De l’après-guerre au début des années 1990 – La loi “informatique et libertés” et la tentation du fichage
Cette série d’articles essaie de retracer l’histoire de la protection et de la déprotection de la vie privée en France. La France est réputée comme ayant mis en œuvre plus tôt que d’autres pays européens une loi pour protéger les données personnelles, avec la loi dite « Informatique et Libertés » de 1978. Qu’en est-il vraiment ? Sommes-nous mieux protégés en France qu’ailleurs ? Dans quelle histoire s’inscrit la surveillance des individus et la protection des données personnelles dans notre pays ? Quels sont les éléments législatifs et contextuels que nous devons avoir en tête au quotidien pour vivre nos vies privées en limitant les intrusions non désirées ? Sommes-nous devant un risque démocratique en France à ce sujet ?
Malgré le souvenir de la collaboration, la première tentative connue après-guerre de constituer un répertoire unique des individus…
Après la collaboration du système statistique français avec les nazis pendant la seconde guerre mondiale (cf. article 1 de cette série), la société française s’était prémunie de retomber dans les écueils les plus évidents du fichage des individus, en refusant à la libération du pays la conservation d’un numéro unique identifiant les individus dans tous les services publics. Les administrations devaient gérer les dossiers administratifs sur la base du nom et avec un éventuel numéro identifiant qui leur était spécifique. Le numéro identifiant mis en place en 1941 par l’administration de Philippe Pétain était toujours utilisé après-guerre, comme identifiant pour la sécurité sociale. Les fiches individuelles établies par le gouvernement pétainiste avaient été utilisées pour établir les listes électorales, censées par la suite être gérées selon un numéro différent du numéro de sécurité sociale. Les fiches individuelles continuaient d’être gérées par l’INSEE, au niveau de ses directions régionales, par rapport au lieu de naissance des individus (non plus par rapport à leur lieu de résidence, censé ne plus être suivi, depuis l’abrogation de la loi obligeant à signaler ses changements de domicile) et apurées de leurs informations les plus sensibles : religion, prétendue « race » ou appartenance ethnique et appartenance syndicale, d’après [1].
En 1970, l’INSEE change de position, profitant du passage des cartes perforées aux bandes magnétiques, et décide de centraliser le répertoire avec les identifiants de sécurité sociale au niveau national. Le projet a alors pour objectif clair de permettre de généraliser l’utilisation de ce numéro d’identification à toutes les administrations (éducation nationale, impôts, ministère de l’intérieur…). Il est à nouveau envisagé d’inclure en plus dans le fichier national des informations administratives comme l’adresse, d’après [2]. Michel Poniatovski, alors député, dépose cette même année un projet de loi ayant pour objectif la création d’un comité de surveillance et d’un tribunal de l’informatique. Le projet est rejeté par l’assemblée nationale. L’année qui suit, l’INSEE impulse le projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus).
Le Monde ne dénonce le projet qu’en 1974, alors qu’il est déjà pratiquement en place, dans un article sous-titré « Safari ou la chasse aux français » [3]. Pour faire face à la contestation, Jacques Chirac, alors premier ministre de Valéry Giscard d’Estaing, appelle Michel Poniatowski à être ministre de l’Intérieur. Son projet de comité de surveillance de l’informatique est repris et aboutira à la création de la loi « Informatique et Libertés » du 6 janvier 1978, ainsi qu’à la création de la Commission Nationale Informatique et Libertés (CNIL), chargée de la faire respecter. La France se présente alors comme un précurseur de la protection des droits individuels au niveau législatif, au côté en Europe du Land de Hesse en Allemagne et de la Suède, qui avaient déjà pris des mesures en ce sens en 1970 et 1973 respectivement. En pratique, un grand mouvement international suivra, avec des législations similaires sur le sujet dans de nombreux pays.
