Biométrie, traçage Internet, piratage de fichiers… Les domaines d’intervention de la Commission nationale de l’informatique et des libertés explosent. Plongée dans cette institution à l’expertise de plus en plus sollicitée.

Il paraît bien loin le temps où pour décrire le rôle de la Commission nationale informatique et liberté, le journal télévisé d’Antenne 2 montrait des images de gros ordinateurs à bandes. Le commentateur évoquait, avec un soupçon d’angoisse dans la voix, la tyrannie de l’informatique et la multiplication des fichiers. On était au début des années 80 et la Cnil, née de la loi du 6 janvier 1978, avait pour mission de protéger contre le big brother administratif. L’informatique, sa facilité à collecter et à croiser des données privées, faisait peur. «L’informatique permet d’accumuler des renseignements sur les individus, ainsi de les conditionner, d’agir sur eux et de substituer au contrôle social, qui doit être limité dans une démocratie, un véritable contrôle de la pensée», déclarait alarmiste, sur le petit écran, le 16 janvier 1980, Jacques Thyraud, sénateur du Loir-et-Cher, président de la Cnil de 1979 à 1983. L’hydre de la surveillance dressait son ombre. Elle était policière, elle devient commerciale avec la vente à distance et le fichage bancaire. Mais le citoyen pouvait dormir sur ses deux oreilles, la Cnil veillait. Trente ans après, le chaperon des libertés privées a affaire à bien plus forte partie. Les fichiers ne sont plus le seul nerf de la guerre. L’Internet a démultiplié la tâche. Mais aussi les puces RFID (système de marquage radio), le GPS, la biométrie (identification par empreintes biologiques), les nanotechnologies… Le droit à l’oubli, invoqué autrefois par le sénateur Thyraud, est devenu si criant qu’il était question de l’inscrire dans la loi. Mais que fait donc la Cnil ?

«Service de renseignements, bonjour !» A la permanence téléphonique Emilie Passemard prend les derniers appels. «Je voudrais savoir ce que la police a écrit sur moi dans ses fichiers !» réclame une dame d’un ton rogue. «Nous ne les avons pas, répond calmement Emilie. Par le droit d’accès indirect,vous pouvez nous faire une lettre avec photocopie de votre pièce d’identité, et nous irons consulter les fichiers de police mais, ce sera très long.» Un chef d’entreprise demande s’il doit faire une déclaration préalable. Emilie le renvoie à la norme simplifiée N°16. En 2009, 68 000 déclarations ont été effectuées. Enfin, c’est un particulier qui s’inquiète de ce qui circule sur son compte quand on tape son nom dans un moteur de recherche.

«Pas une partie de plaisir»

Publicité, spam, SMS intempestifs, cybersurveillance…, les sujets ne manquent pas. Chaque mois, le Service d’orientation et de réponse du public (Sorp) reçoit 10 000 appels, dont les deux tiers émanent de professionnels. Dans le même temps, 2 000 courriers sont dispatchés dans la maison. Le Sorp n’est que le seuil de la Cnil. La chambre de tri. Il a été créé en 2006, quand la Cnil a quitté ses locaux de la rue Saint-Guillaume dans le VIIe arrondissement de Paris, pour emménager rue Vivienne, près de la Bourse. A la place d’un standard débordé, la constitution d’un service de permanenciers doit répondre à un besoin pédagogique. Et à endiguer la vague. De 2001 à 2009, le nombre de demandes d’accès indirect, le rôle originel de la Cnil, a connu une sévère inflation passant de 300 requêtes à 2 217.

Si le Sorp joue l’interface publique, le cœur de la Commission bat le jeudi matin autour d’une longue table où prennent place les 17 commissaires. Lors de ces séances plénières, la Cnil adopte des délibérations portant sur des traitements ou des fichiers, examine des projets de loi et de décrets soumis pour avis par le gouvernement. Le menu n’est souvent pas très alléchant et, ce 10 décembre, le premier rapporteur Jean Massot prévient «que ce ne sera pas une partie de plaisir». Il se lance dans un compte rendu ardu d’expérimentations menées avec des organismes complémentaires qui veulent avoir un accès aux données de santé pour ne pas rembourser à l’aveugle. En 2009, la commission a adopté plus de 700 délibérations, contre seulement 68 en 2003. Elle concernaient à 90 % le secteur public en 2003, elles ont aujourd’hui trait au privé à 90 %. Et Yann Padova, secrétaire général, de déclarer : «Les entreprises nous prennent plus au sérieux.»

Descentes surprises

C’est Alex Türk, 60 ans, autre temps, autre sénateur, qui préside le Cnil depuis 2004 d’une main puissante. Pas assez neutre reprochent ses détracteurs à celui qui s’affiche ouvertement de droite sans étiquette. «On me jugera sur pièces, balaye-t-il agacé, citant son opposition véhémente au fichier policier Edvige. Je ne fais même plus de politique, la Cnil bouffe tout mon temps.» Son statut de parlementaire lui confère les avantages du réseau. D’être écouté au Palais Bourbon quand la menace de ratiboiser le budget de l’institution indépendante menace encore, comme à l’automne dernier. L’alerte est passée sans entamer les 13 millions d’euros de budget. En inaugurant la commission plénière du 10 décembre, il en touche un mot avant d’attaquer l’ordre du jour. «J’ai fait savoir que les autorités administratives indépendantes étaient dans le collimateur de l’Assemblée nationale. J’ai dit que nous attendions leurs contrôleurs.» Car il ne les craint pas une seconde, pénétré de l’importance croissante du rôle de la Cnil, dont les pouvoirs ont été renforcés par la loi du 6 août 2004. «Quand je suis rentré en 1992, on ne s’occupait que de fichiers, raconte-t-il. Avec l’explosion des nouvelles technologies qui se sont immiscées dans tous les secteurs de la société, la Cnil a fini par devenir une vigie des pouvoirs publics.» Le personnel a grossi de concert. Le staff compte 140 personnes et devrait atteindre les 180 postes d’ici fin 2011. La prochaine embauche se fera dans le giron de l’Assemblée nationale pour suivre le travail parlementaire proliférant, et convaincre les élus de l’enjeu du traçage, de la vidéosurveillance, des nanotechnologies… Une autre se fera aussi à Bruxelles près de la Commission européenne. «On n’est qu’au début du développement de ces sujets. Il ne faut pas lâcher prise.»

