La CNIL et le risque du chef d'œuvre en péril.
La Commission nationale informatique et libertés a 34 ans puisqu'elle est issue d'une Loi de 1978. En pleine force théorique de l'âge, le citoyen et le chercheur ne peuvent que constater que certains pans de ses compétences sont imparfaitement accomplis et que bien des questions se posent quant à l'avenir concret des méthodes et travaux de la CNIL.
Les tâches de la CNIL sont immenses et l'objet de cette contribution n'est pas de stigmatiser le travail au quotidien des 160 personnes qui la composent. Notre propos est fondé sur une approche déterminée des Libertés publiques ou individuelles et sur une expérience acquise tant auprès de particuliers que d'entreprises.
Si l'immense René Cassin ( directeur juridique de la France Libre et inspirateur de la Déclaration des Droits de l'Homme de 1948 ) était encore parmi nous, il ne pourrait que valider notre titre emprunté à une ancienne et célèbre émission de télévision.
Oui, la CNIL fait son travail. Non, elle ne peut assumer pleinement son rôle de protection des citoyens de France faute de moyens humains, techniques et juridiques.
Le droit à l'oubli numérique
A ce stade, il faut prendre quelques exemples. Si vous décidez de clôturer votre compte Facebook, la procédure est assez aisée et semble irréversible et définitive. Or, si quelques mois après ( ndlr : mois ), vous souhaitez vous connecter avec votre adresse mail et votre mot de passe, Facebook vous adresse un message de remerciements pour avoir rejoint à nouveau la communauté où vous retrouvez bien évidemment toutes vos données comme si vous n'étiez jamais parti. Cet exemple qui concerne nos vies mais surtout celles de nos adolescents pose de manière éclatante la question dite du droit à l'oubli. En d'autres termes, si vous décidez de cesser toutes relations commerciales ou autres avec des réseaux sociaux, combien de temps ont-ils le droit de conserver, de commercialiser ( ? ), vos données personnelles et vos opinions exprimées sur le Président Obama ou Poutine ? Sans parler bien entendu d'opinions plus intimes encore touchant à votre sphère relationnelle proche voire vraiment personnelle.
Sur ce sujet, la Commissaire européenne aux droits fondamentaux Viviane Reiding a proposé un avant-projet ( le 25 Janvier 2012 ) relatif au "droit à l'oubli numérique" mais connaissant les rouages de l'Union, il y a fort à craindre qu'il n'aboutisse à un texte contraignant qu'en 2014 voire 2015 du fait des délais de transposition en droit national.
Sur ce sujet du droit à l'oubli, il y a péril pour nos Libertés publiques et la CNIL s'apparente davantage à une officine publique bridée qu'au légitime et escompté bras armé de l'Etat dans une matière aussi sensible.
Si la CNIL parait bridée sur ce droit à l'oubli face à des méga-sites lointains, elle a positivement œuvré en étant aux côtés de citoyens dont les noms avaient été conservés trop longtemps dans le STIC ou carrément cité à tort dans JUDEX. Comme on le constate, le bilan est contrasté.
Il faut toutefois noter que dans son rapport annuel 2011 ( présenté le 10 Juillet 2012 ), la CNIL rapporte l'existence de 5738 plaintes ( soit 19% de plus qu'en 2010 ) et que le droit à l'oubli représente désormais 1000 plaintes soit une augmentation de 42% au regard de l'année précédente. Loin d'être un simple appel vertueux aux Libertés publiques, cette contribution est un vif plaidoyer pour que les choses changent.
Les mails répétitifs et indésirables :
De la même manière que le droit à l'oubli est, pour l'instant, une chimère pour le citoyen lambda, nous avons tous expérimenté le cas de mails indésirables et répétitifs. Avec application digne d'un écolier, nous demandons à être désinscrits : le fameux " unsuscribe " alors même que nous n'avions rien souscrit ( ...).
