Quelques bons points ont en effet été distribués. L’institution retient ainsi que « la rédaction du nouvel article L. 246-3 du Code de la sécurité intérieure, qui prévoit que ces "informations et documents" peuvent être recueillis "sur sollicitation du réseau" et transmis en temps réel par les opérateurs de communication électronique aux services de renseignement limite, heureusement, toute possibilité d'aspiration massive et directe des données par les services de renseignement, dans la mesure où l'intervention sur les réseaux concernés est réalisée par les opérateurs de communication eux-mêmes ». Cette notion de « sollicitation du réseau » avait pourtant vivement interpellé le député Lionel Tardy, qui la jugeait « trop large et sujette à interprétation ». L’élu UMP avait ainsi tenté de gommer ce passage lors des débats parlementaires, en vain.

Aussi, la CNIL affirme avoir pris acte « des déclarations du président de la Commission des Lois du Sénat [Jean-Pierre Sueur, ndlr] selon lesquelles ces mêmes dispositions ne peuvent être utilisées qu'à des fins de géolocalisation en temps réel ». Le message semble clair : l’élu sera attendu au tournant en cas de dérapage...

L'institution restera vigilante sur les décrets d'application de la LPM

Et maintenant que la « LPM » est entrée en vigueur, que va faire la CNIL ? L’autorité administrative prévient qu’elle « sera très vigilante sur la rédaction des décrets d’application de la loi qui devront lui être soumis ». Cependant, rappelons que la consultation de la gardienne des données personnelles n’est qu’une formalité pour l’exécutif, qui n’est pas tenu de se plier à ses avis...

L’institution a néanmoins saisi la balle au bond, puisqu’elle affirme qu’elle « souhaite à l’avenir être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles ». Savoir si son souhait sera exaucé ?