Pourquoi le regroupement des données menace les libertés individuelles

Le regroupement des données personnelles a été instauré par décret vendredi dernier. Les raisons pour lesquelles un tel "fichier monstre" est une menace pour les libertés individuelles.

Un « monstre », qui suscite l’inquiétude des défenseurs des libertés. Instauré en douce vendredi dernier, le fichier des Titres Electroniques Sécurisés (TES) regroupera les données biométriques de 60 millions de Français. De mauvaise augure pour la Commission Nationale de l’Informatique et des Libertés (CNIL). Au‐delà des risques de piratage, le regroupement des fichiers de données peut donner lieu à toutes sortes de dérives. Chaque Français figurerait dans 400 à 600 de ces fichiers, qu’ils soient constitués par des organismes publics ou privés. Leur cloisonnement est l’une des meilleures garanties des libertés individuelles.

Concrètement, un fichier de police comme le Traitement des Antécédents Judiciaires (TAJ) qui recense les constatations d’infraction, ne doit être accessibles qu’aux membres autorisés du ministère de l’Intérieur et de la justice. Imaginez un employé de mairie, un contrôleur fiscal, voire un employeur, vous reprocher une conduite sous l’emprise de stupéfiants dans votre prime jeunesse ?

Imaginez que les informations contenues dans l’ensemble des fichiers gouvernementaux, soient toutes regroupées en un seul : antécédents judiciaires (TAJ), consommation de stupéfiants (OSIRIS), fichage à la banque de France (FICP), factures de téléphone impayées (Préventel), empreintes digitales (FNAEG), pour ne citer qu’eux. Un ayant droit mal intentionné aurait accès à une quantité déraisonnable d’informations sur votre personne.

D’autant que même parmi ces “happy few” autorisés, les procédures n’empêchent pas les fuites. Un petit coup de fil à un collègue policier suffit souvent à obtenir des renseignements inaccessibles sans l’autorisation d’un magistrat. En 2006, un commandant de la police judiciaire a même été suspendu administrativement pour avoir détourné des informations contenues dans le STIC (ancêtre du TAJ) au profit de gérants de boîtes de nuit bretonnes.

Côté service public, le regroupement des données est donc strictement encadré. La CNIL préfère parler d’«interconnexion». Elle la définit comme « la mise en relation automatisée d’informations provenant de fichiers ou de traitements qui étaient au préalable distincts ».

Toute interconnexion est soumise à l’autorisation de la CNIL après un examen préalable, en vertu de la loi du 6 janvier 1978. Pour permettre l’application du tarif social de l’électricité, la Caisse Nationale d’Assurance Maladie est ainsi autorisée à transmettre automatiquement à EDF des informations relatives aux personnes disposant de ressources inférieures à un plafond déterminé. De même, un opérateur de jeux en ligne peut connecter le fichier qui recense ses salariés à celui qui recense les utilisateurs de son site, afin de dissuader les fraudeurs en interne.   

Un big data des non‐grata

Dans le secteur privé, les règles sont plus lâches : la CNIL ne procède à aucun examen préalable des deux fichiers concernés, mais délivre un récépissé à l’entreprise contre une simple déclaration. Problème : la prolifération des fichiers de données est bien plus importante dans le secteur privé que dans le public. Et les risques plus menaçants à court‐terme.

Parmi ces potentielles atteintes à la protection de la vie privée, les « liste noires », constituées par les sociétés pour recenser les clients « à risque ». Banques, organismes de crédit, et assurances en sont les plus friandes. « Afin d’éviter une “mise au pilori électronique, la mise en œuvre et l’accès de la liste noire doivent être limités à un secteur d’activité donné et aux seuls professionnels du secteur », déclare ainsi la CNIL sur son site. Sauf que dans la pratique, ces sociétés ne se gênent pas pour échanger ces informations entre elles, faute de réelles prérogatives en la matière de l’instance de contrôle.

Ces listes noires sont autorisées, mais leur forme est précisément fixée par la loi. En 2008, un particulier qui s’était vu refuser l’entrée d’un centre naturiste, avait ainsi obtenu de la CNIL qu’elle rappelle à l’ordre les gérants. Leurs critères d’éviction étaient jugés trop subjectifs. « Les motifs d’inscription dans le fichier doivent faire l’objet d’une liste fermée, objective, sans possibilité d’inscrire des commentaires particuliers dans des zones de texte libre », avait ainsi rappelé la commission. Le but ? Eviter les dérives internes, comme les mentions à caractère raciste, et limiter l’émergence d’un Big Data des “persona non‐grata”, où seraient consignées toutes sortes d’informations susceptibles d’intéresser les entreprises.