Après une succession de réformes visant à étendre la liste des fichiers, la gamme des informations collectées et la durée de conservation des données, la lecture des articles de la LOPPSI 2 (art. 11 et suivants) consacrés au sujet déclenche de prime abord un sentiment de soulagement. Hormis l’extension du champ d’application des fichiers d’analyse sérielle aux infractions contre les biens punies de cinq ans d’emprisonnement (au lieu de sept ans précédemment), le texte se contente d’intégrer dans le code de procédure pénale, sans modification particulièrement liberticide, les dispositions de la loi du 18 mars 2003 encadrant jusqu’alors la matière.

Au crédit du législateur, il faut même reconnaître que la loi renforce les dispositifs de contrôle et d’apurement. Compte tenu de la surcharge de travail des parquets, nombre de suites judiciaires favorables aux personnes mises en cause (classement, relaxe, etc.) ne sont jamais transmises aux forces de police pour que les fiches soient modifiées ou supprimées. Seuls 21,5 % des classements pour insuffisance de charges ou infraction mal caractérisée, 0,47 % des décisions de non-lieu, 6,88 % des acquittements et 31,17 % des relaxes ont été transmis aux services de police pour rectification en 2007 (CNIL, Conclusions du contrôle du STIC, 2009, p. 17 et s.).

Lorsque la LOPPSI 2 entrera en vigueur, les procureurs de la République auront pour obligation de procéder aux demandes d’effacement ou de rectification, et ce dans un délai d’un mois. Au niveau national, un magistrat sera parallèlement nommé pour contrôler et assurer la mise à jour des fichiers. Il pourra agir d’office ou à la demande de particuliers, disposera d’un accès direct aux traitements, d’un pouvoir de rectification et d’effacement des données.

Autre modification, la requalification judiciaire des faits (par exemple un vol aggravé en vol simple), qui est de droit, ne supposera plus une demande préalable de la personne concernée.

Le parquet pourra toujours s’opposer discrétionnairement à l’effacement des données en cas de relaxe, d’acquittement, de non-lieu ou de classement, ce qui pose évidemment problème dans un État de droit qui n’a pas (encore ?) renoncé au principe essentiel de la présomption d’innocence. Néanmoins, la personne devra en être avisée. Le nouvel article 230-8 du C.P.P. précise également que les données conservées malgré l’absence de condamnation pénale ne peuvent être consultées à l’occasion des enquêtes de moralité préalables au recrutement de certains professionnels (policiers, magistrats, agents privés de sécurité, etc.).
Le gouvernement et les parlementaires auraient-ils enfin pris la mesure des exigences citoyennes de protection des libertés fondamentales, telles qu’elles se sont manifestées en 2009 lors de la fameuse polémique « EDVIGE » ? On peut en douter et même s’interroger sur la stratégie poursuivie par les pouvoirs publics.

Renforcer l’acceptabilité des fichiers

Malgré les avancées positives de la loi d’orientation, il est peu probable que les magistrats aient les moyens d’effectuer convenablement leur mission d’apurement. Les contrôles et rectifications sont pour l’instant plus théoriques qu’effectifs, même s’ils devraient s’accentuer suite à l’installation progressive du logiciel Cassiopée dans les juridictions. Les parquets ne disposent pas de terminaux d’accès aux fichiers policiers, accès pourtant expressément prévu par la loi du 18 mars 2003. Il faudra également plusieurs décennies, sinon plusieurs siècles, pour que l’unique magistrat chargé d’assurer la mise à jour des fichiers épuise le stock des enregistrements inexacts ou incomplets (plus d’un million de fiches).
Un suivi attentif des réformes en cours démontre par ailleurs que les pouvoirs publics n’ont pas l’intention de bouleverser l’économie générale de la législation applicable, bien au contraire. Alors que la LOPPSI 2 offrait l’occasion de refondre entièrement la matière, les parlementaires s’apprêtent à modifier la loi informatique et libertés dans un texte parallèle, mais dont la médiatisation est moindre. De là à penser que les garanties judiciaires offertes par la très médiatique LOPPSI 2 visent à renforcer l’acceptabilité des fichiers, pour faciliter dans un second temps la réception de nouvelles dispositions liberticides, il n’y a qu’un pas.

