« INFORMATIQUE ET LIBERTÉS » : UNE HISTOIRE DE TRENTE ANS

Transcription

« INFORMATIQUE ET LIBERTÉS » : UNE HISTOIRE DE TRENTE ANS
André Vitalis
C.N.R.S. Editions | Hermès, La Revue
2009/1 - n° 53
pages 137 à 143
ISSN 0767-9513
Article disponible en ligne à l'adresse:
-------------------------------------------------------------------------------------------------------------------http://www.cairn.info/revue-hermes-la-revue-2009-1-page-137.htm
Document téléchargé depuis www.cairn.info - - - 2.14.87.226 - 31/12/2014 10h21. © C.N.R.S. Editions
Pour citer cet article :
-------------------------------------------------------------------------------------------------------------------Vitalis André, « « Informatique et libertés » : une histoire de trente ans »,
Hermès, La Revue, 2009/1 n° 53, p. 137-143.
--------------------------------------------------------------------------------------------------------------------
Distribution électronique Cairn.info pour C.N.R.S. Editions.
© C.N.R.S. Editions. Tous droits réservés pour tous pays.
La reproduction ou représentation de cet article, notamment par photocopie, n'est autorisée que dans les limites des
conditions générales d'utilisation du site ou, le cas échéant, des conditions générales de la licence souscrite par votre
établissement. Toute autre reproduction ou représentation, en tout ou partie, sous quelque forme et de quelque manière que
ce soit, est interdite sauf accord préalable et écrit de l'éditeur, en dehors des cas prévus par la législation en vigueur en
France. Il est précisé que son stockage dans une base de données est également interdit.
--------------------------------------------------------------------------------------------------------------------
05_H53_partie3.fm Page 137 Mercredi, 18. mars 2009 1:44 13
André Vitalis
Université Michel de Montaigne - Bordeaux III
Centre d’étude des médias
En adoptant, le 6 janvier 1978, une loi relative à
l’informatique, aux fichiers et aux libertés, la France
marquait sa volonté de protéger les données personnelles face aux dangers que leur mise sur ordinateur fait
courir à la vie privée. Était clairement refusée une informatisation sauvage et liberticide permettant de surveiller l’individu dans ses moindres faits et gestes. Ce
n’était pas la première législation en la matière, mais
c’est une des mieux conçues et des plus complètes pour
l’époque. L’article premier de la loi témoigne éloquemment de ses ambitions : « L’informatique doit être au
service de chaque citoyen. Son développement doit
s’opérer dans le cadre de la coopération internationale.
Elle ne doit porter atteinte ni à l’identité humaine, ni
aux droits de l’homme, ni à la vie privée, ni aux libertés
individuelles ou publiques. »
Le dispositif protecteur institué repose sur de nouvelles règles à la charge des ficheurs et de nouveaux
droits accordés aux fichés. La responsabilité principale
de la protection revient cependant à une autorité administrative indépendante créée spécialement à cet effet, la
Cnil (Commission nationale de l’informatique et des
libertés). Cette autorité doit veiller au respect d’un cer-
HERMÈS 53, 2009
tain nombre de principes de finalité, de transparence ou
de limitation dans la durée de conservation des informations, notamment au moment de la création des fichiers
informatisés. Plus généralement, son statut et ses prérogatives doivent lui permettre d’éviter que l’informatisation porte atteinte à la vie privée des personnes.
Après trente ans d’application de la loi, on peut
évaluer à grands traits le type de régulation que la Cnil
a réussi à établir et les difficultés qu’elle a rencontrées
dans cette tâche1. Cette évaluation est d’autant plus utile
que des équilibres patiemment établis sont remis en
cause aujourd’hui par l’évolution des techniques et du
contexte politique2.
La régulation effectuée par
une autorité administrative
indépendante
Le législateur a eu véritablement le souci de protéger les libertés individuelles mais, en même temps, il n’a
pas voulu entraver le développement de techniques
137
« INFORMATIQUE ET LIBERTÉS » :
UNE HISTOIRE DE TRENTE ANS
informatiques considérées comme un gage de progrès
