En 2018, un
rapport de l’Assemblée nationale faisait état de 106 fichiers mis à la
disposition des forces de sécurité. Connues régulièrement sous la forme
d’acronymes, ces bases de données entendent participer à la sécurité publique
et la prévention de menaces, notamment terroristes avec les fiches S.
Parfois secrets, ces fichiers n’en demeurent pas moins encadrés. Zoom sur leurs
usages, leurs contrôles et les risques qui y sont associés.
Nos vies peuvent-elles être résumées à des données
enregistrées dans des serveurs ? Régulièrement, la presse se fait le relai de
risques liés à la collecte de données par les GAFAM et leur partage, une
hégémonie aux enjeux économiques énormes qu’on ne semble plus pouvoir arrêter.
Pourtant, et on en parle moins, les acteurs privés ne
sont pas les seuls à se faire les gestionnaires de mégafichiers. Depuis
2016 par exemple, tout Français ayant une carte d’identité ou un passeport est
répertorié dans le fichier TES1 (Titres électroniques sécurisés). Ce dernier
dispose notamment de données biométriques, à savoir les empreintes digitales
(celles des deux index, recueillies lors d’une demande de passeport et de carte
d’identité2) et l’image numérisée du visage de la personne concernée. La
finalité estimée « légitime » par le
Conseil d’État du fichier TES relève de l’instruction des demandes relatives
aux cartes d’identité et aux passeports afin de prévenir et détecter leurs
éventuelles falsifications.
Pour autant, « la
collecte et la centralisation des données personnelles de la quasi-totalité de
la population française fait naître des craintes sur les conséquences
d’éventuelles dérives », souligne le cabinet Haas avocats, spécialisé dans
le droit du numérique, qui relève alors le risque d’une « surveillance
généralisée par l’État ». Sans parler des craintes quant au hackage d’un
fichier si volumineux, ou des risques éthiques associés à ses utilisateurs.
Alors, sommes-nous en train d’assister au fichage généralisé
des Français ? Pour répondre à cette question, le département de recherche
Droit et transformations sociétales de l’université de Bordeaux a organisé, le
30 mai dernier, un webinaire intitulé «
Fichiers policiers, judiciaires et de renseignement : tous surveillés ? ».
L’objectif : s’interroger sur les pratiques de surveillance à l’ère numérique
dans le cadre des politiques de sécurité.
Alain Pariente, directeur adjoint du département, a
ouvert ce colloque en soulevant la contemporanéité de ce sujet qui anime
aujourd’hui les débats publics et interroge tant sur la conception de ces
fichiers régaliens que sur les usages qui en sont faits.
Une centaine de fichiers régaliens
existants
D’après
la Commission nationale de l’informatique et des libertés (CNIL), un fichier
est un traitement de données qui s’organise dans un ensemble stable et structuré
de données. Les données d’un fichier sont accessibles selon des critères
déterminés, explique Yoann Nabat, doctorant en droit privé et sciences
criminelles à l’université de Bordeaux, à l’Institut supérieur criminel et de
la justice, et intervenant lors de ce colloque. Ici, l’universitaire
s’intéresse à ceux détenus par l’État et conçus par la police administrative ou
judiciaire, le renseignement et la justice. Bien qu’il n’existe pas de décompte
précis des fichiers de la puissance publique, un rapport parlementaire datant
de 2018 fait étant d’une centaine de fichiers « à la disposition des forces de l’ordre ».
Il
est vrai qu’on entend rarement parler de fichiers de police, s’étonne
l’universitaire, ou plus précisément, on entend parler seulement de certains d’entre
eux, comme le casier judiciaire ou celui des fiches S. Mais le reste est assez
peu connu, commente-t-il.
Quels
sont les grands fichiers de police et de justice ? Yoann Nabat en évoque
plusieurs, de façon non exhaustive, classés par acteurs, mais là aussi,
l’intervenant rappelle que ce découpage est assez schématique, puisque certains
fichiers peuvent communiquer entre eux ou sont parfois gérés par plusieurs
ministères.