Moins de quinze jours après, généralement, le même fournisseur réapparait dans votre listes de réception de mails parfois en ayant le cynisme de rappeler que vous pouvez saisir la CNIL en cas de difficultés. A titre d'échantillonnage, si vous recevez une dizaine de mails indésirés par jour, cela revient-il à dire que vous devez saisir la CNIL dix fois par jour ? Il est urgent de doter la CNIL de serveurs capables de traiter ce marketing sauvage et de sanctionner les contrevenants les plus omniprésents : à défaut, la gêne réelle de tout un chacun continuera tel un tapage informatique aussi polluant qu'un tapage nocturne.
La divulgation de données personnelles
Le nombre de plaintes concernant cette divulgation inopportune a augmenté de 27% entre 2010 et 2011 : elles visent l'accès indu au numéro de sécurité sociale, aux revenus des salariés, etc. Autant d'informations loyalement qualifiables de confidentielles et qui rentrent typiquement dans le champ de compétences de la Loi n°78-17 du 6 Janvier 1978 modifiée le 6 Août 2004 qui assigne à la CNIL un rôle majeur de protection des libertés individuelles ou publiques.
De surcroît, l'évolution technique, la marche accélérée vers les nano-technologies vont étendre l'univers des possibles en matière de violations législatives. Ce point est d'ailleurs un des thèmes centraux du livre de l'ancien Sénateur et ancien Président de la CNIL : Alex Türk ( in "La vie privée en péril, des citoyens sous contrôle " Odile Jacob, 2011 ). Convenons que face à ce bond en avant technologique dont nous profiterons dans un usage quotidien ( super-smartphones, etc ), il y a aura une face cachée porteuse de risques non négligeables.
L'e-réputation
Sur ce site, la CNIL elle-même s'est exprimée il y a un peu moins d'un an ( 25 Août 2011 ) sur le sujet de l'e-réputation et après avoir exposé pédagogiquement les enjeux, elle conseillait alors aux lecteurs de recourir à " ma présence sur le web" inventé par Google...
Plus préoccupante était la formulation du paragraphe consacrée aux réclamations : " /.../ la CNIL pourra intervenir à l'appui de sa demande auprès du responsable du site en veillant à ce qu'une réponse soit apportée. Si, malgré tout, le webmaster refuse par écrit de donner une suite favorable à la demande, il faudra s'adresser à la Justice ". Plus loin, " il peut s'avérer très difficile de contraindre un site à retirer du contenu, surtout si celui-ci est hébergé hors de l'Union européenne ". Objectivement tout ceci est exact mais feu René Cassin ou l'éminent Doyen Georges Vedel l'aurait-il accepter ?
Sur ce point, un constat de carence doit être établi : il ne vise pas la CNIL mais le champ de ses prérogatives définies par le Parlement. Sur la route, il y a des gendarmes et des radars. Pourquoi la France n'aurait-elle pas un organisme d'Etat chargé de nettoyer les choses alors que de modestes PME proposent et vendent ce service de nettoyage d'e-réputation ? L'inertie publique masque maladroitement la gêne pour des milliers ( millions ? ) d'usagers d'internet. Est-ce bien pertinent ?
Les cookies et l'opt-in
Les cookies sont assimilables à des fichiers de taille limitée qui facilitent le suivi de l'utilisateur sur un site donné. Ils sont précieux en matière de marketing personnalisé et de datamining. Une ordonnance, qui date d'environ un an, ( Ordonnance n°2011-1012 du 24 Août 2011 ) a eu pour objet de transposer en droit national les directives Paquet Telecom et a élargi les compétences de la CNIL. Par la modification de l'article 32 de la Loi de 1978, il est désormais rendu obligatoire que l'internaute donne son accord préalable à la création de cookies le concernant : ce dispositif est dit : système " opt-in".
Des dérogations à cette obligation sont prévues et trouvent à s'exercer lorsque les cookies sont " strictement nécessaires à la fourniture d'un service expressément demandé par l'internaute ". Les dérogations ont parfois bon dos : combien d'entre nous ont-ils été appelés à donner un accord préalable depuis fin Août 2011 ? On pressent aisément que la qualité extensive de la rédaction des dérogations de l'article 32 permet à l'industrie du web d'agir quasiment comme bon lui semble.
