La Cnil n'a pas été consultée au sujet du projet de loi sur la sécurité publique et la lutte contre le terrorisme. Qu'à cela ne tienne, l'autorité administrative a quand même fait ses observations et le constat est sévère.

Présenté le 22 juin au Conseil des ministres, le projet de loi sur la sécurité publique et la lutte contre le terrorisme — énième texte sécuritaire, qui vise cette fois à inscrire dans le droit commun certaines dispositions exceptionnelles de l’état d’urgence — va être examiné au Parlement à partir du 18 juillet, d’abord au Sénat puis à l’Assemblée nationale.

Déjà passé entre les mains de la commission des lois sénatoriale, le texte a fait l’objet d’un avis du Conseil d’État que le gouvernement a choisi de rendre public, puisque la plus haute juridiction de l’ordre administratif a relevé le caractère « proportionné » des mesures qu’elle estime « propres à permettre d’atteindre l’objectif recherché de prévention efficace du terrorisme ».

sénat
CC Pierre Metivier

Cette lecture n’est toutefois pas partagée unanimement. Début juillet, le Conseil national du numérique a écrit à Gérard Collomb, le ministre de l’Intérieur, pour lui faire part de son inquiétude sur la trajectoire sécuritaire du gouvernement. Ce projet de loi, qui cible aussi les données personnelles et le matériel informatique, « entérine une logique du soupçon dans le droit commun », écrit l’instance consultative.

Une autre voix discordante s’est aussi manifestée : celle de la Commission nationale de l’informatique et des libertés (Cnil). Pas tant sur le fond — elle aurait bien voulu — que sur la forme : en effet, le gouvernement a semble-t-il « oublié » de consulter les membres de l’autorité administrative indépendante. Qu’à cela ne tienne, elle a quand même décidé de publier ses observations.

« L’importance des questions soulevées par diverses dispositions, du point de vue du droit au respect de la vie privée et à la protection des données personnelles aurait dû, par elle-même, justifier [une] consultation  », tacle l’institution, qui rappelle que l’excuse du calendrier, si par hasard elle était brandie, ne tiendrait pas : la Commission a la « capacité de rendre son avis dans des délais très courts ». Elle l’a déjà fait.

L’importance du sujet aurait dû justifier une consultation

Mettant en avant sa « démarche constructive » dès qu’il s’agit d’ausculter des textes sur la sécurité, la Cnil rappelle qu’elle ne cherche pas à s’opposer pour s’opposer : elle tient plutôt à trouver « une juste conciliation entre la prévention des atteintes à l’ordre public et le droit au respect de la protection des données personnelles ». Or, si des « garanties sont prévues pour encadrer les mesures les plus intrusives », elles sont insuffisantes (elles «  devraient être renforcées », écrit diplomatiquement la Cnil).

Ces remarques concernent en particulier les dispositions du projet de loi ayant trait au numérique, que ce soit l’interception et l’exploitation des communications électroniques empruntant exclusivement la voie hertzienne, la saisie du matériel informatique et l’accès aux données personnelles dans le cadre d’une perquisition, l’obligation de fournir ses identifiants (mais pas les mots de passe).

CC Gellinger

Elles visent aussi, plus globalement, les mesures liées aux données d’enregistrement et de réservation des passagers aériens (comme le Passenger Name Record) ou des personnes voyageant à bord de navires. Pour le PNR, la Cnil relève qu’il « s’agit d’un type de traitement de grande ampleur, susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée » et qu’une «  grande vigilance » est requise.

Plus généralement, l’autorité administrative revient sur le nécessaire contrôle des fichiers de renseignement puisque le projet de loi « renforce » leur rôle et leur contenu . Et si elle admet que des « garanties fortes […] ont considérablement progressé », elle fait observer qu’elles sont trop tributaires du pouvoir : « il leur manque selon une composante essentielle : un contrôle indépendant et global de la gestion de ces fichiers ».

La Cnil prend la défense du chiffrement

Enfin, et même si le projet de loi ne traite pas de cette question, la Cnil n’a pas pu résister : elle a torpillé les déclarations hasardeuses de Gérard Collomb et Emmanuel Macron qui font crainte à un futur affaiblissement de la cryptographie au nom de l’antiterrorisme. Le chiffrement « ne doit pas être affaibli », ni par des portes dérobées (backdoors) ni par une interdiction d’usage des procédés cryptographiques .

« Le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. En effet, les solutions de chiffrement permettent non seulement de préserver la confidentialité de données transmises par Internet, mais aussi d’en assurer l’intégrité » écrit la Cnil. Y renoncer ou l’affaiblir serait catastrophique.

Le chiffrement en action.

Cela « créerait un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforcerait leur exposition à de graves préjudices économiques, politiques ou de sécurité publique », met-elle en garde. « Le chiffrement participe de la cybersécurité, qui est vecteur de confiance pour les utilisateurs, particuliers ou professionnels, et gage d’innovation pour les industriels ».

Enfin, la Cnil rappelle que le droit français n’est pas du tout désarmé pour gérer le chiffrement. Il « fait l’objet de nombreuses dispositions spécifiques » et ces outils « forment un arsenal juridique solide ». « Le cadre juridique de ces différents outils est en outre régulièrement modifié afin de mieux les adapter à l’état des technologies », ajoute-t-elle. Mais ces remarques seront-elles entendues ?

Partager sur les réseaux sociaux