Concernant les fichiers à finalité principalement
judiciaire, on l’a dit, le casier judiciaire est « certainement le plus connu », soulève Yoann Nabat, mais aussi « le moins problématique », puisqu’il « obéit à un cadre législatif défini par le
Code de procédure pénale. Il est composé de plusieurs bulletins, et sous
contrôle des magistrats ».
Toujours sous l’exercice du ministère de la Justice, le
FIJAISV (Fichier judiciaire automatisé des auteurs d’infractions sexuelles ou
violentes) et le FIJAIT (Fichier des auteurs d’infractions terroriste), sont
deux fichiers similaires et sectoriels, liés à des infractions particulières.
Mais ici, « nul besoin d’être condamné
pour [y] apparaître ». Et c’est bien là un risque, pointe le spécialiste,
car on y trouve en effet toutes les personnes simplement mises en examen pour
ce type d’infraction. En outre, pour Yoann Nabat, ces fichiers sont aussi
révélateurs, « parce qu’ils montrent la
figure de la dangerosité aujourd’hui », mais s’étonne cependant de ne pas
retrouver ce même fichier pour la délinquance en « col blanc », qui pourrait
pourtant, selon lui, répondre à l’actualité.
Des fichiers aux données variées
Il y
a ensuite les fichiers gérés par les services de police judiciaire et de
gendarmerie.
Le TAJ (Traitement des antécédents judiciaires) est le
plus fourni, puisqu’il regroupe 18 millions de personnes. Il suffit d’avoir été
mis en cause à l’occasion d’une procédure judiciaire (pas forcément auditionné,
ni arrêté et encore moins condamné) pour y voir son nom apparaître.
Le FNAEG et le FAED, respectivement le Fichier national
automatisé des empreintes génétiques et le Fichier automatisé des empreintes
digitales, sont quant à eux des fichiers exclusivement biométriques. En effet,
là où d’autres pays ont préféré intégrer ces informations dans les principaux
fichiers de police, en France, ces données, jugées plus sensibles, sont
répertoriées dans des fichiers spéciaux ; cela présente des avantages,
mais aussi des inconvénients, souligne Yoann Nabat.
Il existe aussi le FPR, le Fichier de personnes
recherchées, qui recueille notamment les fameuses fiches S, « S »
signifiant « sureté de l’État ».
Il y a ensuite les fichiers de renseignement, « certainement les plus problématiques, commente l’universitaire, car ce sont ceux sur
lesquels nous détenons le moins d’informations. Et pour 17 fichiers
secrets, nous ne disposons même que du nom ».
Parmi ces fichiers de renseignement, les fichiers PASP
(Prévention des atteintes à la sécurité publique) et GIPASP (Gestion de
l’information et prévention des atteintes à la sécurité publique) collectent
les données de ceux qui constituent une menace à la sécurité publique.
Toutefois, il s’agit d’une définition large, s’inquiète l’universitaire. Par
ailleurs, ces fichiers ne sont pas accessibles sur demande, et leurs auteurs ne
savent pas qu’ils y apparaissent. Concernant le contenu, les données
recueillies dans ces fichiers peuvent être assez diverses, puisqu’on peut
notamment y retrouver certaines opinions politiques, données dont l’usage est
pourtant très encadré en France, ou encore des informations relatives à la
santé des auteurs.
Yoann Nabat évoque enfin les fichiers dits
d’administration, ceux qui visent à faciliter notre vie administrative. Au premier
abord, ces fichiers ne semblent pas poser réellement de problèmes.
Il faut pourtant là aussi rester vigilant, alerte le
spécialiste, prenant l’exemple du Fichier TES (Titre électronique sécurisé),
déjà cité plus haut, qui regroupe l’intégralité des passeports et cartes
d’identité, avec photos et empreintes digitales. Ce fichier constitue un
ensemble de données importantes qui concernent plus de 60 millions de
personnes. « Bien que son usage soit
relativement restreint, on n’est pas à l’abri de risques », alerte-t-il,
tant le volume est important
De façon générale, ces fichiers servent, dans les
procédures judiciaires, à rechercher les auteurs d’infraction, et notamment les
récidivistes.
