JURIBLOGSPHERE

Le décret n° 2009-1249 du 16 octobre et celui n° 2009-1250 du même jour ont peu, sur le plan médiatique, fait parler d’eux et pourtant ils créent deux nouveaux fichiers de police.

Le premier décret n° 2009-1249 a été pris pour la création d’un fichier en matière de prévention des atteintes à la sécurité publique.

Il va servir à recueillir, conserver et analyser les informations qui concernent «les personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique et notamment les personnes susceptibles d’être impliquées dans des actions de violences collectives, en particulier en milieu urbain ou à l’occasion de manifestations sportives».

La lecture de l’article 3 de ce décret est intéressante puisqu’il est désormais possible dans ce cadre, si vous êtes âgé d’au moins treize ans, de collecter, de conserver – pendant dix ans à compter du dernier évènement ayant donné lieu à enregistrement, durée raccourcie à trois ans pour un mineur – de traiter des données concernant notamment :

- votre origine géographique, notion que je peine à définir,

- vos activités politiques, vos activités philosophiques, vos activités religieuses, et vos activités syndicales.

Quant au second décret n° 2009-1250, il vise la création d’un fichier de données à caractère personnel relatif aux enquêtes administratives liées à la sécurité publique.

Ces enquêtes sont réalisées, notamment, dans le cadre de recrutements à des emplois publics participant à l’exercice des missions de souveraineté de l’État, ou relevant du domaine de la sécurité ou de la défense, et sont destinées à vérifier que le comportement des personnes physiques ou morales intéressées n’est pas incompatible avec l’exercice des fonctions ou des missions envisagées.

Dans ce cas de figure, si vous êtes âgé d’au moins seize ans, il est autorisé notamment l’enregistrement de données – contenues dans un rapport d’enquête – relatives à un comportement incompatible avec l’exercice des fonctions ou des missions envisagées, la source de ce comportement pouvant être une motivation politique, religieuse, philosophique ou syndicale.

Bien entendu, ces deux nouveaux fichiers de police vont s’ajouter à la liste de ceux existant en France, ces fichiers détaillés par la Commission Nationale Informatique et Libertés sur son site Internet.

Dans les faits, cette énumération CNIL a peu à voir avec la réalité puisque le rapport d’information du 24 mars 2009 sur les fichiers de police – rédigé par les députés Jacques Alain BENISTI (UMP) et Delphine BATHO (PS) – en dénombre 58, soit dix fois plus…

Assemblée nationale – Rapport d’information des députés BENISTI et BATHO du 24 mars 2009 sur les fichiers de police (format pdf)

J’ai tout particulièrement noté que, dans leur rapport, deux points particulièrement importants.

La tendance actuelle à la multiplication des fichiers de police

Les deux parlementaires pointent du doigt la tendance actuelle à la multiplication des fichiers de police qui s’explique, selon eux :

♦ d’une part «par le fait que certains traitements de données sont créés en dehors de tout cadre juridique et sans aucune base normative» (un quart des fichiers de police n’ont aucune base juridique),

♦ d’autre part «lorsque le gouvernement entend donner une base juridique aux fichiers, dont il envisage la création, il peut recourir à un large éventail d’instruments normatifs (lois, décrets, arrêtés, etc…)».

La nécessité de clarifier les conditions de création de ces fichiers de police

Les deux députés soulignent également la nécessité de clarifier les conditions de création de ces fichiers de police car le cadre juridique actuel n’est pas satisfaisant.

Aujourd’hui, lorsque l’exécutif entend donner une base juridique au fichier de police qu’il crée, il peut recourir soit à la voie réglementaire sur le fondement de l’article 26 de la loi du 6 janvier 1978 (cf. par exemple les deux décrets ci-dessus), soit à la voie législative.

Alors, les deux députés proposent notamment «de modifier l’article 26 de la loi du 6 janvier 1978 afin que les fichiers ou toute catégorie de fichiers intéressant la sécurité publique et ceux qui ont pour objet la prévention, la recherche, la constatation ou la poursuite des infractions pénales ou l’exécution des condamnations pénales ou des mesures de sûreté ne soient autorisés que par la loi.».

