CNIL 27e RAPPORT D’ACTIVITÉ 2006
6 – Le facteur « irréversibilité »
Les évolutions liées au progrès technologique sont par
nature irréversibles 1. Nous ne vivrons plus jamais dans
un monde sans ordinateurs, sans Internet, sans téléphones
portables, sans identification biométrique, sans géolocalisation, sans vidéosurveillance. Bien au contraire, ces
technologies ont tendance à s’imbriquer les unes dans les
autres. Outre les problèmes majeurs que pose cette caractéristique d’irréversibilité à nos systèmes juridiques, elle
doit probablement constituer, en termes d’intérêt général,
le facteur le plus dangereux. Nous aurons l’occasion d’y
revenir plus longuement en conclusion.
B – Les politiques de sécurité :
la vague normative
Il s’agit, cette fois, d’un défi socio-juridique qui nous
est lancé par l’ensemble des nouvelles législations et
réglementations produites en matière de lutte antiterroriste
des deux côtés de l’Atlantique. Ces politiques liées aux
nouvelles exigences de sécurité publique ont abouti à la
mise en place d’un maillage en matière d’utilisation de
fichiers informatiques susceptibles de constituer un choc
de civilisation.
Si l’on prend l’exemple de la France, les événements du
11 septembre se sont traduits par un renforcement des
mesures de sécurité intérieure et de maîtrise des flux migratoires, même si notre pays est déjà doté, depuis 1986,
d’une législation antiterroriste 2. Plusieurs lois sont ainsi
intervenues, depuis 2001, pour étendre la consultation des
fichiers de police en particulier à des fins administratives
(pour le recrutement à des emplois de sécurité, les
décisions de naturalisations, l’octroi des titres de séjours
des étrangers…), pour élargir sensiblement les possibilités
d’accès par les autorités judiciaires et les services de police
aux fichiers informatiques privés (et en particulier à ceux
des opérateurs de communications, des cybercafés, des
fichiers des compagnies aériennes) ou encore pour prévoir
la création de nouveaux fichiers de police (par exemple, le
fichier de domiciliation des délinquants sexuels), l’extension
de fichiers existants (comme le fichier des empreintes génétiques), le développement de la vidéosurveillance ou encore
la mise en place en tous points appropriés du réseau routier
et autoroutier de dispositifs fixes ou mobiles de lecture des
plaques minéralogiques et de prise des photographies des
occupants des véhicules.
1.Si l’on exclut, bien entendu, l’hypothèse de catastrophes
naturelles majeures aboutissant à des destructions globales auquel
cas, d’ailleurs, les réflexions ici menées se verraient ipso facto
dépourvues de tout intérêt...
2.La France s’était dotée d’une telle législation après une
première vague d’attentats en 1986 (loi du 9 septembre 1986).
Celle-ci avait été renforcée par une seconde série d’attentats en
1995.
92
Ces différentes mesures, qui s’inscrivent dans le prolongement de la politique de lutte antiterroriste, ont, bien
entendu, eu un impact certain sur la protection des données
personnelles et on sait que les mesures adoptées en France
ont connu leurs équivalents dans les autres pays.
Au niveau européen, les politiques de lutte contre
le terrorisme ont donné un coup d’accélération au
développement des bases de données sur les visas et de
la seconde version du Système d’information Schengen
(SIS II), à la rétention des données de trafic, au contrôle
des listes de passagers aériens, etc. Elles ont également
conduit nos gouvernements, via l’OACI, à soutenir l’incorporation de données biométriques dans les passeports et
les documents de voyage.
Aux États-Unis, ces mêmes politiques ont conduit à
l’adoption emblématique du Patriot Act – une loi de 342
pages ! – ratifié seulement un mois et demi après les
attentats du 11 septembre. Cette loi, comme les divers
programmes de surveillance ultérieurement mis en place
par l’administration Bush, accorde des pouvoirs considérables aux autorités administratives américaines pour
saisir et intercepter des documents, des communications
téléphoniques et électroniques, pour interconnecter des
fichiers, tout en limitant l’intervention de l’autorité judiciaire
et en autorisant l’exécutif à ne pas publier ces mesures.
En outre, dans tous nos pays, une tendance se crée qui
consiste à utiliser des bases de données de sociétés
privées à des fins de lutte contre le terrorisme. Les affaires
PNR et SWIFT sont caractéristiques de cette tendance.
Confrontées à une telle situation, les autorités de contrôle
en matière de protection des données doivent éviter les
pièges, dénoncer les illusions et combattre les mythes.
1 – Le piège du manichéisme
L’ensemble des autorités de contrôle nationales en charge
de la protection des données reconnaît, bien évidemment,
la légitimité des politiques de lutte antiterroriste mises en place dans leurs États respectifs. Et les
accusations d’irresponsabilité qui sont parfois portées à
leur égard en la matière sont inacceptables.
Les autorités de contrôle se situent en dehors du champ
politique. On ne peut les confondre ni avec certaines
associations militantes qui professent des opinions très
engagées ni avec les autorités publiques en charge de
la sécurité ou de la justice. Il serait si facile de stigmatiser
les comportements de ces autorités de contrôle si elles
versaient d’un côté ou de l’autre !
Au contraire, elles examinent les textes de niveau législatif
ou réglementaire en recourant aux principes et aux instruments que les textes fondateurs de chaque pays leur ont
confiés. Quelle est la finalité poursuivie par tel traitement
de données dans une politique de lutte antiterroriste ?
Y a-t-il adéquation entre l’objectif poursuivi et les moyens