Suite à un amendement de J.-A. Bénisti (UMP), la proposition de loi de simplification et d’amélioration de la qualité du droit, adoptée en deuxième lecture par l’Assemblée nationale le 9 février 2011 et renvoyée devant le Sénat, valide la création de la plupart des fichiers de police par arrêté ou par décret en Conseil d’État lorsqu’ils contiennent des données « sensibles » (origine ethnique, orientation sexuelle, opinions politiques, etc.). En 2009, dans un rapport consacré à la question, le même Bénisti avait pourtant précisé que « l’équilibre fragile, qu’il convient de trouver entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles de tout citoyen, nécessite l’intervention et le contrôle du Parlement ».

Passer outre l’intervention du législateur

Pour justifier son revirement, ce député rétorquera sans doute que les parlementaires ont eu pour seul objectif d’encadrer davantage les prérogatives de l’exécutif. Ils entendent effectivement insérer à l’article 26 de la loi informatique et libertés une liste de finalités qui seules pourraient justifier la création par voie réglementaire de traitements qui intéressent la sécurité publique, la prévention, la recherche, la constatation ou la poursuite des infractions pénales (art. 29 bis de la proposition de loi). Pour passer outre l’intervention du législateur, il suffira toutefois au gouvernement de puiser dans la longue liste de finalités, composée de douze motivations quelque peu imprécises (prévention des infractions, centralisation des informations destinées à informer le gouvernement afin de prévenir les atteintes à la sécurité publique, etc.).
Cette proposition de loi autorise également les procureurs de la République à faire état d’informations visées dans les fichiers d’antécédents à l’occasion d’une comparution immédiate (article 29 nonies). Cette réforme aurait le mérite d’encadrer les pratiques officieuses constatées dans quelques juridictions, et de porter à la connaissance de la défense l’utilisation des fiches STIC dans le processus pénal.

Elle aurait toutefois pour effet de cautionner des pratiques attentatoires à la présomption d’innocence. Permettre au parquet d’utiliser ce casier judiciaire parallèle pour décider de l’opportunité des poursuites, choisir telle voie procédurale ou fixer la peine requise à l’audience conduirait à faire peser sur le mis en cause une présomption de culpabilité, fondée sur des faits antérieurs à ceux poursuivis et n’ayant pas donné lieu à condamnation. De tels procédés montrent qu’une simple suspicion suffit désormais à transformer les « clientèles policières » en délinquants avérés, au mépris de l’exigence d’un jugement sur la culpabilité. Une nouvelle fois, le prétendu « droit à la sécurité » tend à supplanter le « droit à la sûreté », dont il n’est pourtant qu’une déclinaison. Au nom d’un principe de précaution perverti, d’un contrôle et d’une neutralisation préventive des populations présumées dangereuses, l’État de droit se plie chaque jour davantage au règne de l’arbitraire.

—

Billet initialement publié sur le site Délinquance, justice et autres questions de société

Images Flickr a_leste

Pour les brebis égarées et parce que Jean-Marc Manach a eu la gentillesse de s’y coller, nous proposons un petit rappel de certains des fondements de notre engagement, et un retour sur la chronologie de cet inconcevable imbroglio.

Commençons par le fait que l’Hadopi veut faire de tout un chacun son propre petit Big Brother, contraignant les internautes à “surveiller” ce qui est fait de et sur leur ordinateur. Cela peut se faire un mécanisme prévu par le droit civil français: le renversement de la charge de la preuve.

Ce sont les accusés qui ont à prouver leur innocence. Dans ce que prévoit l’Hadopi, chaque internaute devra, s’il veut prouver son innocence, installer un mouchard pour surveiller l’activité de son ordinateur. C’est le même principe que pour la vidéo-surveillance (pardon… “protection”): vous n’avez rien à craindre si vous n’avez rien à vous reprocher.