Pour eux – en la matière – l’intervention et le contrôle du Parlement est le point d’équilibre entre les besoins opérationnels des services de police pour l’exercice de leurs missions et la protection des libertés individuelles du citoyen.

Visiblement, ils n’ont guère été entendus…

A mon sens, depuis son arrivée au Secrétariat d’état à l’économie numérique, Nathalie Koscuisko-Morizet a plutôt brillé par son silence hormis un voyage d’études en Asie et quelques déclarations à propos de l’après publication de la loi «Création et Internet».

Mais les choses semblent changer puisqu’il y a deux jours, elle a été présenter devant la Commission nationale informatique et libertés son programme en faveur de la protection des données personnelles.

Nul doute que ses membres ont du apprécier cette visite gouvernementale car la lecture du rapport d’activité CNIL 2008 fait état de l’attention toute particulière qui est accordée à ce sujet.

Nathalie Koscuisko-Morizet organisera, à l’automne, un atelier réunissant tous les acteurs du Web pour concrétiser les modalités du «droit à l’oubli» sur Internet.

Ce droit qui pourra être évoqué, notamment, pour effacer des données personnelles figurant sur «la toile» et qui portent préjudice aux intéressés. Une partie du travail que font ces cabinets, surtout américains, qui fleurissent et qui sont spécialisés dans ce qu’ils appellent «la web-réputation» ou encore «la cyber-réputation» d’une personne ?

«NKM» veut également aborder avec les entreprises et les organisations professionnelles les thèmes de la lutte contre le «spam» et de la limitation de la durée de conservation des données de connexion des internautes.

Que de travail en perspective…

La simplification et la clarification du droit que j’évoquais il y a peu a fait une heureuse à savoir la commission nationale informatique et libertés.

En effet, la loi du 12 mai 2009 du député Warsmann a modifiée la loi du 6 janvier 1978, bien connue sous le nom de «Informatique et libertés», dans ses articles 11, 13 et 15.

De par ces modifications, pour ne pas renouveler les tribulations du projet de loi «Hadopi ou Création et Internet», un avis de la commission sur un projet de loi est rendu public non plus à la suite de «fuites» mais à la demande du président de l’une des commissions permanentes prévues à l’article 43 de notre Constitution.

Par ailleurs, la commission peut – ce qu’elle ne pouvait faire antérieurement faute de moyens – délivrer des labels aux entreprises qui attestent que leurs produits ou leurs procédures sont conformes aux exigences de la protection des données personnelles car elle a la faculté de «recourir à toute personne indépendante qualifiée» pour procéder à l’évaluation de ces produits ou de ces procédures en sachant «que le coût de cette évaluation est pris en charge par l’entreprise qui demande le label».

Enfin, cette même commission peut déléguer à son président la compétence pour autoriser les transferts de fichiers en dehors de l’Union Européenne.

Ce qui vient d’être dit est, au passage, une réponse à Stéphane Cola rédacteur d’un communiqué en date du 2 juillet au nom du site «Palmarés.com» – dans son conflit ouvert avec la CNIL – qui écrit :

«Contre toute attente, le 10 juin 2009 la Commission nationale de l’informatique et des libertés (CNIL) a exigé de Palmares.com la disparition de cet espace de liberté et de partage d’expérience. Cette exigence se fonde sur une loi dite « informatique et libertés » promulguée en janvier 1978, à un moment où l’informatique encore balbutiante était perçue non comme une chance mais comme une menace.»

Cette présentation est clairement tendancieuse et erronée :

- tendancieuse car le couplet sur 1978 et l’informatique balbutiante perçue comme une menace est non avéré;

- erronée car la loi du 6 janvier 1978 n’est pas figée et, bien évidemment, fait l’objet de constantes adaptations comme ce fut le cas, notamment, avec la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et, il y a moins de deux mois, avec celle que je viens d’évoquer.

Il est parfaitement louable de vouloir exploiter son modèle économique encore faut-il que cette exploitation se fasse dans le respect du droit et des personnes.

«Nos vies sur Internet à perpète» est le titre d’une très intéressante enquête parue dans l’édition datée d’hier du quotidien «Le Monde».