Mais ces fichiers peuvent aussi participer à la prévention
des infractions et au maintien de l’ordre public (notamment les fichiers de
renseignement). Mais « cette dimension préventive peut aussi poser question
», précise l’intervenant, rappelant qu’en 2020, au nom de la prévention de
la radicalisation à caractère terroriste, une proposition de loi à l’Assemblée
nationale visait à interner tous les Français fichés au FSPRT (Fichier des
signalements pour la prévention de la radicalisation à caractère terroriste en
centre de rétention administrative).
Attention aux usages secondaires
Renseignements relatifs à l’état civil, données
biométriques, passé pénal et judiciaire, informations familiales et sociales…
Les données contenues dans ces fichiers régaliens sont donc assez diverses.
D’ailleurs, il n’existe pas un usage par type de fichier. Avec les
interconnexions, les usages secondaires ont en effet tendance à augmenter, même
lorsque l’usage des fichiers semble, au premier abord, assez éloigné.
C’est le cas par exemple du Fichier des personnes faisant
l’objet d’une mesure de soins psychiatriques sans consentement (Hopsyweb),
fichier à vocation médicale, et du Fichier des radicalisés du terrorisme, le
FSPRT, qui, en vertu d’un décret en date de 2019, ont fait l’objet d’une
interconnexion. L’objectif pour les autorités concernées : savoir si une
personne suspectée de terrorisme fait l’objet d’une hospitalisation d’office en
soins psychiatriques.
Par ailleurs, dans le cadre de la loi de prévention du
terrorisme du 30 juillet 2021, un nouveau décret (n° 2022-714) paru au JO le
28 avril 2022, prévoit un élargissement des conditions d’accès à Hopsyweb,
notamment aux préfets de police et services de renseignement. On le voit, les
usages peuvent donc être divers.
Les bases de données qui visent à faciliter la vie
administrative ne sont pas en reste, car là encore, les interconnexions peuvent
parfois être dangereuses, précise le doctorant, qui renvoie notamment aux
enquêtes administratives réalisées avant certaines prises de poste dans la
fonction publique : « Ces enquêtes sont
quasi exclusivement basées sur la consultation de ces fichiers. Cela peut poser
question quant à la présomption d’innocence ou au respect de la vie privée
».
Notons en outre que ces usages secondaires peuvent voir le
jour plusieurs années après la création du fichier : « Le fichier
est créé avec une finalité et un usage donnés ainsi qu’un type de personnes
ciblées. Mais une fois le fichier validé, on élargit les données collectées ou
les usages, et cela est très dangereux, car le débat démocratique a lieu au
moment de la création du fichier. On s’intéresse beaucoup moins aux évolutions
qui sont sous forme d’arrêts ou de décrets et qui sont votées rapidement. Mais
en réalité, ce sont dans ces évolutions que peut se cacher le diable », s’inquiète-t-il.
« Quel degré de tolérance ou de fichage
pouvons-nous tolérer dans une démocratie ? » s’interroge donc le doctorant,
qui à cet égard, invite à se méfier de l’effet cliquet, c’est-à-dire l’idée
qu’une fois qu’une chose est passée, on ne reviendra jamais en arrière, même
s’il y a des contestations.
De ces nouveaux accès peuvent naître
de mésusages, c’est-à-dire de mauvais usages des fichiers. Par exemple, des
policiers ou des gendarmes, pour le compte d’un ami ou contre rémunération,
vont fournir une information issue de ces fichiers, s’exposant par conséquent à
des poursuites pénales. Pour éviter ces détournements individuels, il existe
des garanties et garde-fous avec la mise en place d’alertes automatisées,
également activées lors de recherches portant sur des personnalités publiques,
pour lesquelles les usagers doivent justifier leur demande. En outre, un
historique de toutes les consultations est conservé, et il peut, là encore,
être demandé à l’auteur des recherches de motiver sa demande.