" Le maintien de l'utilisation de cette technique des cookies devrait passer par l'application des principes habituels de la protection des données; il ne devrait pas être possible d'inscrire une information sur le disque dur d'un utilisateur sans qu'il en soit averti, sans qu'il puisse s'y opposer et sans qu'il puisse en connaître la teneur de manière intelligible ". Cette déclaration formelle et ô combien idoine est issue de la page 36 d'un document fort respectable : " Les études du Conseil d'Etat, Internet et les réseaux numériques, 1998 " ( La Documentation française " ).
Vingt ans après le Rapport Nora-Minc sur l'informatisation et treize ans avant l'Ordonnance précitée, ses lignes n'ont pas vu leur aspect potentiellement impératif suivi d'effets. Dans une Nation, quand une Institution comme le Conseil d'Etat n'est guère écoutée par le Parlement, l'Exécutif et bien d'autres, il y a des problématiques à soulever qui relèvent de Tocqueville et même de Montesquieu.
La vidéosurveillance
La CNIL a vu ses pouvoirs accrus pour ce qui concerne la vidéosurveillance ( Loi LOPPSI 2 du 14 Mars 2011 ) mais elle est – hélas – confrontée à des difficultés concrètes issues de jurisprudences quasi-contradictoires selon les Chambres de la Cour de Cassation. La chambre criminelle a estimé que des enregistrements vidéos constituaient un moyen de preuve dans une affaire de vol de la part d'un employé ( Arrêt du 6 avril 1994 ) là où la chambre sociale estiment illicites de telles pratiques si elles sont réalisées sans information préalable des salariés ( Arrêt du 20 novembre 1991 ).
Allant plus loin, l'arrêt de la Chambre sociale rendu le 10 Janvier 2012 exige non seulement l'information préalable des salariés mais aussi le futur usage qui sera fait par l'employeur d'un tel système de vidéosurveillance. En revanche, le dispositif jurisprudentiel est plus souple pour ce qui concerne la surveillance et la sécurité des abords de l'entreprise.
Google et le droit à l'oubli informatique et visuel
Point d'actualité, il a été récemment dévoilé que Google avait écrit à la CNIL début Juillet afin de l'informer que l'intégralité des données collectées par ses "Google cars " pour son outil "Street View" n'avaient effectivement pas été totalement " supprimées pour l'instant ". Sur ce sujet, la CNIL se veut incisive et réclame d'examiner les données avant leur suppression. Il faut se souvenir que depuis ces véhicules, Google avait eu accès, à l'insu des personnes concernées, " à des données dites de contenu ( identifiants, mots de passe, données de connexion, échanges de courriels ) " ( source CNIL ) ce qui lui avait valu en Mars 2011 une amende de 100.000 Euros.
Au regard du bilan de Google et de la gravité des faits avérés, on se croirait face à une amende pour stationnement : ici, la CNIL est loin de la lucidité juridique et financière de l'Autorité des Marchés Financiers ou de l'Autorité de la Concurrence.
Composée d'éminentes personnalités dont le méthodique et rigoureux sénateur de la Nièvre Gaëtan Gorce ou Madame Claire Daval ( Présidente de la formation contentieuse ), il faut former le vif espoir que les sanctions soient à l'aune des écarts à la Loi.
Vers la constitutionnalisation ?
La CNIL souhaite que certains des éléments-clefs qui fondent son action soient inscrits dans la Constitution. En première approche, l'adhésion à cette initiative semble acquise. Puis, en travaillant la question, on découvre plusieurs difficultés.
La première est très simple : si la CNIL a, pour partie, l'acquiescement quant à une constitutionnalité de son dispositif, pourquoi l'analogie ne serait-elle pas poursuivie avec l'AMF ou l'Autorité de Contrôle prudentiel ou d'autres ?
La deuxième est plus complexe : Madame la Professeur émérite Danièle Lochak a écrit dès 1990 dans " Après-demain " : " L'expérience montre que les règles n'offrent par elles-mêmes que des garanties limitées : l'ensemble du système mis en place en 1978 repose sur le "postulat démocratique ", c'est-à-dire sur le postulat d'une application loyale des textes par les parties prenantes dont l'Administration ". Donner valeur constitutionnelle à des fragments de l'activité de la CNIL, c'est s'offrir davantage un plaisir médiatique qu'un renforcement de la sécurité juridique de notre Nation.