économique et social. Cette double préoccupation compromet l’efficacité du régime de protection mis en place.
L’existence d’une réglementation procure d’importants
bénéfices symboliques, mais cette dernière n’a pas permis de remettre en cause et de limiter le développement
continu de la collecte, du stockage et du traitement des
données personnelles. Or ce développement constitue
en lui-même une menace pour la préservation de la vie
privée. Si, dans un contexte démocratique, l’utilisation
des énormes stocks d’information aujourd’hui constitués, est soumise au respect d’un certain nombre de
principes, il n’en va pas de même lorsque ce contexte
prend des formes plus autoritaires.
Dans une dictature, ces stocks peuvent devenir des
armes immédiatement disponibles pour les pouvoirs en
place. Au fil du temps, la surveillance de l’individu par
l’information a pris une importance croissante sans que
l’on en prenne toujours conscience. Comme l’ont analysé des auteurs aussi différents que Charles Taylor,
Anthony Giddens ou Gille Deleuze3, cette surveillance
peut même constituer un des traits essentiels de notre
société définie comme une société de contrôle4. James
Rule constate « que les quatre dernières décennies ont
valu aux démocraties de ce monde, de plus en plus de
législation et d’institutions vouées à la protection de la
vie privée, mais de moins en moins de vie privée »5.
Si, à l’évidence, la Cnil n’a pas pu s’opposer à un tel
mouvement de fond, elle a cependant empêché les dérives
les plus liberticides. C’est par la voie du compromis et
de la négociation que la Commission a exercé la plus
grande influence et obtenu les meilleurs résultats. Elle a
émis peu d’avis défavorables dans la mesure où, avant
de se prononcer sur un dossier, elle a réussi à obtenir,
par des négociations préalables, une révision des contenus les plus contestables. Les avis favorables sont souvent assortis de nombreuses réserves. Il est recherché
dans la grande majorité des cas, un point d’équilibre
138
entre des intérêts contradictoires : par exemple, les
impératifs de la recherche et le respect du secret médical,
les nécessités d’un contrôle de l’aide sociale et le respect
de la vie privée des assistés, l’intérêt du marketing direct
et le droit des individus de ne pas être importunés.
En 1998, à l’occasion de son vingtième anniversaire, elle a publié les vingt délibérations qui lui paraissent
les plus significatives de son action. Elle a ainsi posé des
limites à la surveillance policière lors de l’informatisation de la carte d’identité et de la constitution du système Schengen. Elle a montré la plus grande fermeté
pour interdire les traitements opérant des discriminations en faisant la chasse à la constitution de « listes
noires », en recommandant de donner le monopole à la
Banque de France pour la tenue d’un fichier national
des incidents de paiements ou en obtenant la suppression d’un « fichier des risques aggravés » accessible par
tous les professionnels de l’assurance. La Cnil s’est également efforcée de limiter ou d’encadrer le recours à la
technique des profils. Elle a donné un avis défavorable
au système GAMIN du ministère de la Santé qui visait
à présélectionner, par des moyens automatisés, des
enfants dits « à risques ». Elle a encadré l’utilisation par
les banques de la technique de segmentation comportementale, en faisant reconnaître le droit d’accès de leurs
clients à leurs segments.
On pouvait craindre qu’une réglementation, conçue
à une époque d’informatique lourde et centralisée, ne se
trouvât rapidement dépassée dans un domaine où le progrès technique et l’innovation ont été incessants. Grâce à
la portée générale des notions et des principes de la loi et
au travail d’interprétation de la Commission, la protection a pu être adaptée petit à petit aux nouvelles techniques. La notion d’information nominative a été entendue
de manière très large. Toutes les informations qui permettent sous quelque forme que ce soit, directement ou
non, l’identification d’une personne, relèvent de cette
notion. Ainsi, les autocommutateurs mis en place pour
HERMÈS 53, 2009
André Vitalis
gérer les communications dans les entreprises et les administrations, ont été soumis à la réglementation car traitant