La mise en place de la loi « informatique et libertés »
En 1977, la création d’une « Commission chargée de favoriser la communication au public des documents administratifs » (CADA) est décidée par décret. C’est une première étape pour obliger les administrations à devenir plus transparentes dans leurs manières de procéder. L’idée est que le secret des documents administratifs doit désormais être justifié. Tout document administratif doit désormais être communiqué à une personne qui en fait la demande si rien ne justifie de le garder secret. En pratique, les secrets protégés sont ceux liés à la défense nationale, à la conduite de la politique extérieure, à la monnaie et au crédit public et, pour la communication à des tiers, aux affaires, à la situation médicale d’autres personnes ou à leur vie privée [8]. Cette mesure a notamment donné lieu à la mise en place d’une politique d’ouverture des données publiques, mais permet également au citoyen bien informé d’aller plus loin dans ses demandes à l’administration en demandant l’accès à des documents ou données non publiés, mais dont il connaît ou suppose l’existence.
L’année suivante, en 1978, la loi dite « informatique et libertés » est adoptée. Au delà du contexte de développement rapide de l’informatique, qui nécessitait de légiférer pour protéger le citoyen de ses éventuels débordements, un rapport du Sénat [6], qui a précédé le vote de la loi, donne une idée d’une autre arrière-pensée du législateur : « jusqu’à quel point par exemple est-il normal qu’il existe un Service de renseignements généraux qui possède sur chaque individu des renseignements auxquels l’intéressé lui-même n’a pas accès, qui peuvent être erronés et qui peuvent être consultés chaque fois que le citoyen en cause doit bénéficier d’une promotion, ou, s’il est fonctionnaire d’une affectation importante ? ». Le développement de l’informatique représente une amplification de ce risque de dérive du fichage, qui d’après ce rapport semble déjà en bonne partie en place. La vigilance semblait pourtant présente sur le sujet depuis la fin de la seconde guerre Mmondiale. On voit aussi que les fonctionnaires sont plus spécifiquement vus par le législateur comme des individus à protéger, car on les pense plus à la merci des pressions du pouvoir politique. L’article 65 de la loi du 22 avril 1905 visait déjà à permettre aux fonctionnaires d’accéder aux informations qui les concernent avant une procédure administrative (promotion, mutation, sanction, etc.). Cette loi avait toutefois été suspendue par un décret du gouvernement du 10 septembre 1914, pour les fonctionnaires civils de l’État, pendant toute la période de la première guerre mondiale. La sécurité de l’emploi dans des périodes de conflit peut en effet facilement être contrebalancée par des pressions pour forcer un fonctionnaire à agir professionnellement contre son gré ou son éthique ou pour le forcer à être muté dans un autre service ou dans une autre région.
La multiplicité des textes et la renumérotation des articles de la loi de 1978 rend le fait de savoir ce qui était réellement présent dans l’intention du législateur en 1978 et ce qu’il en reste aujourd’hui assez difficile. C’est notamment l’objectif de cet article d’essayer de répondre, au moins partiellement, à cette question, avec les documents disponibles sur Internet et l’œil d’une citoyenne qui n’est pas une juriste. La société serait-elle progressivement en train de légitimer par la loi des mesures de contrôle de la vie privée à partir d’une loi initiale a priori plutôt protectrice ?
Le premier article de la loi de 1978 donne le ton et un cadre qu’il semble bon de garder en tête : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » L’idée de ne pas porter atteinte aux droits de l’homme, à l’identité humaine, à la vie privée et aux libertés individuelles et publiques est aujourd’hui mise en danger notamment par le développement de l’utilisation d’algorithmes et de systèmes dits d’« intelligence artificielle » pour synthétiser des sources disparates d’informations ou pour servir d’appui à des décisions. La loi de 1978 était donc censée donner un cadre pour nous en protéger.
Concrètement, le législateur intervient pour limiter le risque que l’administration profile des individus, au travers de trop nombreuses informations collectées et interconnectées. L’article 2 précise cette protection : « Aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé. » L’idée est étendue aux décisions administratives et privées, mais en exigeant seulement dans ce cas que le traitement automatisé donnant une définition du profil ou de la personnalité de l’intéressé ne soit pas seul à l’origine de la décision. Toutefois, cet article a été revu en 2004 et cet alinéa a disparu.