Troisième difficulté, si des vents porteurs devaient permettre à ce projet d'intégration explicite au bloc de constitutionnalité d'être sur le point d'aboutir, il faudrait se retourner vers des experts en droit constitutionnel. L'exceptionnel Doyen Georges Vedel nous a quittés il y a exactement dix ans. Dans les hommages prononcés le 6 Juin 2002, l'ancien membre du Conseil constitutionnel, le Professeur François Luchaire, indique que c'est Georges Vedel qui " a inauguré une pratique consistant à auditionner des personnalités donnant leur sentiment sur la constitutionnalité des lois soumises au Conseil " ( in Revue française de Droit constitutionnel, numéro hors-série 2004, page 47 ). Fort de cette information discrète, nous estimons qu'une éventuelle Loi traitant des fondements constitutionnels de l'action de la CNIL devrait être soumise, avant promulgation, au Conseil constitutionnel par le Président de la République sur le fondement de l'article 61.
Pour notre part, nous aurions une préférence pour que les souhaits actuellement émis par la CNIL ne passent pas par l'inscription au sein de la Constitution mais rejoignent formellement les PGD : principes généraux du Droit. On connait l'opposition de M. Waline qui écrivait en 1958 : " Pourquoi invoquer, les principes non écrits du droit, lorsque ces principes sont écrits noir sur blanc dans le plus élevé de nos textes, la Constitution elle-même ? " Face à cette école juridique, le Conseil d'Etat a toujours préféré fonder ses décisions à partir des PGD ( voir le célèbre arrêt Barel de 1954 ) afin de pouvoir adapter l'application de ceux-ci avec la souplesse requise par le cas d'espèce. Les PGD étant reconnus comme ayant une valeur infra-législative et supra-décrétale ( Arrêt Syndicat général des ingénieurs-conseils du 26 Juin 1959 ), il y aurait déjà là une marge de manœuvre constructive pour la CNIL.
Nous sommes convaincus qu'introduire des problématiques de la CNIL dans la Constitution reviendrait à rendre bancales certaines décisions et ainsi générer un flux ( pour ne pas dire un flot ) de QPC : question prioritaire de constitutionnalité.
Selon la Cour des Comptes, la France doit trouver 33 milliards d'économies budgétaires en 2013 pour respecter ses engagements européens. Le budget de la CNIL était de 15,8 millions d'Euros en 2011 pour 160 personnes. Au regard des défis que cette contribution a évoqués ( qui complète notre article sur ce site du 20 Avril 2012 : "Aïe, la C.N.I.L face à une probabilité de QPC : où se dira le droit ? ), il nous semble que l'épaisseur du blindage de la CNIL est à renforcer sur le plan du droit et des moyens. Que l'on trouve dix millions "ailleurs" doit quand même être possible et convenons qu'une CNIL dotée de 25 millions et de moyens juridiques plus affirmés serait gage d'éloignement du risque de délabrement de l'édifice.
En respectant les femmes et les hommes de la CNIL de 2012, nous confirmons – en conclusion – le fruit de notre analyse : si rien n'est fait, la technologie permettra de contourner le dispositif français et donnera à un Préfet virtuel la capacité de signer un arrêté de péril. Comme le disait une des références en matière de Libertés publiques, le Doyen Jean Rivero, " lors d'une garde à vue, il y a toujours une difficulté prétendue d'identifier les auteurs de sévices commis ". Puisse-t-il en être autrement lorsque des sévices non corporels ( détournement de fonds, usurpation d'identités, violation du secret des correspondances, etc ) tenteront d'atteindre l'internaute du Morvan ou du Morbihan.
http://www.lemondeinformatique.fr/actualites/lire-la-cnil-controle-google-street-view-et-menace-fnac-direct-49958.html
http://glossaire.infowebmaster.fr/opt-in/