une information indirectement nominative.
De la même façon, la notion de traitement automatisé n’est pas liée à un état donné de la technologie, mais
a été appliquée de manière extensive. Elle intéresse aussi
bien les fichiers que les banques et mégabanques de
données ou les capteurs d’images. Une société d’autoroute s’est vue interdire la mise en place d’un capteur de
ce type pour relever le numéro minéralogique des véhicules, au nom de la liberté d’aller et venir. Les nouveaux
services télématiques et de télécommunications ont dû
également respecter les nouvelles normes. L’identification du minitéliste à distance et à son insu, qui pouvait
permettre l’établissement de profils de consommation, a
été rendue techniquement impossible. Le respect de
l’anonymat a dû être assuré dans les réseaux câblés de
télévision. De même, dans le réseau numérique à intégration de services, il a été estimé que l’identification de
l’abonné ne pouvait pas constituer un préalable à l’établissement de la communication.
Avec la construction d’une société dite d’information et le développement d’un réseau mondial comme
Internet, l’adaptation est rendue de plus en plus difficile.
Devant les insuffisances de l’encadrement juridique existant, on s’est efforcé de penser d’autres modes de régulation, comme un rapport parlementaire de 2000, qui
avance la notion de co-régulation. À l’internationalisation
du réseau devrait répondre une internationalisation des
normes, ce qui est loin d’être le cas pour le moment.
Des secteurs d’activité réfractaires
à la culture informatique et libertés
L’efficacité de la protection repose sur le respect
par les ficheurs des dispositions de la loi et particulière-
HERMÈS 53, 2009
ment des formalités préalables à accomplir auprès de la
Cnil au moment de la création d’un traitement. On
s’aperçoit que, dans un nombre considérable de cas et
particulièrement dans le secteur privé, cette obligation
n’a pas été respectée. Trois secteurs d’activités ont montré une grande réticence à appliquer les nouvelles règles
qu’ils ont adoptées avec retard et parfois contestées : la
police, l’administration fiscale et le secteur bancaire.
La police, un des secteurs les plus menaçants pour
les libertés de l’individu, est exonérée, du fait de sa mission, des obligations ordinaires par la loi elle-même. Par
exemple, le droit d’accès du fiché ne peut être exercé
que de manière indirecte pour les fichiers policiers. Le
fait que des règles applicables n’aient pas été appliquées
a rendu leur contrôle encore plus ténu. La loi prévoit
qu’un traitement ne peut être mis en œuvre que sur la
base d’un acte réglementaire pris après un avis de la
Cnil.
Pour les traitements antérieurs, la loi laissait un
délai de deux ans à l’administration pour prendre les
actes réglementaires correspondants. Il a fallu attendre
parfois plus de dix ans pour que les principaux fichiers
de la police et de la défense soient régularisés : les
fichiers de la défense, de la sécurité extérieure et de la
surveillance du territoire l’ont été en 1986 et les fichiers
des Renseignements généraux et du terrorisme en 1991.
En 1986, conformément à la loi, les actes réglementaires
autorisant les traitements n’ont pas été publiés et ont été
ainsi soustraits à toute publicité. La loi permet aussi de
déroger, pour cette catégorie de fichiers, à l’interdiction
de stocker des données sensibles, par le moyen d’un
décret en Conseil d’État pris après un avis conforme de
la Cnil.
Grâce à cette disposition, la Commission a pu
demander le respect d’un certain nombre de normes
comme une habilitation pour l’accès aux fichiers ou une
mise à jour régulière des traitements. L’obtention d’un
consensus réclame des délais très longs qui n’ont pas
139
« Informatique et libertés » : une histoire de trente ans
toujours été respectés. Ainsi le mégafichier Stic (Système de traitement des infractions constatées) créé dans
son principe par une loi de 1995, qui recense toutes les
personnes ayant été concernées par une procédure judiciaire, a été mis en place dès cette date, alors que le
décret qui l’autorise n’est intervenu qu’en 2001. Par la