Comme on le verra avec l’article 3 et l’article 34 et comme le souligne le rapport du Sénat [6], l’esprit de la loi était aussi de permettre à chaque citoyen de savoir ce que les autres recherchent et connaissent sur lui. Il est dit ([6] p. 23) que la personnalité des citoyens mérite la même protection que leur image. Le législateur a donc eu une conscience aiguë de ce que les services de renseignement peuvent mettre en place pour tenter de « cerner » des individus qu’ils surveillent, y compris via des méthodes automatisées croisant des informations individuelles.
L’article 3 étend la protection en permettant à toute personne de connaître et de contester les informations et les raisonnements utilisés dans les traitements automatisés dont les résultats lui sont opposés. Cela devrait donc être encore aujourd’hui encore le cas pour les traitements réalisés par des algorithmes prenant des décisions, par exemple l’algorithme utilisé pour choisir l’orientation des études après bac, contesté d’après Wikipédia [9] par le Défenseur des droits, la Cour des comptes et le Conseil Constitutionnel. Malheureusement, l’article 3 a été entièrement réécrit depuis (loi du 7 août 2004 à l’égard des traitements de données à caractère personnel) et ce droit de connaître et contester les raisonnements issus de traitements informatisés n’existe plus. La loi protège désormais uniquement les données personnelles manipulées, mais ne protège plus le citoyen face aux décisions prises au moyen de traitements algorithmiques.
Une commission nationale de l’informatique et des libertés (CNIL) est créée pour faire respecter cette loi (article 6). Le fait de passer par une commission pour faire appliquer la loi doit permettre l’adaptation des modalités d’application de la loi à l’évolution des techniques [6]. La CNIL est composée de 17 membres nommés pour 5 ans ou pour la durée de leur mandat électif, lorsqu’ils sont par ailleurs élus (parlementaires) (article 8 initialement, article 9 aujourd’hui). Elle donne un avis sur tous les traitements automatisés de données personnelles à réaliser par la fonction publique, avant ou après qu’ils soient validés par une loi ou un acte réglementaire. La CNIL obéit aux décrets décrets du Conseil d’État, puisqu’il s’agit d’une instance administrative avec un pouvoir réglementaire (notamment article 15, non référencé sur Légifrance en dehors du scan PDF de la loi initiale). Pour les traitements réalisés par des structures privées, une déclaration préalable de ceux-ci doit être faite auprès de la CNIL. Les déclarations sont publiées en fin d’année (article 22, non référencé sur Légifrance en dehors du scan PDF de la loi initiale). La demande d’avis ou la déclaration doit mentionner une date limite de conservation des données et cette date doit être respectée (article 28, non référencé sur Légifrance en dehors du scan PDF de la loi initiale).
Malgré les réticences de la société, l’article 18 (non référencé sur Légifrance en dehors du scan PDF de la loi initiale) de la loi « informatique et liberté » permet la mise en place du répertoire national d’identification des personnes physiques, dont l’INSEE avait voulu au travers du projet SAFARI. Les opérations d’interconnexion de fichiers nominatifs doivent néanmoins toujours faire l’objet d’une déclaration à la CNIL qui donne un avis dessus (article 19, non référencé sur Légifrance en dehors du scan PDF de la loi initiale). Les traitements automatisés d’informations nominatives intéressant la sûreté de l’État, la défense et la sécurité publique peuvent ne pas faire l’objet d’une déclaration aussi détaillée que les autres demandes et leur déclaration ne pas être publiée. Les services de renseignement peuvent donc encore s’abriter derrière cette disposition de la loi « Informatique et Liberté » pour ne pas fournir le détail de tous les traitements qu’ils réalisent et qui visent à surveiller la vie privée des individus. Encore faut-il qu’ils prouvent qu’il s’agit vraiment de traitements intéressant la sûreté de l’État, la défense ou la sécurité publique.
