10/09/2008

Edvige ou comment saisir l'occasion de conforter les garanties du droit des fichiers


Décidément, il arrive à l'histoire de n'être pas loin de se répéter : alors que la CNIL, on le sait, était née de l'émotion produite par un système de fichage conçu comme particulièrement invasif (le fichier « SAFARI »), il n'est pas impossible qu'EDVIGE fournisse l'occasion d'une deuxième étape de notre droit des fichiers, ou plus exactement du régime des garanties accordées aux personnes soumises à un fichage ou à un traitement informatisé.

Ne nous illusionnons pas, à la différence de la situation qui prévalait dans les années 1970, il ne pourra pas être question ici d'une remise à plat de l'ensemble du dispositif car des normes internationales nous contraignent sur de nombreux points et en particulier sur les fichiers gérés par des personnes privées.

Mais, pour ce qui concerne les fichiers publics et plus particulièrement ceux qu'il est convenu d'appeler les « fichiers de souveraineté », un sérieux coup de balai pourrait être donné.

1 – Le principe de séparation des fichiers


Comme le souligne un commentateur de ma précédente note, un premier point serait de séparer les fichiers : s'agissant d'Edvige, on comprend mal pourquoi le fichier de personnalités et celui des « bandes » devrait être commun. En revanche, on comprendrait beaucoup mieux que chaque traitement soit différencié, avec à chaque fois des informations spécifiques à la finalité du fichier.


2 – Les règles de gestion des fichiers.

Il est d'abord impératif que soient définies de manière beaucoup plus précises les règles relatives à la consultation non seulement du fichier EDVIGE mais de tous les fichiers de « souveraineté » en général. De ce point de vue, un annuaire et un « journal des logs » devraient être officialisés et placés sous contrôle de la CNIL (car l'accès au fichier est une question au moins aussi importante que le contenu de celui-ci).

De même, et plus qu'un droit à l'oubli, il faut poser un principe de la suppression systématique des données de plus de x années (à préciser selon les fichiers), qui ne pourra être écarté que par une décision expresse.


3 – Le droit d'accès et de rectification.

Pour l'instant, pour les fichiers dits de souveraineté le droit d'accès des personnes qui se pensent concernées est un droit d'accès « médiat » avec une distinction entre les données intéressant la « sécurité de l'Etat » ou « la sécurité publique » pour lesquelles la vérification et la rectification sont opérées de manière médiate (par un commissaire de la CNIL)et les données qui n'intéressent pas ces deux objectifs et pour lesquelles la communication est ensuite faite à l'intéressé qui peut demander la rectification.

Il me semble que l'on pourrait envisager une inversion de la logique avec un droit d'accès direct et permanent qui ne pourrait être écarté que par une décision expresse et motivée prise par la CNIL et non par le responsable du traitement.



4 – Les pouvoirs de l'instance de contrôle.

Comme je l'indiquais dans ma note initiale, depuis 2004, la CNIL n'a plus à donner un avis conforme sur ce type de fichiers. A mon sens, si l'orientation est de faire voter un projet de loi, il faudrait en profiter pour redonner ce pouvoir à la CNIL. Car même si la CNIL ne pourra pas s'opposer frontalement à un projet de fichier de type EDVIGE, elle pourra monnayer son accord et ainsi faire disparaître les aspects les plus critiquables du projet.

Il faut également affirmer la mission de contrôle systématique des fichiers de la CNIL : l'enjeu n'est pas seulement d'agir en cas de demande indivduelle mais de pouvoir « inspecter » les fichiers dans leur ensemble.



5 – Le contenu des fichiers et les personnes « fichables ».

Reste une question qui n'est pas technique mais qui pose des problèmes redoutables : c'est celle du contenu des fichiers.

On entend actuellement certaines personnes remettre en cause le principe même du fichage, ou du fichage des mineurs ou du fichage des personnalités... De même qu'est contesté la possibilité de nourrir les fichiers avec des données relatives au comportement, voire aux informations à caractère ethnique ou religieuses.

Je serais pour ma part beaucoup plus prudent sur ce point. Je ne pense pas, en effet, qu'on puisse adopter une position systématique et idéologique : le travail de renseignement qui s'appuie sur ces fichiers s'accommode mal de catégories aussi rigides.

Il me semble en revanche que l'alimentation des fichiers doit faire l'objet de « doctrines d'emploi » par l'autorité hiérarchique, mais rendues publiques, et qui pourraient ainsi être connues voire discutées, et que si des dérogation sont faites à ces « doctrines d'emploi », elles devront être justifiées par la personne qui aura alimenté le fichier, et faire l'objet d'une vérification spécifique.

Voilà brièvement ces quelques pistes pour une future amélioration du dispositif que je voulais évoquer. J'ouvre naturellement la discussion car la période de "concertation" qu'ouvre le gouvernement pourra utilement être complétée par le débat public.