Les individus fichés par le biais d’un traitement de données informatisées seront quant à eux considérer comme suspects jusqu’à ce qu’ils aient fait la preuve du contraire. Problème, si l’on relit l’article premier de loi informatique et libertés, on peut penser qu’il y a hiatus:

L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

On est bien loin de l’esprit de la loi qui autorise cette pratique. Qui plus est, ce mouchard, (pardon… “outil de sécurisation”), sera bien évidemment payant.

Ironie d’un dispositif rudement bien rodé: les internautes, qu’ils téléchargent ou non, devront payer un logiciel espion et l’installer sur leur ordinateur pour sauver les artistes et les industries culturelles.

Alors, Hadopi, fini de rire?

Au moment où Orange prend les devants, retour sur la genèse d’une loi contre laquelle nous n’avons pas fini de nous mobiliser /-)

Ouverture officielle de la “chasse aux pirates”

Nombreux sont les internautes qui se sont désolés de voir que la CNIL avait validé la demande des ayant-droits de:

procéder à des collectes automatisées d’adresses IP d’utilisateurs mettant à disposition illicitement sur les réseaux P2P des phonogrammes et/ou des vidéomusiques

En clair : la “chasse aux pirates” peut être lancée, et les grandes oreilles de Trident Media Guard, l’entreprise chargée de cette traque, vont enfin pouvoir être déployées (ce qui lui a d’ailleurs valu un Big Brother Award cette année).

Peu nombreux sont les internautes qui savent que pour procéder à ce type de surveillance généralisée par des opérateurs privés, il avait fallu modifier la loi informatique et libertés. Cette modification permet de constituer des fichiers, eux aussi privés, de délinquants présumés.

1er avril 2003: Alex Türk déjà à la manœuvre

Le Sénat est appelé à discuter de la refonte de la loi dite informatique et libertés, adoptée en 1978 et qu’il fallait mettre à jour.

Alors vice-président de la CNIL, mais également rapporteur du projet de loi au Sénat, Alex Türk soutient un amendement, dont il est l’auteur. Celui-ci vise à lutter contre la mise en place clandestine de systèmes de surveillance des internautes… en les légalisant. Il autorise en effet la création par des entreprises privées fichiers d’auteurs présumés d’infraction :

En l’état actuel du projet de loi, seules les juridictions, les autorités publiques et les personnes morales gérant un service public, ainsi que les auxiliaires de justice, peuvent mettre en œuvre des traitements relatifs aux infractions, condamnations et mesures de sûreté. L’amendement que nous vous proposons ajoute une troisième hypothèse : les personnes morales victimes d’infractions.

La loi Informatique et libertés a en effet ainsi été pensée de sorte que seuls la police, les autorités et les auxiliaires de justice sont habilités à ficher les “suspects“. Il s’agissait, à l’époque, de protéger les citoyens du fichage administratif et policier (voir Safari ou la chasse aux Français).

Or, depuis 1978, le nombre de fichiers a explosé, tout comme ont les technologies, informatiques notamment, de fichage des individus. C’est d’ailleurs l’argument mobilisé par la CNIL et Alex Türk pour appeler à cette extension de la possibilité de créer des fichiers de suspects :

Cette disposition est vivement souhaitée par la CNIL, ce pour une raison qui peut paraître étrange : elle permettra d’éviter la mise en place d’un certain nombre de fichiers clandestins. En effet, beaucoup de fichiers existent sans être connus de la CNIL. L’objectif est de les inscrire dans cette base juridique de façon que, désormais, ils fassent l’objet d’un contrôle.