Outre les usages, les évolutions
peuvent concerner le contenu même du fichier. Exemple avec le FNAEG, créé à la
fin des années 90 uniquement pour les auteurs de crimes sexuels, et qui,
aujourd’hui, regroupe tous les auteurs, même simplement mis en cause, de
quasiment tous les délits et les crimes.
Un volume de données exponentiel
Même s’il est aujourd’hui difficile de
connaître le nombre précis de fichiers mis à la disposition des forces de
l’ordre, avec le déploiement du numérique, les bases de données se multiplient
: alors qu’on en recensait 50 en 2019, un rapport parlementaire en a dénombré
106 en 2018. Paradoxalement, le volume exponentiel de données ne rendrait pas
pour autant le travail des services de police plus facile : « Le trop grand nombre
de fichiers et la complexité de leur architecture nuisent à leur utilisation
optimale », pointait le rapport de l’Assemblée
nationale précité portant sur les fichiers mis à la disposition des forces de
sécurité. Ses rédacteurs se posent alors la question de la rationalisation des
bases existantes : « La multiplication des fichiers conduit les enquêteurs à
hésiter à y recourir ou bien à consacrer un temps de travail croissant à
l’interrogation des différentes bases disponibles (une trentaine de fichiers
ont vocation à être interrogés par les enquêteurs de la police judiciaire dans
le cadre de leurs missions). Les conditions d’urgence dans lesquelles se
trouvent les enquêteurs (garde à vue, opérations sur la voie publique…) rendent
en outre plus compliquée la consultation de multiples fichiers. », indique
le rapport.
La CNIL, un rôle de conseil…
Selon la loi informatique et liberté du 6 janvier 1978,
il revient à la Commission nationale de l’informatique et des libertés, le
gardien de la vie privée des Français, de veiller à l’équilibre entre la
protection des citoyens et la nécessaire efficacité des forces de l’ordre dans
le respect des principes fondamentaux.
À cet égard, la CNIL exerce une mission de conseil aux
pouvoirs publics à travers les différents avis rendus sur les projets de texte
soumis par le gouvernement, notamment ceux concernant la création ou la
modification de ces fichiers. On l’appelle le contrôle a priori, déclare, lors
de ce webinaire, Marion de Gasquet, juriste au service des affaires régaliennes
et des collectivités territoriales de la CNIL. Ces avis sont ensuite rendus
publiquement sur le site de la Commission.
La CNIL se prononce au regard des grands principes de la
loi informatique et liberté : finalités du fichier – la loi prévoit que les
données sont collectées pour des finalités déterminées, explicites et légitimes
–, nature des données collectées, durée de conservation
nécessaire et proportionnée au regard des finalités, usagers et mesures de
sécurité mises en œuvre. L’avis de la CNIL a donc pour objectif d’éclairer le
gouvernement, le Parlement ou toute autre autorité publique qui l’aurait saisie
et peut entraîner des
modifications du texte pour tenir compte de ces observations.
En 2008, par exemple, a été créé le fichier de police
Edvige (Exploitation documentaire et valorisation de l’information générale),
qui répondait, à l’époque, à trois finalités : la surveillance des
personnalités, le renseignement sur les groupes ou les individus menaçant
l’ordre public, et la facilitation des enquêtes
administratives, explique Marion de Gasquet.
À la suite de
l’avis de la CNIL, cette même année, le fichier a été retiré au profit de deux
fichiers distincts, le fichier PASP, et le fichier GIPASP pré-cités, auxquels
s’est ajouté un fichier spécifique pour les enquêtes administratives liées à la
sécurité publique.
Notons toutefois qu’aucune modification n’est
obligatoire ; l’avis de la CNIL ne constituant pas une validation ou un
refus, mais un simple conseil.
Pour ce qui est des fichiers dits « secrets »
de renseignement, le texte n’étant pas publié, la loi prévoit que l’avis de la
CNIL ne soit pas rendu public. Il sera simplement mentionné le sens de l’avis
de la CNIL (favorable, favorable avec des réserves ou défavorable), sans que
soit connu le contenu de la délibération. 17 fichiers, comme celui de la DGSE,
celui de Tracfin ou encore le
FSPRT, sont concernés.
