Texte intégral
Mme le président. L'ordre du jour appelle le débat, organisé à la demande du groupe communiste républicain citoyen et écologiste, sur le thème : "Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays. "
(…)
Mme le président. La parole est à Mme la ministre déléguée.
Mme Marlène Schiappa, ministre déléguée auprès du ministre de l'intérieur, chargée de la citoyenneté. Mesdames, messieurs les sénateurs, je me réjouis de la tenue de ce débat et de pouvoir participer à vos échanges très riches sur ce sujet fondamental du respect des libertés publiques, de la protection de la vie privée et du nécessaire état des lieux des fichiers dans notre pays.
Avant de réagir à vos propos et, je l'espère, d'apporter des réponses aux questions et aux observations qui ont été formulées ce soir, je voudrais partager avec vous quelques éléments.
Dans la décennie passée, nous avons connu trois mouvements majeurs en matière de fichiers de sécurité en apparence contradictoires, mais que nous avons voulu et, je l'espère, su concilier. Premièrement, un contexte sécuritaire qui s'est globalement tendu, avec une menace terroriste désormais structurante. Deuxièmement, des évolutions techniques et technologiques qui ouvrent de nouvelles potentialités de traitement des données. Troisièmement, un droit des données qui n'a cessé de s'étoffer et de se préciser, avec notamment l'entrée en vigueur dans notre droit du règlement général sur la protection des données de 2018, via sa transcription dans la loi Informatique et libertés que vous connaissez bien.
C'est de ce triple mouvement qu'est issue la situation que nous connaissons aujourd'hui. Elle se caractérise, me semble-t-il, par de nouveaux besoins des services de sécurité en termes d'accès aux fichiers, d'interconnexion, de fiabilisation des identités des personnes inscrites, d'exigence accrue de transparence et de précision, cela a été mentionné à plusieurs reprises, sur chacun des fichiers, sur leurs finalités, leurs modalités de fonctionnement, les mesures prises pour s'assurer que ne sont collectées et conservées que les seules données strictement nécessaires.
J'observe une forme d'exigence contradictoire à l'égard de l'État, cela a été dit également. Les Français, et c'est heureux, sont de plus en plus sensibilisés aux enjeux de leurs données et du traitement qui peut en être fait. Ils sont aussi parfois méfiants envers des fichiers mis en oeuvre par l'État et singulièrement par le ministère de l'intérieur.
Dans le même temps, il me semble que les Français attendent aussi des policiers et des gendarmes qu'ils puissent anticiper, prévenir les menaces, agir, détecter dès que possible les individus potentiellement dangereux, travail quotidien pour lequel le recours aux fichiers est bien souvent, chacun le comprend, indispensable.
À cet égard, la demande croissante d'enquêtes administratives sur des personnes exerçant des métiers sensibles de la sécurité, mais aussi de l'enseignement, de la santé et des services publics est révélatrice.
Dans ce contexte, nous avons fait le choix, en France, de conserver un régime de fichiers de sécurité très protecteur. En effet, alors que le RGPD et la directive Police-Justice de 2018 régissant les fichiers dont nous débattons ce soir ont inauguré un vrai changement de paradigme, notamment en supprimant le régime de déclaration d'autorisation des fichiers, nous avons fait le choix de maintenir un régime d'autorisation pour les fichiers de sécurité.
Cela signifie que tout traitement de données à caractère personnel qui intéresse la sûreté de l'État, la défense ou la sécurité publique, ou qui a pour objet la prévention, la recherche, la constatation et la poursuite des infractions pénales, l'exécution des condamnations et des mesures de sûreté, doit être autorisé par un acte réglementaire pris après un avis de la CNIL.
Parmi ces traitements, ceux qui portent sur des données dites sensibles – je pense aux données biométriques – sont particulièrement encadrés, puisqu'ils doivent être systématiquement autorisés par décret en Conseil d'État, pris après avis de la CNIL. D'ailleurs, les décrets qui ont été évoqués apportent des actualisations sémantiques sur ces questions, je tiens à le préciser.
Chacun des fichiers du ministère de l'intérieur doit donc respecter les dispositions cardinales du droit des données personnelles. Ces données doivent être collectées et traitées de manière loyale et licite – c'est le principe de légalité ; elles doivent être collectées pour des finalités déterminées, explicites et légitimes – c'est le principe de finalité ; le responsable d'un traitement ne peut enregistrer ou utiliser des informations sur des personnes physiques que dans un but précis, légal et légitime ; elles doivent être adéquates, pertinentes, non excessives au regard des finalités recherchées - c'est le principe de proportionnalité et de pertinence.