15 juillet 2004: Les droits d’auteur entrent dans l’arène

En deuxième lecture, le sénateur Robert Bret défend un amendement dont l’objectif affiché est clairement de supprimer celui d’Alex Türk, au motif qu’il ne vise pas tant à lutter contre les fichiers clandestins qu’à afficher “une volonté de défense du droit d’auteur” :

Avec la loi sur l’économie numérique, vous aviez déjà justifié l’abaissement du niveau de protection de la correspondance privée des messageries électroniques personnelles par la volonté de défendre le droit d’auteur ; il s’agissait de pouvoir lutter directement contre le peer to peer en permettant de traquer ce type de fichiers directement dans les e-mails.

Nous avions dit à l’époque que la fin ne pouvait certainement pas justifier les moyens employés. Vous récidivez aujourd’hui en autorisant directement les sociétés de défense des droits d’auteur à constituer des fichiers de ces internautes « délinquants du droit d’auteur ». Si nous comprenons la nécessité de lutter contre la fraude, nous ne voulons pas créer « un délit d’habitude » quand un jeune réalise une copie pour lui-même.

Il convient en effet de distinguer l’usage personnel du trafic en vue de la revente, distinction qui n’apparaît pas dans le texte. En outre, nous avons toujours plaidé en faveur d’une réflexion beaucoup plus large sur les droits d’auteur. Plutôt que de chercher les solutions dans la répression des jeunes, il faut, par exemple, réfléchir au prix du disque et inventer de nouvelles formes de rémunération pour les auteurs. En tout état de cause, vouloir régler la question dans un texte qui ne concerne absolument pas les droits d’auteur ne me semble pas une bonne solution, d’autant que votre disposition ne s’articule pas avec le droit à la copie privée reconnu par la loi du 3 juillet 1985.

Piqué au vif, Alex Türk, qui est entre-temps devenu le président de la CNIL, rétorque que ce type de “traitement de données à caractère personnel relatives aux infractions” existe dans plusieurs autres pays européens, et défend vertement son amendement :

Je préfère mille fois mettre en place un cadre juridique afin d’améliorer le contrôle plutôt que de m’enfouir la tête dans le sable et de les laisser exister.

Il n’est absolument pas question, pour le législateur, de favoriser des activités clandestines. Il s’agit de les repérer si elles existent, de les encadrer juridiquement, et de les interdire le cas échéant. L’objectif consiste à sortir ces pratiques de la clandestinité et à les soumettre aux règles de droit commun.

Je pense, par exemple, au droit d’accès, au droit de rectification, au droit d’opposition ; bref, je pense à tous les droits qui sont conférés à nos concitoyens afin qu’ils puissent défendre leur liberté et, surtout, assurer la protection de leurs données personnelles.

De plus, il souligne que cette modification de la loi n’est qu’une partie de la solution, dans la mesure où “il faudra adopter un autre projet de loi pour mettre en œuvre cette disposition“, tout en reconnaissant que son amendement n’en procède pas moins d’un “curieux montage juridique” (Alex Türk est docteur en droit) :

Le projet de loi que nous sommes en train d’examiner fixe le principe que le législateur, s’il le souhaite, pourra autoriser une personne morale de droit privé à créer des fichiers d’infractions. Cette mesure pourrait être considérée comme un curieux montage juridique, mais elle devrait plutôt vous rassurer.

Nous nous retrouverons alors ici pour en discuter le moment venu. Nous n’ouvrons donc aucune vanne dangereuse, puisque tout est verrouillé par le législateur. Il est vrai que, sur le plan éthique, on ne peut peut-être pas mettre au même niveau le cas du jeune qui réalise une copie avec le piratage organisé.

Mais il faut tout de même fixer un cadre juridique afin de distinguer clairement ce qui est légal de ce qui ne l’est pas. C’est l’objectif que nous visons avec la rédaction que nous avons retenue.

On pourra gloser à l’envi sur cette proposition d’encadrement de pratiques clandestines (la constitution par des personnes morales, de fichiers d’auteurs présumés d’infraction), alors que le législateur aurait tout aussi bien pu décider d’encadrer ces autres pratiques clandestines que sont les différentes formes de téléchargement.

