e) Un sous-encadrement de l'Etat ?
Lors de son audition, maître Alain Bensoussan, avocat, a opposé à une phase de sur-régulation de l'Etat entre 1978 et 2004, une phase actuelle de sous-encadrement. La CNIL serait accaparée par le contrôle du secteur privé et l'Etat s'autorégulerait.
Ce retournement, alors que la loi « informatique et libertés » fut votée en réaction au projet SAFARI d'interconnexion des fichiers de l'Etat et de la sécurité sociale, serait en particulier la conséquence de la loi du 6 août 2004 qui a modifié les règles relatives à la création de traitements de données par l'Etat.
Cette analyse est partagée par l'association IRIS et la Ligue des droits de l'homme pour lesquelles la suppression de l'avis conforme de la CNIL pour la création de fichiers de police est une régression fondamentale.
Qu'en est-il exactement ?
Il est vrai que les traitements de données intéressant la sécurité, la sûreté de l'Etat et la répression des infractions pénales sont hors du champ de la directive européenne du 24 octobre 1995 « Protection des données personnelles ». Elle ne s'applique qu'aux traitements de données relevant du premier pilier de l'Union européenne.
Le seul texte de l'Union européenne en la matière est la décision-cadre 2008/977/JAI du 27 novembre 2008 relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale. Il ne porte toutefois que sur les données à caractère personnel qui « sont ou ont été transmises ou mises à disposition entre les Etats membres ou entre des systèmes d'informations européens et des Etats membres ». Sont en outre exclus de son champ les « intérêts essentiels en matière de sécurité nationale et des activités de renseignement spécifiques dans le domaine de la sécurité nationale ».
Au niveau européen, le seul texte contraignant doit être recherché du côté du Conseil de l'Europe. Outre la Convention européenne des droits de l'homme et la Convention STE 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard des données à caractère personnel, la Recommandation R.(87) 15 du Comité des ministres du Conseil de l'Europe 26 ( * ) fait partie intégrante des règles encadrant l'exploitation des fichiers de police que la France s'est engagée à respecter. Les grands principes de la protection des données sont pour l'essentiel applicables.
La Cour européenne des droits de l'homme a prononcé plusieurs arrêts fixant un cadre pour les fichiers de police.
Ainsi, dans un arrêt Amman contre Suisse du 16 février 2000, elle a rappelé que les dispositions devaient être suffisamment claires et détaillées pour assurer une protection adéquate contre les ingérences des autorités dans le droit du citoyen à sa vie privée.
Plus récemment, dans un arrêt S. et Marper contre Royaume-Uni du 4 décembre 2008, la Cour a condamné le Royaume-Uni à propos de son fichier d'empreintes génétiques. Elle a considéré que « le caractère général et indifférencié du pouvoir de conservation des empreintes digitales, échantillons biologiques et profils ADN des personnes soupçonnées d'avoir commis des infractions mais non condamnées , tel qu'il a été appliqué aux requérants en l'espèce, ne traduit pas un juste équilibre entre les intérêts publics et privés concurrents en jeu, et que l'Etat défendeur a outrepassé toute marge d'appréciation acceptable en la matière. Dès lors, la conservation litigieuse s'analyse en une atteinte disproportionnée au droit des requérants au respect de leur vie privée et ne peut passer pour nécessaire dans une société démocratique » 27 ( * ) . Cet arrêt rendu à l'unanimité de la Grande chambre condamne la conservation illimitée des données de toute personne impliquée dans une procédure judiciaire, quel que soit ensuite l'issue de cette procédure. Précisons que les requérants étaient mineurs à l'époque des faits.
On notera également avec intérêt un considérant d'ordre plus général : « La protection offerte par l'article 8 de la Convention (droit au respect de sa vie privée) serait affaiblie de manière inacceptable si l'usage des techniques scientifiques modernes dans le système de la justice pénale était autorisé à n'importe quel prix et sans une mise en balance attentive des avantages pouvant résulter d'un large recours à ces techniques, d'une part, et des intérêts essentiels s'attachant à la protection de la vie privée, d'autre part ».
A côté de ce corpus léger, mais clair dans ces principes, de règles européennes, notre législation nationale apparaît plus étoffée. Rappelons que la loi « Informatique et libertés » a dès l'origine eu pour objet principal les fichiers de l'Etat, et en particulier les fichiers de police. La loi du 6 août 2004 qui a transposé la directive européenne du 24 octobre 1995 n'a pas retranché de la loi du 6 janvier 1978 les dispositions relatives aux fichiers intéressant la sécurité, la sûreté de l'Etat ou la répression des infractions pénales.
D'où provient donc ce sentiment que depuis 2004, l'Etat se serait affranchi partiellement des grands principes régissant la protection des données ?
La principale explication tient à la modification de la nature de l'avis de la CNIL rendu sur les décisions de création d'un fichier de police.
Avant 2004, l'avis de la CNIL était un avis conforme. Il liait les pouvoirs publics, qui ne pouvaient passer outre que par un décret pris sur avis conforme du Conseil d'Etat. Désormais, il s'agit d'un avis simple . Il est toutefois rendu public.
Lors de la révision de la loi du 6 janvier 1978, l'argument avancé était que la publicité des avis suffirait à dissuader les pouvoirs publics de ne pas suivre les recommandations de la CNIL 28 ( * ) .
Toutefois, le bilan à cet égard est mitigé. A plusieurs reprises, le gouvernement est passé outre l'avis de la CNIL. Ce fut le cas par exemple à propos du projet de passeport biométrique. La CNIL s'opposait à la constitution d'une base nationale des empreintes digitales.
A l'appui de la nouvelle règle, on rappellera que la CNIL n'avait jamais eu recours à ce pouvoir de blocage, alors que d'importants fichiers de police, tels que ceux des renseignements généraux en 1991 -l'ancêtre du fichier EDVIGE finalement retiré au profit du futur fichier EDVIRSP- ou le STIC en 2001, ont été créés pendant cette période.
On peut aussi supposer qu'il y avait négociation préalable pour que le fichier soit conçu de telle façon qu'il n'y ait pas de problèmes justifiant le veto de la CNIL.
* 26 Recommandation du 17 septembre 1987 concernant l'utilisation des données à caractère personne dans le secteur de la police . Elle a été complétée par un protocole additionnel du 8 novembre 2001.
* 27 Considérant n° 125.
* 28 Cette nouvelle disposition figurait dans le projet de loi adopté en Conseil des ministres et déposé à l'Assemblée nationale le 18 juillet 2001.