Le rapport du Sénat de 1977 [6] demande à ce que les risques en matière d’interconnexion des fichiers ne soient pas exagérés et cite la Suisse dans laquelle une interconnexion a été réalisée entre tous les fichiers informatisés de données personnelles, en mentionnant que d’après les membres de la commission en charge d’examiner la loi, on ne peut pas suspecter la Suisse de mal respecter les libertés ou le secret. Cela resterait à démontrer ! L’argument des économies liées à une interconnexion des fichiers est également cité dans ce rapport du Sénat, comme c’était le cas dans l’argumentaire de l’INSEE après guerre (cf. article 1 de cette série). Les mêmes arguments reviennent pour tenter d’obtenir officiellement cette interconnexion de tous les fichiers : les autres pays le font et ça reviendra moins cher.
La loi de 1978 stipule que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités (article 19, non référencé sur Légifrance en dehors du scan PDF de la loi initiale, devenu article 4).
L’article 25 rappelle que la collecte de données opérée par tout moyen frauduleux, déloyal ou illicite est interdite. Ainsi des données personnelles volées ou perdues par un individu ne devraient pas être utilisées par celui qui les vole ou les trouve. Les vols de données via des intrusions des services de renseignement au domicile ou dans les ordinateurs des particuliers ne peuvent donc pas être légitimés par la loi.
La loi de 1978 interdit de mettre ou conserver en mémoire informatisée ou de conserver dans des fichiers non automatisés ou mécanographiques (cartes perforées) des informations qui directement ou indirectement font apparaître les origines prétendument raciales, les opinions politiques, philosophiques ou religieuses des personnes, sauf accord expresse de l’intéressé. Les groupes religieux, philosophique, politiques ou syndicaux peuvent toutefois tenir un registre informatisé de leurs membres. Il est également précisé dans l’article 30 (non référencé sur Légifrance en dehors du scan PDF de la loi initiale) qu’il peut être fait exception à ce principe pour des motifs d’intérêt public, sur décret du Conseil d’État. L’article 33 (article 80 dans la version actuelle de la loi) précise que les organismes de presse écrite ou audiovisuelle peuvent également déroger à ces principes, si les lois qui les régissent le permettent et si leur application a pour effet de limiter l’exercice de la liberté d’expression.
Le droit d’accès des personnes physiques aux informations nominatives qui les concernent est garanti par l’article 34 (non référencé sur Légifrance en dehors du scan PDF de la loi initiale). D’après l’article 35 (non référencé sur Légifrance en dehors du scan PDF de la loi initiale, devenu article 49), « lorsqu’il y a lieu de craindre la disparition ou la dissimulation des informations […], et même avant l’exercice d’un recours juridictionnel, il peut être demandé au juge compétent que soient ordonnées toutes mesures de nature à éviter cette dissimulation ou cette disparition. » Sur ce point, on aimerait vraiment savoir comment procéder, notamment quand il s’agit de savoir ce dont les services de renseignement disposent comme informations nominatives et qu’ils sont en surveillance de ce que la personne fait. La disparition irait probablement plus vite que la demande faite au juge…
Le droit d’accès s’accompagne d’un droit de rectification, complétion, clarification, mise à jour ou effacement des données (article 36, devenus articles 50 et 51). Lorsque les données ont été transmises à un tiers, ces droits doivent également être exercés auprès du tiers, sauf dispense accordée par la CNIL (article 38, non référencé sur Légifrance en dehors du scan PDF de la loi initiale, devenu notamment article 51). Lorsque les informations personnelles demandées concernent le secret médical, les informations doivent être transmises à l’intéressé par un médecin (article 40, non référencé sur Légifrance en dehors du scan PDF de la loi initiale, devenu article 77). La loi de 1978 offre notamment un droit à l’oubli pour le citoyen, qui s’exerce d’une part au travers des dates limites de conservation des données prévues dans les déclarations CNIL et d’autre part au travers du droit à l’effacement volontaire de ses données.
Le rapport du Sénat [6] souligne le besoin d’une convention internationale pour protéger les traitements des données nominatives réalisés à l’étranger. « Les pays adhérents à la convention universelle des droits de l’homme devront se refuser à abriter des pavillons de complaisance et favoriser ainsi la constitution de paradis de données. » Là aussi, le législateur de 1977-1978 semble déjà très conscient des questions posées au niveau international par l’informatique et le développement d’Internet.