Le Parlement a choisi son camp, et préféré couvrir la possibilité, pour les ayant-droits, de se substituer aux autorités, à la police et la justice, plutôt que de légaliser le fait que des millions de gens, en France mais pas seulement, se sont mis à télécharger.

Évoquant ainsi la question des droits d’auteur, qui avait soigneusement été évitée en première lecture, Alex Türk avait d’ailleurs pris un ton fort martial pour, à défaut d’évoquer l’exception culturelle française, prendre clairement fait et cause pour la défense des intérêts économiques de notre industrie nationale, confrontée à la puissance de feu de leurs concurrents américains :

Je crois qu’il faut désormais assumer nos responsabilités. La situation est grave et nécessite des réactions urgentes. Une partie du patrimoine culturel est tout de même en jeu et de nombreuses grandes sociétés américaines n’ont, d’une certaine façon, qu’à attendre, car les sociétés françaises sont moins fortes dans ce domaine d’activité.

A la fin ne resteront que les puissants. L’objectif est donc d’essayer de donner les moyens à ces sociétés de résister à cette attaque qui est organisée d’une manière larvée et qui est fondée sur l’inertie. C’est la raison pour laquelle nous avons pensé qu’il était judicieux de l’inscrire dans le dispositif dès maintenant pour ne pas perdre une journée dans la lutte contre ces éventuels détournements.

La suite, on la connaît : ce n’est pas “une journée“, mais des années qu’il a fallu au Parlement pour adopter une loi permettant aux ayant-droits, d’abord avec la DADVSI, puis avec l’Hadopi, de commencer à fliquer les gens. Et il a encore fallu des mois avant que la CNIL ne les autorise enfin à procéder à des

traitements ayant pour finalité la recherche et la constatation des délits de contrefaçon commis via les réseaux d’échanges « Peer to peer »

Gag : le même jour, la CNIL évoquait également la consultation relative au “droit à l’oubli numérique” …

Nominé quatre fois aux Big Brother Awards, en 2003, 2004, 2005 et 2010, notamment pour la façon avec laquelle il avait rogné sur les pouvoirs de la CNIL (voir A qui profite la CNIL ?), Alex Türk s’est ainsi vu attribué en 2010 un “Prix spécial du Jury, ce dont il s’est d’ailleurs félicité sur Facebook.`

—

> Illustration by Geoffrey Dorne, crédit photo CC FlickR thefreeboxer

Image CC Flickr lennysan

Discontinuité du service, perte de données, mais aussi divulgation de données confidentielles, « l’informatique dans les nuages » présente des risques auxquelles la législation doit s’adapter.

Le cloud computing » est un concept qui a indéniablement le vent en poupe. En septembre 2009, lorsque j’avais présenté sur le site de l’ADBS  les risques juridiques liés à « l’informatique dans les nuages » (discontinuité du service, perte de données, mais aussi divulgation de données confidentielles), j’avais mis l’accent sur les contrats qui permettaient d’éviter les dangers les plus graves. Ceci reste vrai, naturellement, mais je reconnais bien volontiers qu’il serait préférable de pouvoir s’appuyer sur la loi.

Aux États-Unis, c’est une « coalition » d’associations (où l’on découvre avec plaisir les associations de bibliothécaires) qui vient d’attirer l’attention des parlementaires de leur pays sur les dérives autorisées en matière de protection des données personnelles, par une stricte application de la loi américaine actuelle qui date de 1986, lorsqu’une entreprise, ou toute autre organisation, recourt au cloud computing. Si la loi américaine encadre l’accès aux données personnelles conservées sur un disque dur, il n’en est effectivement pas de même lorsque celles-ci se trouvent dans un « nuage ».

Puisque les règles seraient, en outre, reprises de manière contradictoire par les tribunaux américains, ce groupe d’associations américaines milite pour une réforme de la loi, en prenant pour exemple, la question des courriers électroniques dont la protection, imaginée en 1986, est totalement inadaptée à l’heure actuelle.

