The bill to strengthen internal security and the fight against terrorism, which was presented to Parliament on 22 June, profoundly changes the means of combating terrorism outside the framework of a state of emergency. Several of these measures, in line with other recent texts, lead to the widening of the collection and use of personal data.
The consultation requirement of the CNIL
Citizens expect the fight against terrorism to be effective, but also to respect the protection of their privacy and data. It is a condition of respect for the rule of law, social acceptability and the legitimacy of security policies. The CNIL has precisely received from the legislator the task of ensuring this balance.
However, this mission can only be fully carried out if the CNIL is consulted beforehand on bills that have a strong impact on the processing and protection of personal data like this one. It was moreover the wish of the legislator, by adopting the law of 7 October 2016 for a digital Republic, to widen the cases of consultation of the CNIL, in particular to all texts creating new rules framing The collection and processing of certain data. The bill before Parliament contains several provisions of this nature. This is the case, for example, with the provisions on air passenger registration and reservation data, intercept and intercept data, Operation of electronic communications exclusively using the wireless channel, or those setting the conditions for the processing of PNR data of persons traveling on board ships. These articles modify existing provisions on which the CNIL was originally consulted.
In any event, and irrespective of the legal obligation to obtain the opinion of the CNIL, the importance of the issues raised by various provisions, from the point of view of the right to privacy and data protection Should in itself have justified the consultation of the CNIL . The same applies to the location of persons under mobile electronic surveillance, the obligation to declare subscription numbers and technical identifiers or the entry of computer data.
The tight timetable for presenting the text to Parliament did not hinder the consultation of the CNIL. The Commission has demonstrated in the past that it has the capacity to deliver its opinion within very short deadlines. It issued an urgent opinion on some 60 texts in 2016. The CNIL can also be consulted during parliamentary proceedings on possible amendments, as it has already done, for example, in the context of the preparatory work To the Intelligence Act of 24 July 2015.
The CNIL’s vigilance points on the draft law
Sur le fond, la CNIL suit toujours, dans l’examen des textes en matière de sécurité, une démarche constructive recherchant une juste conciliation entre la prévention des atteintes à l’ordre public et le droit au respect de la protection des données personnelles.
A cet égard, une vigilance particulière s’impose sur les mesures du projet de loi qui affectent le droit de chacun à la protection de ses données personnelles. Si la Commission relève que des garanties sont prévues pour encadrer les mesures les plus intrusives, en ce qui concerne en particulier les conditions de placement sous surveillance électronique, les modalités de saisie et d’exploitation de données informatiques dans le cadre des visites ou la surveillance des communications hertziennes, elle estime que ces garanties devraient être renforcées.
Tout d’abord, sur l’obligation de déclarer les numéros d’abonnement et les identifiants des moyens de communication électronique prévue dans certaines hypothèses. A la demande du Conseil d’Etat, les mots de passe ont été exclus de la liste des éléments à déclarer. Cependant, la Commission relève que cette obligation est susceptible de concerner un champ très large de services de communication, tels que la téléphonie fixe ou mobile, la transmission vocale sur internet, les SMS, les courriels, les messageries instantanées, etc. Ce champ n’est pas précisé ni limité par le projet de loi. Le texte ne prévoit pas davantage les finalités et les conditions d’utilisation de ces numéros et identifiants. Des précisions devront être apportées sur ce point pour clarifier les finalités et garantir la proportionnalité de telles mesures.
Une grande vigilance devra par ailleurs être observée sur les données PNR. Il s’agit là d’un type de traitement de grande ampleur, susceptible d’avoir une incidence majeure sur le droit au respect de la vie privée. Le projet de loi supprime le caractère expérimental de celui-ci conformément à la directive européenne n° 2016/681. Pour autant, cette pérennisation n’ôte rien à l’exigence d’évaluation. La CNIL rappelle que la directive prévoit une clause de réexamen de l’ensemble du dispositif, sur la base des informations communiquées par les États membres. Le traitement mis en œuvre au niveau national est en outre plus étendu que ce que prévoit la directive, dans la mesure où il peut être utilisé, par les services de renseignement, à des fins de prévention des atteintes aux intérêts fondamentaux de la nation. Il faudra donc, dans les conditions fixées par la loi et le règlement, prévoir une rigoureuse évaluation du dispositif national, et notamment de l’effectivité des garanties prévues pour les personnes concernées.
D’autres dispositions du projet de loi peuvent appeler des remarques plus techniques. C’est le cas des dispositions relatives à la saisie de données informatiques dans le cadre de visites. La Commission estime que l’exploitation des données saisies ainsi que les opérations de destruction de ces données pourraient faire l’objet de procès-verbaux afin d’assurer un meilleur contrôle par les personnes concernées et l’autorité judiciaire sur ces opérations.
Le nécessaire contrôle des fichiers de renseignement
Le projet de loi renforce en outre, par plusieurs de ses dispositions, le rôle et le contenu des fichiers des services de renseignement. En effet, d’une part, les mesures individuelles de surveillance que le ministre peut prescrire ou les visites et saisies auxquelles le préfet peut faire procéder reposeront nécessairement sur l’identification préalable, au sein des fichiers mis en œuvre ou utilisés par les services de renseignement, des personnes remplissant certains critères. D’autre part, le projet prévoit et encadre, à la suite de la censure par le Conseil constitutionnel d’une partie d’un précédent texte, l’interception des communications électroniques par voie hertzienne.