Deux décrets du Conseil d’État ouvrent des droits de fichage supplémentaires aux services de renseignement
Un peu plus de 10 ans après le vote de la loi “informatique et libertés”, le Conseil d’État, autorité de contrôle de la CNIL, a pris deux décrets le 14 octobre 1991, censés préciser les principes de la loi de 1978, mais dont il semble permis de penser qu’il les amoindrissent en partie. Le second décret reprenant largement les sujets abordés par le premier, il est permis de s’interroger sur la raison pour laquelle on en a publié deux le même jour au lieu d’inclure le contenu des deux dans le même décret.
Le premier est un décret relatif au fichier informatisé du terrorisme mis en œuvre par les services des renseignements généraux du ministère de l’intérieur. Il est venu autoriser l’État à constituer officiellement un fichier nominatif contenant de nombreuses informations croisées, dans le cas où les personnes concernées appartiennent à des « entreprises individuelles ou collective ayant pour but de troubler gravement l’ordre public par l’intimidation et la terreur » (article 1). Il s’agissait de centraliser les informations au sujet de personnes ayant recours à la violence et pouvant troubler par cette violence la sûreté de l’État ou la sécurité publique ainsi que des personnes ayant des relations directes et non-fortuites avec ces personnes ayant recours à la violence (article 2). Ce décret permet donc de ficher les relations des personnes considérées comme terroristes. La direction centrale des renseignements généraux doit rendre compte chaque année de ses activités au sujet des données personnelles à la CNIL (article 4). Seuls les fonctionnaires des renseignements généraux sont autorisés à accéder à cette donnée, ils doivent être dûment habilités et y accéder dans la limite du besoin d’avoir ces informations (article 5).
A la même date, est paru un second décret du Conseil d’État portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3 de la loi du 6 janvier 1978 relative à l’informatique et aux libertés. Ce décret est plus général et semble pouvoir être utilisé en tant que tel par les renseignements généraux pour constituer des fichiers de données personnelles, en supplément du fichier informatisé du terrorisme. Il s’agit de préciser pour quels motifs d’intérêt public il est légitime de stocker des informations personnelles considérées comme sensibles.
Ce second décret commence par rappeler que l’interdiction de stocker des informations sur la prétendue origine raciale, les opinions politiques, philosophiques ou religieuses ainsi que les appartenances syndicales des personnes reste valable pour les fichiers établis par les services des renseignements généraux (article 1).
L’article 3 nous explique pourtant dans quels cas il est possible pour les renseignements généraux de récolter ces informations :
- le terroriste : « en cas de recours ou de soutien actif à la violence, par soi-même ou au travers d’un groupe avec lequel la personne est en lien de façon directe et non-fortuite »
- la personne soumise à un secret : « pour des personnes accédant à des informations protégées si ces informations sont nécessaires pour apprécier la vulnérabilité de ces personnes à des pressions exercées par des personnes physiques ou morales susceptibles de porter atteinte à la sûreté de l’État ou à la sécurité publique » ;
- l’inspirateur ou l’opposant politique, qu’il ait une activité politique ou non : « pour des personnes qui ont sollicité, ont exercé ou exercent un mandat politique, syndical ou économique ou qui jouent un rôle politique, économique, social ou religieux significatif, à condition que les informations soient démontrées comme nécessaires au Gouvernement ou à ses représentants pour apprécier la situation politique, économique ou sociale et prévoir son évolution. »
Et l’article 2 nous explique que l’article 1 n’a dans ce cas plus de valeur : « Par dérogation à l’article premier, sont autorisés […] la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d’informations nominatives relatives aux personnes majeures ». Les types d’informations sont alors détaillées par type de personne :
- pour le terroriste : les signes physiques particuliers, objectifs et inaltérables, comme éléments de signalement ;
- pour tous : les activités politiques, philosophiques, religieuses ou syndicales.
La conservation des données est donc autorisée dans le cas du fichage. On peut constituer des fichiers et les garder pour un usage futur.