Avec les nouveaux outils Internet – blogs, pages personnelles, réseaux sociaux… – et les pratiques qui leur sont associées, la frontière entre vie privée et vie professionnelle est de plus en plus floue, ce qui dans le domaine du recrutement ne manque pas de poser de sérieux problèmes à certains candidats.

La tache d’enquête, notamment, des recruteurs et des DRH est grandement facilitée avec des outils comme ceux qui suivent.

Les agrégateurs 123people.com ou CVGadget.com

La plus grande vigilance est donc de mise sur les renseignements que vous fournissez sur «Facebook», «Viadeo» ou «LinkedIn» et/ou sur vos propos sur vos pages personnelles, blogs et sur les photos qui sont prises de vous.

A propos des réseaux sociaux, ainsi que le rappelle Alex Turk, son président, la commission nationale informatique et libertés peut difficilement intervenir pour faire effacer données et photos car les sociétés gestionnaires de ces réseaux sont généralement américaines et corrélativement hors de portée de la CNIL, n’existant pas «de cadre juridique satisfaisant entre l’Union européenne et les États-Unis dans ce domaine».

Ainsi que je l’écrivais, les dirigeants de «note2be.com» ont fait appel de l’ordonnance du 3 mars 2008 rendue par le juge des référés du Tribunal de Grande Instance de Paris.

La 14ème chambre de la Cour d’appel de Paris s’est donc penchée sur cette très médiatique affaire et a rendu son arrêt le 25 juin dernier.

Autant le dire tout de suite, cet arrêt n’a provoqué aucune révolution. La Cour d’appel a confirmé l’ordonnance précitée qui faisait injonction à la société gestionnaire de «note2be.com» de suspendre l’utilisation de données nominatives d’enseignants et d’afficher ces données sur le site.

Pour confirmer, sans se pencher sur la question du consentement de l’enseignant pour le traitement de ses données personnelles, elle a considéré que «n’importe qui pouvant noter un professeur sans qu’un système ne limite cette possibilité aux seuls élèves ayant eu le professeur concerné comme enseignant», qu’il en résultait que «les données n’étaient manifestement pas collectées de façon loyale et ne présentaient aucune garantie quant à leur pertinence et leur caractère adéquat».

Quand au forum qui pouvait exister pour autant qu’il soit «surveillé» par une modération au préalable ou tout autre dispositif équivalent, cette même Cour l’a remis en question du fait qu’il présentait un «état de dépendance» vis à vis «de la rubrique notation» du site.

Dans la très médiatique affaire du site «Note2be.com», la Commission Nationale Informatique et Libertés (CNIL) s’est prononcée et un jugement en référé a été rendu le 3 mars par le Tribunal de Grande Instance (TGI) de Paris.

Je rappelle pour ceux d’entre vous qui ne sauraient pas ce qu’est «note2be.com» (peu nombreux je le pense !) qu’il s’agit d’un site Internet qui invitait les élèves internautes à noter leurs enseignants, comme cela se fait dans d’autres pays comme l’Angleterre, l’Allemagne, ou les États-Unis par exemple.

Quels résultats ?

Le juge des référés a suspendu l’utilisation et le traitement par le site «note2be.com» de données nominatives d’enseignants, ainsi que l’affichage de ces données sur les pages du site (notamment dans le forum de discussion qui n’était pas modéré à priori).

Il reste que le site «note2be.com» peut continuer à évaluer les établissements mais cette seule fonctionnalité enlève incontestablement un grand intérêt à la plateforme et j’imagine, bien volontiers, que les annonceurs ne vont pas se bousculer pour y placer de la publicité…

Quant à la Commission Nationale Informatique et Libertés (CNIL), après contrôles, elle a considéré le site «note2be.com» illégitime au regard de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Elle reproche au site de contrevenir, notamment, aux dispositions de l’article 7 de cette loi qui stipule qu’un «traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée» – et qu’à défaut de consentement des enseignants comme vous l’imaginez, «note2be.com» ne pouvait se prévaloir d’un «intérêt légitime» pour diffuser leurs données sur son site Internet.

Donc affaire à suivre au cours des prochains mois car les dirigeants de «note2be.com» ont décidé de faire appel du jugement.