Jusqu'aux attentats du 11 septembre, le spectre de Big Brother prenait
essentiellement deux grandes figures. D'une part, la technologie dite des
cookies, petits fichiers envoyés par des sites web afin d'améliorer
l'interactivité, et, éventuellement, d'effectuer une traçabilité, d'autre part,
le programme anglo-saxon d'espionnage des télécommunications connu sous le nom
de code d'Echelon.
Depuis, la surveillance et le fichage se sont considérablement banalisés.
Plus personne ou presque ne parle plus des cookies, peu de gens savent que
nombre de virus informatiques font dans l'usurpation d'identité, ou servent
de chevaux de troie, et 70% des ordinateurs inspectés par l'un des
principaux FAI américains sont truffés de spywares, logiciels espions
permettant de nourrir les bases de données des "profilers" du marketing plus
ou moins direct. Afin d'améliorer la sécurité des PC, Microsoft envisage
pour sa part d'en prendre le contrôle, à distance.
Le programme Echelon n'a pas empêché les attentats du 11 septembre, et la
surveillance des télécommunications, mais aussi des individus, n'a eu de cesse,
depuis, de s'intensifier, la guerre contre le terrorisme ayant entraîné un
enchaînement inédit de reculs en terme de libertés, et donc de droit à la vie
privée. La LSQ, votée par les socialistes, puis la LSI de Nicolas Sarkozy ainsi
que la loi Perben 2 ont ainsi permis :
. la téléperquisition informatique et la possibilité pour les policiers de
demander à un prestataire d'identifier un internaute sans avoir à passer par un
juge,
. la "sonorisation" des véhicules et locaux -qui peuvent, dans certains cas,
être visités à n'importe quelle heure du jour et de la nuit-,
. l'interconnexion des fichiers de la police (STIC, pour Système de
Traitement des Infractions Constatées) et de la gendarmerie (JUDEX, pour système
JUdiciaire de Documentation et d'EXploitation), quand bien même ils sont en tout
ou partie hors la loi, et truffés d'erreurs,
. la possibilité de les consulter à des fins administratives, et de les
transmettre à des polices étrangères,
. l'extension du FNAEG à la quasi-totalité des crimes et délits d'atteintes
aux personnes et aux biens (vols, destructions, coups et blessures volontaires,
etc.), mais aussi aux personnes simplement "mises en cause",
. la conservation des données de connexion, initialement prévue pendant un an
mais que la France, entre autres, veut porter à trois ans.
... à l'explosion des atteintes à la vie privée
Ces deux dernières années, les écoutes téléphoniques ont augmenté de 30%; la
facture, qui représente 20% des dépenses de la Justice en matière pénale, a
quant à elle été multipliée par deux, en partie en raison du recours accru à des
prestataires privés. Le Fnaeg est dans une situation similaire : le laboratoire
de Paris, l'un des cinq labos publics, a vu les demandes d'analyse multipliées
par 6 en 2004, le fichier, qui devait comporter 400 000 identifiants fin 2004,
n'en compte pourtant que 40 000.
La vague sécuritaire se traduit également par une banalisation du recours au
bracelet électronique dotés de puce GPS de géolocalisation (deux projets de loi
visent à les étendre aux "caïds de banlieue", ainsi qu'aux détenus âgés), de la
vidéosurveillance dite "intelligente" (bien que faillible et contre-productive,
d'après nombre d'experts), mais aussi de la biométrie, dont on confond trop
souvent les capacités d'identification -souvent non-fiable- et
d'authentification -à éviter, selon un expert de la DCSSI, instance
gouvernementale chargée de la sécurité informatique en France.
Enfin, et au-delà des seuls domaines sécuritaires, policiers et judiciaires,
l'administration électronique passe aujourd'hui pour être l'un des principaux
moteurs de la réforme de l'Etat, qu'il s'agisse de la dématérialisation des
procédures, du dégraissage de la fonction publique ou encore du Dossier Médical
Personnel, récemment adopté mais dont on ne sait toujours pas en quelle mesure
il sera réellement sécurisé.
A titre d'exemple, la CNIL autorisait fin novembre la Fédération nationale de la
mutualité française à effectuer la première expérience d'anonymisation des
données de santé, au motif que les "assureurs complémentaires souhaitent
connaître tout ou partie des données de santé figurant sur les feuilles de soins
électroniques afin de « ne plus payer en aveugle »".
Du contrôle des frontières au fichage des citoyens
La CNIL autorisait également, le 4 décembre, la création, à titre expérimental,
d'un fichier biométrique des demandeurs de visas. Cette décision intervient
alors que, depuis les attentats du 11 septembre 2001, la problématique du
contrôle des frontières s'est accrue, passant de la lutte contre les
sans-papiers à la guerre au terrorisme.
La CNIL, et ses homologues européens, mènent ainsi une bataille depuis mars 2003
contre l'administration américaine, qui oblige les compagnies aériennes à leur
transmettre leurs fichiers PNR (Passanger Name Records), compilation d'une
trentaine de données personnelles. Celles-ci sont ensuite comparées avec un
grand nombre de fichiers policiers américains, afin d'empêcher de potentiels
terroristes d'entrer sur le territoire américain, le tout en violation de la
directive européenne sur la protection des données personnelles.