L’article 4 indique qu’il est interdit de faire état de ces informations dans des enquêtes administrative ou de moralité et qu’on doit ne pas faire de sélection de sous-populations à partir de critères appliqués sur ce fichier. D’après l’article 5, ces informations ne sont communicables aux services de police et de gendarmerie que dans le cas du terroriste ou de la personne soumise à un secret, pour un délai de deux ans, au terme duquel la fiche doit être détruite. Dans le cas du terroriste, l’accès peut être ouvert également à des fonctionnaires relevant du ministère de la Défense.
La communication de ces informations aux services de police ou de gendarmerie ne doit se faire que dans le cadre d’une enquête. Une fois transmises, les fiches peuvent également être consultables par les personnels habilités des services de police et de gendarmerie dans le cadre de l’instruction des demandes de visa, du contrôle de la circulation transfrontalière ou de la réalisation de nouvelles enquêtes (article 5). Le droit d’accès par les intéressés aux informations de ce fichier est garanti par la CNIL (article 6). L’interconnexion de ce fichier avec tout autre fichier est interdite (article 7).
Ce dernier décret introduit donc une idée de contrôle des personnes ayant, ayant eu ou ayant fait des démarches pour avoir une activité politique, économique, syndicale ou religieuse, que cela passe par un mandat ou non. Le caractère significatif de l’activité en question est laissée à l’appréciation des renseignements généraux et d’un éventuel juge. De là, à une potentielle police des idées, il n’y a qu’un pas…
Depuis 2023, la CNIL ne publie plus ses délibérations sur son site (https://www.cnil.fr/fr/deliberations), mais uniquement sur LégiFrance et la rubrique des délibérations n’est plus accessible depuis la page d’accueil du site de la CNIL. En pratique, sur les moteurs de recherche testés, les délibérations ne sont plus présentées dans les premiers résultats tant qu’on ne tape pas explicitement « Légifrance » comme mot clé de la recherche. En revanche, les délibérations d’avant 2023, encore stockées sur le site de la CNIL, sont retournées parmi les premiers résultats, sans mot-clé supplémentaire.
Références
[1] Jean-Pierre Azéma, Raymond Lévy-Bruhl, Béatrice Touchelay. Mission d’analyse historique sur le système statistique français entre 1940 et 1945. INSEE. 1998. hal-05240181 https://insee.hal.science/hal-05240181/document
[2] Loi informatique et libertés, Wikipédia, https://fr.wikipedia.org/wiki/Loi_informatique_et_libert%C3%A9s
[3] Une division de l’informatique est créée à la chancellerie, « Safari » ou la chasse aux français, Philippe Boucher, 21 mars 1974, Le Monde, https://www.lemonde.fr/archives/article/1974/03/21/une-division-de-l-informatique-est-creee-a-la-chancellerie-safari-ou-la-chasse-aux-francais_3086610_1819218.html
[4] Décret n° 91-1051 du 14 octobre 1991 portant application aux fichiers informatisés, manuels ou mécanographiques gérés par les services des renseignements généraux des dispositions de l’article 31, alinéa 3, de la loi n078-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000173238
[5] Décret no 91-1052 du 14 octobre 1991 relatif au fichier informatisé du terrorisme mis en oeuvre par les services des renseignements généraux du ministère de l’intérieur https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000000537617
[6] Rapport au nom de la commission des lois constitutionnelles de législation, du suffrage universel, du règlement et d’administration générale sur le projet de loi, adopté par l’assemblée nationale relatif à l’informatique et aux libertés, Jacques Thyraud, sénateur, annexe au procès-verbal du 10 novembre 1977, https://www.senat.fr/rap/l77-072/l77-0721.pdf
[7] Le dossier administratif du fonctionnaire, CGT Douanes, novembre 2004 https://guide.cgtdouanes.fr/IMG/pdf/dossier_administratif_du_fonctionnaire_20041220.pdf
[8] La protection des secrets prévus par la loi, https://www.cada.fr/administration/la-protection-des-secrets-prevus-par-la-loi