suite, pour contourner l’obstacle du véritable pouvoir
de co-décision de la Commission, le gouvernement
devait recourir à la voie parlementaire pour créer de
nouveaux traitements comme en 1998, dans le cas du
fichier national des empreintes génétiques, avant que la
révision de loi Informatique et Libertés en 2004, ne lève
toutes ces difficultés.
L’administration fiscale a informatisé tous ses
grands fichiers nationaux afin de mieux établir et gérer
les différents impôts. Elle a également mis en place,
pour mieux effectuer le contrôle fiscal, des traitements
d’aide au diagnostic et d’aide au recouvrement. Tous
ces traitements respectent le droit à la vie privée du
contribuable et les nouvelles règles de protection des
données personnelles. L’avantage décisif de cette administration par rapport aux contraintes que peuvent
représenter ces règles n’est pas de prime abord apparent. Il est constitué par un droit de communication qui
l’autorise, dans l’accomplissement de ses missions, à
prendre connaissance et au besoin copie d’informations
qui ne lui étaient pas a priori destinées. Lors de la création d’un traitement, une liste de destinataires doit être
établie en fonction de la finalité. La qualité de « tiers
autorisé » dispense le fisc de figurer sur cette liste alors
même qu’il peut avoir accès au traitement pour une tout
autre finalité que celle qui est déclarée. Avec la multiplication des fichiers centraux et les capacités de traitement de l’informatique, ce droit de communication a
pris une portée considérable. La lutte contre la fraude
explique l’intérêt que représente l’interconnexion des
fichiers pour le fisc. Si en 1984, il a renoncé à la
demande de la Cnil de prendre le numéro national NIR
140
comme identifiant et à adopter un identifiant spécifique
du contribuable, depuis cette date, il est revenu
constamment à la charge pour utiliser le numéro national.
Organismes de droit privé, les banques doivent
simplement déclarer leurs traitements à la Cnil. Grandes
utilisatrices de données nominatives, elles ont manifesté
très tôt leur réticence face au contrôle de cette dernière
qui a vu ses délibérations constamment mises en cause
devant le juge. Après avoir élaboré une norme simplifiée
sur la gestion des prêts, et à la suite de plusieurs plaintes,
la Commission a constaté que cette norme n’était pas
appliquée : des informations étaient diffusées entre établissements de crédit, d’autres informations étaient
ajoutées, les dispositions relatives à la technique du
« scoring » étaient restées lettre morte, des fichiers de
mauvais payeurs avaient été constitués. La norme révisée en 1985 et une recommandation afin d’éclairer les
établissements sur leurs obligations en matière de protection des données n’ont pas été acceptées par les
banques qui ont engagé un recours pour excès de pouvoir devant le Conseil d’État. La Cnil a alors modifié ces
délibérations dans un sens qui devait satisfaire les
milieux concernés, en particulier sur la durée de conservation des informations ou sur la teneur des raisons
communiquées au client lors d’un refus de crédit.
Par la suite, la Commission devait réaffirmer
l’interdiction pour les établissements bancaires d’utiliser des données étrangères à la relation commerciale qui
les unit à leurs clients et tout spécialement des données
sensibles. Une recommandation sur le crédit, réactualisée en 1998, demande que lui soient communiqués les
paramètres des scores afin qu’elle puisse exercer un
contrôle. Encore une fois, cette délibération a fait l’objet
d’un recours pour excès de pouvoir et, en 2001, le
Conseil d’État devait annuler cette délibération.
Quelques années auparavant en 1993, à la suite d’une
plainte, la Cnil s’était efforcée d’encadrer la technique
de segmentation comportementale qui consiste à établir
HERMÈS 53, 2009
André Vitalis
des profils de clients à partir de l’analyse de leurs
comptes. Une banque insatisfaite forma un recours
pour excès de pouvoir devant le Conseil d’État, qui en
1995, donna raison à la Commission.
Les interventions du pouvoir
politique pour réviser
à la baisse la protection
À partir de 1995, le gouvernement est intervenu
non seulement pour alléger les contraintes sur des
