Projet de loi antiterroriste : la CNIL veut plus de garde-fous
Projet de loi antiterroriste : la CNIL veut plus de garde-fous
Par William Audureau
Le gendarme de la vie privée, qui n’a pas été consulté en amont, s’est auto-saisi. Il s’inquiète du manque de cadre à l’élargissement des données collectées.
Le ministre de l’intérieur Gérard Collomb a dessiné les grandes lignes du projet de loi sur la sécurité intérieure et la lutte contre le terrorisme, présenté le 22 juin au parlement. | MARTIN BUREAU / AFP
Le projet de loi du ministre de l’intérieur Gérard Collomb renforçant la sécurité intérieure et la lutte contre le terrorisme présenté le 22 juin devant le Parlement suscite la vigilance du gendarme de la vie privée. La Commission nationale de l’informatique et des libertés (CNIL) a rendu publique mardi 11 juillet sa position sur ce texte, qui vise à intégrer certaines dispositions de l’état d’urgence dans l’arsenal législatif régulier.
Sur la forme, la commission souligne son regret de ne pas avoir été préalablement consultée. Ses prérogatives avaient pourtant été renforcées par la loi du 7 octobre 2016 pour une République numérique. L’élargissement du spectre des données personnelles collectées prévues par le projet de loi (fichiers de passagers aériens et de navires, communications par voie hertzienne…) rentre dans le spectre de ses attributions et méritent discussion, souligne-t-elle :
« Indépendamment de l’obligation juridique de recueillir l’avis de la CNIL, l’importance des questions soulevées par diverses dispositions, du point de vue du droit au respect de la vie privée et à la protection des données personnelles aurait dû, par elle-même, justifier la consultation de la CNIL. »
« Une vigilance particulière s’impose »
Sur le fond, la CNIL prévient qu’« une vigilance particulière s’impose ». Elle relève notamment que l’obligation de déclarer les numéros d’abonnement et les identifiants des usagers dans certains cas peut concerner un champ très vaste de moyens de communication, mais qu’il « n’est pas précisé ni limité par le projet de loi ».
La CNIL s’inquiète également des données PNR (Passenger name record), un fichier expérimental composé des informations non vérifiées données par les voyageurs aériens aux transporteurs, et que le projet de loi souhaite pérenniser et étendre à la prévention des atteintes aux intérêts fondamentaux de la nation. Il s’agit, relève la commission, « d’un type de traitement de grande ampleur, susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée ».
La CNIL, qui revendique une position de « juste conciliation », salue par ailleurs l’ajout de garde-fous, comme l’exclusion des mots de passe de la liste des éléments à déclarer par les services d’abonnement ou un droit d’accès indirect, via la CNIL, aux informations recueillies sur un citoyen.
Néanmoins, ces garde-fous sont trop parcellaires, estime le gendarme de la vie privée : « il leur manque une composante essentielle : un contrôle indépendant et global de la gestion de ces fichiers ». En l’état, observe-t-elle, les fichiers de données constitués échapperaient à tout contrôle externe général.
« Risque d’affaissement du niveau de sécurité »
Le chiffrement, soit l’ensemble des techniques permettant de sécuriser les données pour éviter leur exploitation à des fins malveillantes, n’est pas évoqué par le projet de loi, alors qu’il fait l’objet aux Etats-Unis d’importants débats entre défenseurs et opposants de « portes dérobées » (backdoors) pour permettre aux enquêteurs l’accès aux données de smartphones.
La CNIL, qui agite la menace d’interception frauduleuse d’informations économiques ou politiques stratégiques, invite le législateur à veiller à ce que la sécurité des terminaux informatiques ne soit pas revue à la baisse au nom du tout sécuritaire.
« La mise en place de portes dérobées dans les systèmes de chiffrement et de clés maîtres, ou encore l’interdiction pour le grand public d’utiliser des techniques de chiffrement des données à la main des utilisateurs […] créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique. »
Dès le mois de juin, le projet de loi avait suscité de vives critiques de la part des défenseurs des libertés et du parti socialiste, qui avait évoqué « un état d’urgence permanent ». L’état d’urgence est en vigueur depuis le 14 novembre 2015.