Le texte s’inscrit ainsi dans la continuité des dispositions issues de la loi relative au renseignement de 2015, qui avait déjà massivement élargi les possibilités de collecte de données par les services compétents, par le biais notamment de mesures intrusives de contrôle et de surveillance des personnes. Plus généralement, dans les années récentes, le législateur a, soit décidé la création de nouveaux fichiers en lien avec la lutte contre le terrorisme, soit étendu les cas d’enregistrement de données dans ces fichiers, ces deux tendances appelant des garanties fortes pour les citoyens.
Si ces garanties ont considérablement progressé, il leur manque selon la Commission une composante essentielle : un contrôle indépendant et global de la gestion de ces fichiers.
Certes, le code de la sécurité intérieure prévoit un encadrement strict de la collecte de données par des techniques intrusives mises en œuvre par les services de renseignement, seulement après intervention de la Commission nationale de contrôle des techniques de renseignement (CNCTR) et autorisation du Premier ministre. Le législateur a par ailleurs prévu un « droit d’accès indirect », par lequel une personne peut obtenir qu’un membre de la CNIL s’assure de la régularité des données enregistrées, le cas échéant, dans l’un de ces fichiers. De même, la formation spécialisée du Conseil d’Etat est compétente pour connaître de requêtes individuelles concernant le recours aux techniques de recueil de renseignement ou le droit d’accès indirect aux fichiers mis en œuvre par les services spécialisés.
Cependant, au-delà de ces contrôles ponctuels, à la demande d’une personne, il n’existe pas aujourd’hui de dispositif de contrôle global des fichiers de renseignement eux-mêmes. Les textes qui les ont créés les ont en effet soustraits, dans la plupart des cas, au contrôle a posteriori de la CNIL. Il en résulte une situation paradoxale : les fichiers constitués à partir des données ainsi collectées sont pleinement soumis aux principes de la loi Informatique et Libertés (principe de finalité, proportionnalité des données collectées, exigence d’exactitude et de mise à jour, etc.), mais aucun contrôleur externe n’est désigné pour en assurer, de manière générale, le respect.
Comme la Commission l’a déjà indiqué, pour être acceptable d’un point de vue juridique, éthique et sociétal, le déplacement éventuel du curseur vers des mesures de sécurité plus intrusives doit nécessairement s’accompagner d’un renforcement des garanties qui encadrent l’action des services de sécurité. Prévoir un tel contrôle est une garantie qu’appelle l’état de droit.
Le chiffrement, élément clé de la sécurité des données
Enfin, et bien que ce sujet ne soit pas traité par le projet de loi, il est pour la CNIL essentiel de rappeler, dans le contexte des débats qui peuvent se faire jour actuellement, que la question du chiffrement doit être abordée à travers la même grille d’analyse qui vise à répondre aux exigences de citoyens légitimement aussi inquiets de leur sécurité qu’ils sont attentifs au respect de leurs données personnelles.
Le chiffrement est un élément essentiel de la résilience de nos sociétés numériques et du patrimoine informationnel des entreprises comme du secteur public. Il ne doit pas être affaibli. En effet, les solutions de chiffrement permettent non seulement de préserver la confidentialité de données transmises par Internet, mais aussi d’en assurer l’intégrité, contre une cybercriminalité qui vise tout autant à accéder à des informations confidentielles ou sensibles qu’à les modifier, les copier ou les supprimer. Le chiffrement participe donc de la cybersécurité, qui est vecteur de confiance pour les utilisateurs, particuliers ou professionnels, et gage d’innovation pour les industriels.
Ces objectifs de protection de la vie privée et de sécurité du patrimoine informationnel des acteurs publics et privés doivent évidemment être conciliés avec la nécessité pour les autorités publiques d’accéder aux informations qui leur sont nécessaires. L’accès, par les autorités judiciaires ou les services de renseignement, à des données informatiques, qui peuvent être chiffrées, fait ainsi l’objet de nombreuses dispositions spécifiques dans le droit national. L’ensemble des outils susceptibles d’être mobilisés pour accéder à des données chiffrées ou contourner les dispositifs de chiffrement, qui ne peuvent être mis en œuvre que dans certaines conditions précises, forment un arsenal juridique solide. Le cadre juridique de ces différents outils est en outre régulièrement modifié afin de mieux les adapter à l’état des technologies.
D’éventuelles adaptations du cadre juridique ne suscitent naturellement aucune objection de principe de la part de la CNIL. Cependant, la Commission entend réaffirmer, comme l’avait fait l’ANSSI, que la mise en place de portes dérobées (« backdoors ») dans les systèmes de chiffrement et de « clés maitres », ou encore l’interdiction pour le grand public d’utiliser des techniques de chiffrement des données à la main des utilisateurs, mettraient en péril le principe même de fonctionnement des technologies actuelles de chiffrement, qui reposent précisément sur l’interdiction d’accès, par des tiers, aux données ainsi protégées. Elles créeraient un risque collectif d’affaissement du niveau de sécurité des personnes et des institutions, et renforceraient leur exposition à de graves préjudices économiques, politiques ou de sécurité publique.