points précis, mais également pour remettre en cause le
régime de protection dans son ensemble. Une loi sur la
sécurité, qu’il a fait voter en 1995, soustrait au contrôle
de la Cnil qui s’estimait pourtant compétente les systèmes de vidéosurveillance dans les lieux publics.
L’essentiel du pouvoir de régulation est confié aux préfets assistés par des commissions départementales. Un
rapport du Conseil d’État de 1996 sur la transposition
de la directive européenne sur la protection des données, adoptée un an plus tôt, reproche à la Cnil une
conception maximaliste de son rôle qui l’a conduit à
vouloir accroître son contrôle sur les traitements du secteur privé et à devenir un véritable co-décideur en ce qui
concerne les traitements du secteur public. Le rapport
estime que les fichiers de souveraineté devraient être
soumis à moins de contraintes et que les interconnexions entre fichiers d’administrations différentes,
à partir du numéro national NIR, ne devraient pas être
systématiquement écartées dès lors qu’est poursuivi un
objectif d’intérêt général clairement défini. Il est vrai
que ce numéro NIR a fait l’objet d’une bataille incessante avec, d’un côté, la Cnil s’efforçant d’en restreindre
l’utilisation et, de l’autre, le gouvernement et certaines
administrations cherchant, au contraire, à en assurer
une plus grande diffusion6.
HERMÈS 53, 2009
Après plusieurs refus de recourir au NIR pour
ses enquêtes, l’Institut national de la statistique estime
que la doctrine restrictive de la Commission est contraire aux intérêts de la recherche statistique. L’administration fiscale estime de son côté, que la chasse aux
fraudeurs est rendue plus difficile. Dans les milieux
gouvernementaux et parlementaires, on considère, au
milieu des années 1990, que l’interconnexion des
fichiers administratifs à partir du NIR apporterait
plus d’efficacité dans la mise en œuvre des politiques
publiques. En 1997 un projet de loi propose d’organiser l’interconnexion des fichiers fiscaux avec les
fichiers sociaux. En novembre 1998, un amendement
parlementaire, déposé dans le cadre de l’examen
d’une loi de finances, organise, toujours à partir de ce
même numéro, l’interconnexion de tous les fichiers
des administrations fiscales pour lutter contre la
fraude.
La modification de la loi intervenue en 2004, même
si elle accroît les pouvoirs de sanction et de contrôle sur
place de la Cnil, abaisse le niveau de protection en allégeant le contrôle sur les fichiers publics, notamment
ceux qui intéressent la sûreté et la sécurité publique.
Alors qu’auparavant la Cnil devait donner un avis favorable avant la mise en œuvre de ces traitements, elle ne
doit rendre désormais qu’un avis motivé et publié. Que
son avis soit favorable ou défavorable, le traitement
pourra toujours être mis œuvre. Un décret de mars 2007
limite l’autonomie de la Commission, davantage contrainte dans son ordre du jour, et prévoit un nouveau
régime d’avis favorable implicite. Toujours dans le
même sens, un amendement, adopté par la commission
des finances de l’Assemblée nationale lors de la discussion du budget de 2007 et retiré par la suite, proposait
une amputation de 50 % du budget de la Cnil qui ne
cesse pourtant de se plaindre de l’insuffisance de ses
moyens.
141
La faible mobilisation de l’opinion
Seule une minorité de la population, un peu moins
d’un tiers, perçoit les dangers pour les libertés individuelles de l’expansion des techniques d’information et
ce pourcentage a plutôt tendance à baisser. Dans un
sondage réalisé en mai 1999 auprès d’un échantillon
représentatif de la population française, 32 % des personnes interrogées considéraient que le développement
des techniques informatiques facilitant la collecte
d’informations nominatives, constituait un danger pour
les libertés ; 60 % considéraient, à l’inverse, que ce
développement qui permet de renforcer la sécurité des
citoyens était plutôt positif. Les individus fichés ne se
sont guère préoccupés d’exercer un contrôle sur les traitements les concernant. Les nouveaux droits qui leur
ont été reconnus sont restés, la plupart du temps, lettre
morte. Ainsi, le droit d’accès, auquel le législateur avait
