Isabelle Falque-Pierrotin, présidente de la Commission nationale informatique et libertés (CNIL), le gendarme français de la vie privée, estime que les garanties apportées au projet de loi sur le renseignement sont insuffisantes. Elle souhaite pouvoir contrôler les fichiers des services de renseignement pour prévenir tout débordement.
La CNIL avait émis un avis assez critique au sujet de la première version du projet de loi sur le renseignement. Le texte a été modifié en partie par les députés. Quel est votre regard sur le texte issu de l'Assemblée ? Est-ce qu'une partie de vos inquiétudes ont été levées ?
Nous avons été saisis très en amont sur l'avant-projet de loi. Nous avons émis un avis le 5 mars, dans lequel nous faisions part de notre inquiétude par rapport aux nouvelles techniques de collecte qui nous paraissaient présenter un risque de collecte massive. Nous avions attiré l'attention du gouvernement sur la nécessité de resserrer le dispositif de différentes manières. Soit en réservant certaines techniques à certaines finalités, soit en travaillant sur la durée de conservation des données…
L'avis de la CNIL a été entendu par le gouvernement et par le législateur, qui ont resserré les mailles de la collecte. C'est positif, tout comme le fait d'avoir un texte qui donne un cadre juridique à l'activité des services de renseignement. Les « boîtes noires » ont été réservées à l'objectif de lutte contre le terrorisme, le périmètre des écoutes a été resserré, avec la notion d'entourage qui est plus précisément définie, les modalités de contrôle de la CNCTR [la commission qui encadrera les activités de surveillance] ont été harmonisées…
Ces avancées sont-elles suffisantes ?
Nous considérons que ce dispositif reste profondément déséquilibré. Il y a un encadrement en amont de la collecte de ces données, mais il n'y a finalement aucun encadrement en aval de la manière dont ces données alimentent des fichiers de renseignement.
Or, ce contrôle permettrait de vérifier que ces fichiers sont tenus conformément à la loi, à ses objectifs, à la durée de conservation des données... Ces fichiers sont soumis à la loi informatique et libertés, mais ils bénéficient en fait d'une dérogation selon laquelle la CNIL n'a pas de pouvoir d'inspection, de contrôle sur ces fichiers, comme elle l'a sur tous les autres fichiers existants, de police, publics, privés… D'ailleurs, le nom de la CNIL n'apparaît nulle part dans ce projet de loi. Cela nous paraît extrêmement préoccupant.
Des amendements ont pourtant réduit, comme vous le souhaitiez, la durée pendant laquelle ces données peuvent être conservées.
Oui, mais nous n'avons aucun moyen de vérifier que cette durée de conservation est respectée. Ni aucun moyen de vérifier que les IMSI-catchers [les dispositifs qui permettent de surveiller les téléphones mobiles], qui sont prévus en nombre limité dans la loi, sont bien utilisés comme prévu. Les ministres, les services de renseignement, nous disent qu'ils ne sont pas malintentionnés. Je n'ai aucun doute que les promoteurs du texte sont portés par les meilleures intentions. Mais ce n'est pas sur ces critères qu'on évalue un dispositif. La loi, elle, est faite pour durer, pour résister au réel.
C'est d'ailleurs une préoccupation qui a été celle du rapporteur du texte, M. Urvoas : la notion de lanceur d'alerte qui a été mise en place montre qu'il fallait fixer des garanties. C'est une bonne initiative mais elle ne peut pas être la seule garantie démocratique ! Lorsque l'on accroît comme on le fait aujourd'hui de manière substantielle les techniques de collecte, il faut de la même manière accroître les modalités de contrôle.
Vous demandez à renforcer le contrôle « en aval », est-ce que cela veut dire que vous jugez suffisant le contrôle « en amont » des mécanismes de collecte ?
On peut continuer à resserrer les dispositifs, à rétrécir les mailles du filet, par exemple en posant davantage d'exigence pour le renouvellement des autorisations – ce qui serait naturel au regard de l'élargissement des motifs pouvant conduire à une mise sous surveillance. Il y a encore tout un travail que le législateur peut faire sur les modalités techniques, encore assez vagues. Sur cette question, nous proposons d'ajouter une clause générale de rendez-vous : aujourd'hui, elle n'existe que pour les « boîtes noires », mais il ne serait pas anormal que l'ensemble de ces dispositifs puisse être réexaminé au bout de quelques années.
Justement, aux Etats-Unis, les députés doivent décider cette semaine de renouveler ou non le financement du système de surveillance de la NSA, ce qui a lancé un débat public. En France, comme au Royaume-Uni, les gouvernements prévoient plutôt de renforcer les pouvoirs de surveillance…
La France et l'Europe jouent énormément leur image dans les législations dont nous débattons sur la surveillance. Nous sommes vus comme le pays qui a contribué à la création des droits de l'Homme : il faut que nous puissions donner des éléments précis, convaincants, sur le fait que notre législation est équilibrée. J'étais ces derniers jours à une réunion internationale sur ces questions ; nous sommes très attendus à l'étranger sur ce projet de loi et sur les garanties que nous proposerons.
Une difficulté commune à l'Europe et aux Etats-Unis, c'est de faire prendre conscience au public de l'importance de ce sujet de la protection des données, dans le secteur public comme dans le secteur privé. Nous parlons d'une surveillance qui est invisible, que le grand public ne voit pas toujours, mais ce n'est pas parce qu'il y a un impératif de sécurité qu'on doit oublier l'Etat de droit.
Les opposants au texte arguent qu'il est paradoxal de mettre en place des mesures menaçantes pour la protection de la vie privée après les attentats de janvier et les manifestations massives pour la défense de la liberté d'expression. Protection de la vie privée et de la liberté d'expression, même combat ?
Je pense que les personnes sont beaucoup plus à même de se mobiliser pour la liberté d'expression que pour la vie privée, ou plus exactement pour la protection des données personnelles, qui apparaît comme quelque chose d'abstrait et d'un peu extérieur à elles. Le risque éventuel en termes de protection des données est beaucoup moins ressenti et appréhendé par le grand public que celui sur la liberté d'expression. C'est une de nos difficultés.
Un des objectifs que nous avons maintenant, c'est de donner de la chair à tout ça, de rendre visible l'invisible et de rendre l'individu plus maître de l'utilisation de ses données. Nos données personnelles, c'est notre « corps numérique », notre identité. Nos sociétés se virtualisent de plus en plus ; pourquoi pas, mais il faut que l'individu puisse y être un pilote, pas un objet.