Depuis le 30 septembre 2004, une prise d'empreinte digitale et un cliché
d'identité numérique sont par ailleurs imposés à tous ceux qui entrent sur le
territoire des États-Unis. Initialement, l'entrée sur le territoire américain
devait être conditionnée à la présentation d'un passeport comportant des données
biométriques, mais, devant l'impossibilité pratique de déployer de tels
passeports, la mesure ne devrait être rendue obligatoire qu'à la fin 2006, date
à laquelle les passeports américains devront également, pour leur part,
comporter une puce RFID.
Le 25 octobre 2004, les ministres de l'intérieur de l'Union européenne rendaient
quant à eux obligatoire l'inclusion des empreintes digitales dans les futurs
passeports biométriques (à puce électronique sans contact), sous l'impulsion,
notamment, de la France. Les identifiants devraient être stockées dans une base
de données centralisée. La Commission européenne préconisait que cette
inclusion, en sus d'une photographie numérisée, soit facultative, les
eurodéputés, quant à eux, refusent l'utilisation des empreintes digitales. Le
Royaume-Uni, tout comme les Etats-Unis, penchent quant à eux pour une empreinte
de l'iris.
Fin décembre, le gouvernement devait déposer un projet de loi officialisant le
plan Ines (Identité nationale électronique sécurisée), révélée en août dernier
par le Figaro, et qui compte "unifier et sécuriser nos documents d'identité et
de nationalité" en y apposant des identifiants biométriques (photographie et
empreintes digitales, a priori). Son objectif est d'être "conforme aux
impératifs de sécurité nationale (et) hyperfiable grâce à sa signature
électronique, pour pouvoir accéder en toute tranquillité aux téléprocédures
électroniques (par exemple pouvoir régler ses impôts, modifier son inscription
sur les listes électorales)".
La volonté politique est là, les modalités techniques encore à définir; on sait
par contre que, si la CNIL sera interrogée, le gouvernement n'aura plus
l'obligation de l'écouter, contrairement à ce que la loi de 1978 avait édicté.
De la protection des citoyens face au fichage administratif...
21 mars 1974 : la révélation par le quotidien le Monde du projet SAFARI fait
scandale. Les services de Jacques Chirac, alors ministre de l'intérieur, veulent
en effet instituer un identifiant unique pour interconnecter les données de cent
millions de fiches, réparties dans quatre cent fichiers, au sein d'un "Système
Automatisé pour les Fichiers Administratifs et le Répertoire des Individus"
(SAFARI).
Le scandale est tel que le gouvernement crée une "Commission Informatique et
Libertés", qui débouche en 1978 sur la loi du même nom, et la CNIL : le souvenir
de l'utilisation de ce genre de fichiers du temps de la Collaboration est tel
qu'il est hors de question de laisser l'Etat mettre en place un tel fichage
généralisé de la population.
La loi s'applique principalement aux traitements mis en place par l'Etat, qui ne
peuvent être mis en place que suite au vote d'une loi ou par acte réglementaire,
et autorisation de la CNIL, les autres traitements -privés- étant soumis à une
procédure de déclaration.
... à la protection du fichage administratif face aux citoyens
15 juillet 2004 : sous l'impulsion d'Alex Türk, nouveau président de la CNIL, le
Parlement adopte une refonte de la loi informatique et libertés,
particulièrement critiquée, notamment par d'anciens commissaires de la CNIL.
Entre autres choses, elle éxonère l'Etat de tout risque de sanction, libéralise
la création des fichiers portant sur l'ensemble de la population (tels que la
carte électronique d'identité ou les traitements relatifs à l'administration
électronique), retire les données génétiques, biométriques, sociales et
psychiques des données dites sensibles, protége les fichiers policiers
(existants et futurs), et couvre le fait que nombre d'entre-eux sont pourtant
"hors-la-loi".
Le nouveau projet de loi vise à transposer une directive européenne datant de
1995 et que la France aurait du transposer depuis 1998 -c'est même le dernier
pays de l'Union à le faire, et elle a plusieurs fois été tancée pour cela.
Nombre de fichiers publics et privés étant dans l'illégalité, au vu de
l'impossibilité administrative de la CNIL à les contrôler, et de se réconcilier
avec les entreprises, la loi exonère également la majeure partie des fichiers
des procédures de déclaration préalable, au profit de la création de
"correspondants informatique et libertés", censés faire respecter la loi, mais
placés sous l'autorité des créateurs de fichiers, qui pourront par ailleurs
opposer le secret professionnel, à la CNIL. En contrepartie, celle-ci est dotée
de pouvoirs de contrôle in situ, mais aussi de sanctions, dont elle était jusque
là dépourvue.
Les sociétés privées sont par ailleurs autorisées à créer des listes noires
d'auteurs présumés d'infraction. Le 30 juillet 2004, le Conseil Constitutionnel
valide la loi, restreignant la création de telles listes noires aux seules
sociétés de perception de droits d'auteurs.
Les entreprises sont par ailleurs habilitées à utiliser leurs fichiers de
prospection par e-mails, en opt-out, à partir du moment où le client a déjà
passé un achat. Les autres ont jusqu'au 21 décembre pour faire jouer l'opt-in.
Il n'est donc pas exclu que la loi informatique et libertés entraîne un regain
de la publicité par e-mail à partir de 2005.