Les informations enregistrées doivent donc être strictement nécessaires au regard de la finalité donnée et connue du fichier. Elles doivent être exactes, évidemment, et tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, puissent être effacées ou rectifiées, et ce sans tarder.
Elles doivent enfin être conservées sous une forme qui permette l'identification des personnes concernées pendant une durée n'excédant pas ce qui est nécessaire au regard des finalités de traitement.
Monsieur le sénateur Yves Bouloux, les droits des personnes concernées doivent également être respectés : droit d'accès, droit de rectification, droit d'effacement et droit de saisir la CNIL gratuitement.
Concrètement, chaque fois que le ministère de l'intérieur envisage de créer ou, le plus souvent, de modifier un traitement de données à caractère personnel, il doit d'abord prouver à la CNIL, puis au Conseil d'État, que le traitement envisagé respecte tous ces grands principes. J'ajoute que deux parlementaires sont membres de la CNIL,…
M. Loïc Hervé. Quatre !
Mme Marlène Schiappa, ministre déléguée. … ce qui permet d'exercer un contrôle.
Pour ce faire, le ministère doit notamment réaliser une analyse d'impact relative à la protection des données dans laquelle il expose très précisément ce qu'il veut faire et quelles dispositions à la fois juridiques et organisationnelles il prendra pour assurer que seules les données nécessaires pour atteindre la finalité recherchée soient collectées, dans le respect du motif légitime.
Il doit ensuite assurer un droit à l'information, le droit d'accès que j'évoquais, même dans le champ de la directive Police-Justice.
Une fois validé par la CNIL et par le Conseil d'État, le fichier fait également l'objet de contrôles constants, et ce tout au long de sa durée de vie : contrôle qualité obligatoire en interne, au regard des exigences qui pèsent sur chaque responsable de traitement ; contrôle externe par la CNIL, qui mène aussi régulièrement des contrôles sur les traitements de données de la police et de la gendarmerie ; contrôle du juge, en l'occurrence le Conseil d'État, saisi de nombreux recours contentieux.
Dans ce contexte juridique en pleine mutation, les auteurs du rapport d'information de la commission des lois de l'Assemblée nationale consacré aux fichiers de sécurité intérieure, en 2018, saluaient la diffusion, au sein de la police, comme de la gendarmerie, d'une véritable culture des libertés individuelles. Notre enjeu, aujourd'hui et demain, est bien là : respecter pleinement un droit exigeant, un droit protecteur des données et des libertés publiques, tout en donnant aux services les moyens d'agir et en leur permettant d'être pertinents et réactifs.
Je voudrais préciser que nous parlons là de 65 000 personnes, c'est-à-dire bien moins que le rapport de un sur onze évoqué voilà quelques instants. C'est fondamental : le ministre de l'intérieur l'avait évoqué lors de sa récente audition. À cet égard, s'il a déclaré à cette occasion que la CNIL avait « validé » le décret, c'était par facilité de langage, pour s'approprier un vocabulaire que les commentateurs utilisent couramment.
Pourquoi avoir changé la précédente rédaction, qui parlait d'"activités politiques, religieuses, syndicales " pour leur préférer les termes "opinions politiques ", "convictions philosophiques et religieuses " et appartenance syndicale" ?
Je n'élude pas la question, qui est importante. Il s'agit d'une demande du Conseil d'État : lorsqu'il a examiné le projet de décret, le Conseil a demandé au Gouvernement, dont ce n'était pas l'objectif initial, de procéder à une évolution terminologique pour mieux tenir compte de la rédaction actuelle de la loi Informatique et libertés qui désigne les données sensibles. J'espère ainsi apporter une réponse aux interrogations du sénateur Jérôme Durain.
Jusqu'à présent, il était précisé, par exception à l'interdiction de collecter des données sensibles, qu'il était possible de réunir dans ces fichiers des données concernant les "activités " politiques, religieuses, syndicales. La traduction française du RGPD ayant retenu, pour qualifier les données sensibles, les termes "opinions ", "convictions " et " appartenance ", le Conseil d'État a tout simplement souhaité s'aligner sur cette rédaction.
Ces éléments peuvent être importants pour contextualiser la menace. Savoir qu'un individu adhère, par exemple, à des thèses antispécistes est important pour contextualiser des faits de dégradation de commerces ou de sites de production alimentaires auxquels il incite à participer. (Murmures sur les travées des groupes SER et GEST.) Il s'agit d'une contextualisation.