Pour obtenir un encadrement juridique équilibré, y compris dans le cadre des  obligations liées aux nécessités des enquêtes (note 1), ces associations rappellent plusieurs principes sur lesquels la loi doit s’appuyer [réf. 1]. Il s’agit notamment de garantir un niveau de protection identique aux données personnelles quelle que soit la technique ou le support utilisés,  leur ancienneté ou la nature, ouverte ou non, de  la communication, lorsqu’elles sont transportées ou stockées, mais aussi de se voir imposer des règles de gestion et de protection  des données simples et claires.

En France, la loi « Informatique et libertés » de 1978  a été modifiée en 2004 pour répondre aux obligations d’une directive européenne. Mais la directive datant de 1995, il ne paraît pas totalement incongru de se pencher sur ce texte pour s’assurer que les protections des données personnelles circulant sur ces « nuages » sont également protégées  sur le continent européen. Il convient de vérifier, en effet, que les données personnelles soient protégées de la même manière, quelle que soit la technique adoptée pour les gérer.

A cet égard, on  ne peut manquer de noter l’initiative  de deux  sénateurs français  qui avaient constaté  l’inadaptation du cadre juridique aux enjeux actuels de la globalisation. Leur  rapport sur la « vie privée à l’heure des mémoires numériques » a donné lieu à un projet de loi. Celui-ci, adopté en 1^ère lecture par le Sénat le 23 mars 2010, vient d’être remis à l’Assemblée nationale. Parmi les mesures envisagées, figurent notamment celle qui obligerait à signaler immédiatement à la CNIL toute faille de sécurité qui serait détectée et à organiser une traçabilité des transferts des données.

Jean-Marc Mercier, interrogé  le 17 février 2010 par le Sénat dans ce cadre, démontre bien la difficulté à laquelle on va certainement se heurter à nouveau, puisque se pose la question récurrente de la loi applicable et de l’applicabilité de la loi. Selon lui, pour garantir les libertés fondamentales des particuliers dont les données figurent dans le « patrimoine numérique » que l’on entend sauvegarder, on doit s’orienter vers « une labellisation au niveau international des  applications et systèmes offrant des garanties renforcées en matière de protection des données personnelles ».

Aux États-Unis, le groupe d’associations militantes incite les internautes à sensibiliser leurs élus à cette question et à crypter leurs données. Ils ajoutent qu’il «  faudra plus d’une assignation d’un fournisseur de stockage des nuages pour y avoir accès ». (note 2)

Mais si le cloud computing est un enjeu important pour les libertés, c’est également un enjeu pour « l’écriture de l’histoire » (note 3). Un dossier à suivre  avec la plus grande attention ….

Merci à Calimaq d’avoir attiré mon attention sur cette coalition [Réf 1].

(2) Comme l’indique Julien L., dans son article paru dans Numérama, la réforme souhaitée aux Etats-Unis ne concerne pas le secteur privé [réf. 8]

(3) Et ce d’autant plus que l’Europe pourrait “perdre la main” sur les infrastructures de cloud computing [réf. 7]

Références

1.       Why ECPA should make you think twice about the cloud, Tony Bradley, PC World, 30 mars 2010

2.       Google, Microsoft push Feds to fix privacy laws, Ryan Singek, Wired, 30 mars 2010

3.       Compte-rendu de l’audition de l’association Mnemosine au Sénat, Jean-Marc Mercier blog, 17 février 2010

4.       Le cloud computing, un mode d’exploitation risqué ?, Michèle Battisti, Actualités du droit de l’information (ADI), septembre 2009

5.       Proposition de loi sur la protection de vie privée à l’heure du numérique, ITR Manager, 12 novembre 2009

6. Un droit à l’oubli numérique, un droit à construire, Michèle Battisti, Paralipomènes, 12 novembre 2010

Voir aussi

7.       L’Europe face aux défis des infrastructures cloud computing, Louis Naugès, 2 avril 2010

8.      Un même statut juridique pour les données locales et distantes ? Julien L., Numerama, 30 Mars 2010

Billet initialement publié sur Paralipomènes