Le juridique austère n’est donc plus le seul pain quotidien de l’institution qui a pourtant une structure kafkaïenne. Elle compte deux bras armés : d’un côté la direction des usages et des contrôles (la Duc), et de l’autre la Direction des affaires juridiques, internationales et de l’expertise (Dajie) créée en 2007. Contrôle et expertise. Deux mots à l’importance croissante depuis cinq ans. Ainsi, une équipe de la Cnil peut débarquer un matin sans crier gare dans les locaux d’une société indélicate avec la loi. Comme dans ce cas de «piratage immobilier» : «Nous avons été saisis de plaintes contre un site d’annonces qui aspirait automatiquement des informations diffusées sur d’autres sites, notamment destinés aux particuliers, à l’insu des annonceurs et alors qu’ils avaient précisé "agences s’abstenir"», raconte Norbert Frot, chef du service des plaintes. Les requêtes sont relayées au service des contrôles. Les agents de la Cnil débarquent le 15 avril 2008 dans les locaux de la société et une mise en demeure avec injonction de cesser, sous un délai de dix jours, toute collecte déloyale des données à caractère personnel est effectuée. Après plusieurs rebondissements (mise en demeure, référé au Conseil d’Etat, autre contrôle…), le dossier aboutit au service des sanctions. Le 26 février 2009, après dix mois de procédure, la société a été condamnée à payer 40 000 euros.

Car la Cnil distribue aussi des amendes qui alimentent le Trésor public. «Le montant maximum de la sanction pécuniaire est de 150 000 euros,explique Olivier Lesobre, chef du service des sanctions. Mais les entreprises redoutent particulièrement sa publication dans la presse.»

En 2009, 270 contrôles et 101 mises en demeure ont été décidés, et 15 sanctions prononcées. Toutefois, en novembre 2009, le Conseil d’Etat a annulé deux sanctions de la Cnil, estimant que la société devait être au préalable informée de son droit de s’opposer à la visite. Une décision qui déflore de fait les descentes surprises. Rien qui ne porte vraiment ombrage au travail de la Cnil, estime Alex Türk qui annonce le recrutement de quatre contrôleurs supplémentaires. Cet été, une annexe sera même ouverte pour abriter le contrôle et le droit d’accès aux fichiers de police et de gendarmerie. Dans ce domaine, le Stic (Système de traitement des infractions constatées) reste un objet d’énervement dans la maison. Près de 85 % des classements sans suite ne sont pas mis à jour et 300 000 personnes restent dans le fichier de façon indue et risque ainsi de se voir refuser un emploi.

Usurpation d’identité

L’autre mot répété à l’envi à la Cnil est celui d’expertise, service en expansion lui aussi. Principe de base : pourquoi ne pas intervenir avant la commercialisation d’une innovation technologique ? «Longtemps, la Cnil est apparue comme un censeur qui empêchait le développement des technologies, avance Gwendal Le Grand, chef du service de l’expertise informatique. Nous avons bien reçu le message et nous travaillons avec les entreprises dès la conception pour s’assurer que leur système commercialisé va respecter nos recommandations.» Sur son bureau trône un boîtier biométrique développé avec une entreprise. «Ce boîtier est plus respectueux de la vie privée que l’empreinte digitale», poursuit-il montrant un petit film rigolo sur l’usurpation d’identité. Rien de plus simple que de trafiquer ou voler une empreinte digitale. Outre la biométrie, les experts participent au débat public, fort controversé, sur les nanotechnologies dont le prochain est programmé à le 23 février à la Cité des sciences.

Dans ces domaines de pointe, les questions se pensent à l’échelle internationale : le service d’expertise de la Cnil participe au projet biométrie de la Commission européenne et planche sur la problématique des traces laissées sur Internet. «L’avenir de la vie privée, les réseaux sociaux, les RFID, sont des sujets qui se discutent aujourd’hui au niveau mondial», explique Florence Raynal, responsable des affaires européennes et internationales à la Cnil.

La France préside ainsi, depuis deux ans, l’instance qui regroupe les organismes de protection des données européens, baptisé G29 (1). En novembre, à Madrid, 50 pays ont conclu un protocole d’accord pour établir une norme internationale en matière de protection des données personnelles et de la vie privée. Avec l’espoir que cette résolution devienne un jour contraignante… Microsoft vient d’annoncer qu’il allait réduire la durée de stockage des données privées de sess internautes à six mois. C’est une recommandation du G29 adressée en 2008 aux principaux moteurs de recherche, réitérée fin 2009.

Mais cela ne va pas assez vite pour Alex Türk qui veut un Copenhague du numérique et qui espérait organiser un débat sur les nanotechnologies à Bruxelles au niveau européen. En vain. Le bouillant président ne se représente pas lundi à la tête du G29. Une manière, dit-il, de reprendre sa liberté d’action. L’accélération des nouvelles technologies justifie plus que jamais le rôle de la Cnil. Une course de vitesse, qui suppose de ne pas se laisser trop distancer.

(1) Groupe de travail européen consultatif sur la protection des données ou G29, de l’article 29 d’une directive de 1995.