De même, le militantisme n'est évidemment pas, en soi, une donnée intéressant les services au regard d'un engagement syndical. En revanche, il est important de savoir si un individu radicalisé est représentant du personnel de l'entreprise : dans ce cas, il peut jouir d'une influence plus forte auprès de ses collègues pour les inciter, par exemple, à rejoindre des idéologies prônant la violence, voire à passer à l'acte.
L'examen du Conseil d'État intervenant après l'examen de la CNIL, il me semble normal que celle-ci ne se soit pas prononcée sur cette évolution.
Les décrets précisent explicitement qu'aucune recherche dans les fichiers ne peut être réalisée à partir de ces données sensibles.
Le Gouvernement ne permet pas le fichage des syndicalistes. Appartenir à un syndicat n'est jamais une raison justifiant un fichage.
Est-il possible de recourir à la reconnaissance faciale dans ces fichiers ? Je tiens à répondre clairement à cette question : comme la CNIL l'indique dans son communiqué du 11 décembre dernier, aucun dispositif de reconnaissance faciale n'est prévu et aucun dispositif de requêtage par photographie n'est possible.
De la même manière, les enfants de moins de 13 ans ne peuvent être fichés, et c'est heureux. Un membre du Conseil d'État, chargé de la vérification, remet chaque année un rapport sur ce sujet. J'espère avoir ainsi répondu à l'interpellation de Mme la sénatrice Assassi.
Il n'y a pas non plus d'interconnexion automatique entre les différents fichiers. Il peut y avoir des rapprochements manuels, mais rien n'est automatisé. Monsieur le sénateur Max Brisson, il n'existe aucune interconnexion entre des fichiers ayant des buts différents.
Je voudrais également préciser que toutes les personnes du monde politique ou syndical ne peuvent être fichées. Il me semble qu'une certaine confusion a pu s'installer avec le projet Edvige, envisagé en 2008, qui n'a jamais vu le jour. Monsieur le sénateur Paul Parigi, seules les personnes représentant une menace grave pour la sécurité peuvent être fichées et non l'ensemble des acteurs du champ syndical, politique ou même économique.
Comme l'a très justement souligné Mme la sénatrice Nicole Duranton, les fichiers et les données que nous offrons tous les jours à Google ou à différents acteurs numériques sont bien plus sensibles, bien plus personnels et bien moins contrôlés.
Je voudrais enfin préciser que des personnes morales peuvent, à l'évidence, représenter une menace pour la sécurité publique. C'est d'ailleurs l'objet du projet de loi confortant le respect des principes de la République qui arrivera bientôt en discussion au Sénat. Je pense aux associations violentes, aux groupements de fait, aux gangs, aux groupes criminels et aux groupes sectaires. Dans ce cas, le fichage se fait au travers des individus qui les composent. Elles ne figureront donc pas comme élément d'évaluation de la menace que représente une personne. Toutefois, le fait qu'un individu participe, par exemple, aux réunions d'un groupe néonazi constitue en soi une information, un élément d'appréciation de sa potentielle dangerosité.
De même, il peut être important de signaler qu'une personne présentant une menace fait partie d'une association ou d'un groupement quelconque pour déterminer, par exemple, son potentiel cercle d'influence, ses relations, ses tentatives d'entrisme ou de déstabilisation. En matière de lutte contre le terrorisme islamiste, il est absolument fondamental de pouvoir disposer de ces informations, très précieuses pour les forces de sécurité intérieure.
Par ailleurs, mesdames les sénatrices Carrère et Apourceau-Poly, en ce qui concerne l'application TousAntiCovid, je tiens à préciser que les données de santé sont gérées et traitées exclusivement via le ministère de la santé. Elles ne servent pas au ministère de l'intérieur. Il s'agit de données du plus haut niveau de sensibilité et de sécurité. Elles font l'objet de mesures de sécurité très particulières pour s'assurer que nul ne puisse y accéder et s'en servir. Il me semble important de le préciser au regard de la période de pandémie que nous traversons. Ces données ne sont en aucune façon utilisées par le ministère de l'intérieur.
Mesdames les sénatrices, messieurs les sénateurs, soyez-en certains, le Gouvernement partage votre attachement fondamental aux libertés publiques et partage également votre attachement à l'efficacité des services de renseignement des forces de sécurité intérieure pour mieux nous protéger, tout en respectant nos libertés publiques fondamentales, qui font la grandeur de la démocratie.
M. Jérôme Durain. Nous voilà rassurés !
Mme le président. Nous en avons terminé avec le débat sur le thème : « Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays. »
source http://www.senat.fr, le 19 février 2021