accordé une grande importance, n’est exercé que par
quelques centaines de personnes par an. Ce n’est que
ponctuellement, à l’occasion de fichages particulièrement liberticides révélés par la presse, que l’opinion
semble prendre conscience des dangers. Les individus
perçoivent les inconvénients des traitements informatiques en tant que salariés, consommateurs, malades,
assurés sociaux ou contribuables. Les milliers de plaintes
déposées auprès de la Cnil constituent à cet égard un
précieux témoignage des difficultés et parfois des conséquences très dommageables du fichage informatique
dans les domaines les plus divers.
Les partis politiques, les syndicats et les associations de consommateurs ne manifestent qu’un intérêt
très limité pour les dangers liberticides de l’expansion
continue des techniques d’information. Les contestations frontales des systèmes informatiques sont le fait de
professionnels de l’action sociale et médico-sociale ou
de collectifs fortement motivés qui s’inquiètent du recul
des libertés.
En mettant plus volontiers en avant les bienfaits
des nouvelles techniques d’information que leurs
inconvénients, le discours social dominant n’est pas
fait pour sensibiliser le plus grand nombre à la protection de sa vie privée. On est progressivement passé
d’une vision orwellienne pessimiste de ces techniques
dans les années 1970-1980 à une vision technophile
optimiste où elles sont considérées comme des outils
de progrès économique et social7. Les menaces sont
désormais plus multiformes et plus difficiles à identifier quand un Big Brother menaçant laisse la place à
une multitude de Little Sisters qui, sous prétexte de
servir l’individu, s’efforcent de le rendre totalement
transparent.
NOTES
1. Pour une évaluation détaillée, voir ma contribution, « History
of key developments in privacy protection in France », in
J. Rule et G. Greenleaf (dir.), Global Privacy Protection,
Edward Elgar Publishing, 2008, p. 107-140. Cet ouvrage est le
résultat d’un programme de recherche financé par la NSF
(National Science Foundation) de Washington.
142
2. Cette évolution est retracée et analysée par Armand Mattelart
dans son dernier ouvrage, La Globalisation de la surveillance,
Paris, La Découverte, 2007.
3. C. Taylor, The Malaise of Modernity, Anansi, 1991 ;
A. Giddens, La Constitution de la société, Paris, PUF, 1987 ;
HERMÈS 53, 2009
André Vitalis
G. Deleuze, « Post-scriptum sur les sociétés de contrôle »,
Pourparlers, Paris, Éd. de Minuit, 1990.
4. Cette société de contrôle offre aux sciences de l’information et
de la communication un vaste champ de recherche qui, pour le
moment, n’a pas retenu l’attention qu’il mérite.
5.
J. Rule, « Deux parcours divergents : les climats politiques et
l’accessibilité croissante des renseignements personnels », Actes
du 14e colloque du Creis, Paris, juin 2007.
6. Sur l’origine et les enjeux de ce numéro NIR, voir mon article
(avec C. Hoffsaes), « Les hommes-numéros », La Recherche,
vol. 26, n° 278, juillet-août 1995, p. 796-799.
7. Pour une étude de ces représentations, voir E. Armatte, « Informatique et libertés : 30 ans de débats », Mémoire de DEA de
sociologie, Université Paris V, 2001.
VITALIS, A., Informatique, pouvoir et libertés, Paris, Economica,
1981 et 1988 (2e éd.).
VITALIS, A., PAOLETTI, F., DELAHAIE, H., Dix ans d’Informatique et
Libertés, Paris, Economica, 1988.
HERMÈS 53, 2009
VITALIS, A., HEILMANN, É., Nouvelles Technologies, nouvelles régulations, rapport IHESI et CNRS, 1996.
VITALIS, A., « Vidéosurveillance, sécurité et libertés », conférence
introductive, Actes de la 22e Conférence mondiale sur la protection
des données et la vie privée, Venise, septembre 2000.
143
RÉFÉRENCES BIBLIOGRAPHIQUES

« INFORMATIQUE ET LIBERTÉS » : UNE HISTOIRE DE TRENTE ANS

Transcription

Documents pareils

Les Editions Alan Sutton

histoire des arts description « cairn » d`andy goldsworthy

La mythologie nous habite encore aujourd`hui

Télécharger

le livre robinsonnais 2005 carlos ruiz zafon l`o albert sanchez pinol l

Logiciel de gestion Compta (CIEL, EBP, SAGE, QUADRA)

L`Accent Catalan de la République Française

traces numériques personnelles, incertitude et lien social

Complexes - mauvaise image de soi