En 2021, la CNIL a rendu 121 avis sur des projets de texte.
…et de contrôle
En parallèle, la CNIL est aussi, depuis 2004, le
« gendarme des fichiers », et contrôle à ce titre la mise en œuvre des traitements de ces bases de données publiques. C’est le
contrôle a posteriori, assure la juriste.
La CNIL peut ainsi contrôler tous les organismes, qans
qu’il leur soit possible de s’y opposer. Pour les fichiers régaliens, des
habilitations spécifiques sont délivrées aux agents qui réalisent ces
contrôles. S’agissant des fichiers de renseignement listés par décret, et
notamment pour les 17 fichiers secrets, ces traitements peuvent ne pas être
soumis au contrôle de la CNIL. Mais, la Commission peut néanmoins avoir accès à
certains fichiers dans le cadre de l’exercice du droit indirect. Elle va alors
désigner un membre qui aura pour mission de mener les investigations auprès des
responsables du traitement dudit fichier, afin d’en vérifier la conformité.
Lors d’un contrôle, si la CNIL relève des manquements
suffisamment importants, elle peut prononcer une sanction, comme cela a été le
cas en 2021, le ministère de l’Intérieur s’étant vu administrer deux sanctions publiques : la première
portait sur l’utilisation
illicite de drones équipés de caméra pour surveiller le respect du
confinement ; la seconde, sur la mauvaise gestion du Fichier automatisé
des empreintes digitales (FAED), avec une demande de mise en conformité.
L’encadrement des fichiers à l’échelle européenne
En parallèle, le Comité européen des protections des
données (CEPD), et avant lui le Groupe de l’article 29, mène des investigations
à l’échelle européenne et émet toute une série de conseils qui sera ensuite
portée par le Parlement européen. Ce dernier est également compétent pour
contrôler les fichiers d’Europol.
En la matière, le CEPD veille à la bonne harmonisation
des pratiques mise en œuvre dans l’UE, et publie à ce titre certaines lignes
directrices portant sur les différents points d’intérêt.
En outre, la Cour européenne des droits de l’homme veille
elle aussi et rend régulièrement des décisions en matière de données
personnelles et de fichiers de police et de renseignement. Elle vérifie
l’encadrement légal du fichier, c’est-à-dire si la clarté et la proportionnalité
du régime juridique du fichier répondent au but poursuivi.
Dans ces arrêts, la Cour est relativement sévère, note
Yoann Nabat, la France ayant déjà été condamnée plusieurs fois, notamment
concernant le FNAEG, en 2013, car elle prévoyait dans ce cadre la même période
de conservation des données (ici des empreintes génétiques) quelle que soit
l’infraction. La CEDH a alors relevé cette disproportion, notifiant, à l’instar
du Conseil constitutionnel et de la Cour de cassation, qu’il fallait
différencier cette durée. Mais la CEDH n’a pas de pouvoir de contrainte sur les
États, aussi, la France n’a apporté une modification quant
à la durée de conservation de ces données qu’en… 2021.
Le RGPD et la directive « Police-Justice »
On connaît le RGPD, ou Règlement général sur la protection des
données, qui a vocation à s’appliquer à l’ensemble des traitements de données à
caractère personnel dans les États membres, à la fois dans le secteur public et
le secteur privé. Mais on connaît
moins la directive « Police-Justice », l’autre partie qui compose le « paquet européen relatif
à la protection des données à caractère personnel », qui s’applique
aux traitements « mis
en œuvre pour l’exercice
d’activités
qui ne relèvent pas du champ d’application
du droit de l’Union européenne, telle que les activités
de sûreté de l’État ou de défense
nationale », précise la CNIL. Elle
concerne donc le « traitement des données à caractère personnel par les
autorités compétentes à des fins de prévention et de détection des infractions
pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions
pénales, y compris la protection contre les menaces pour la sécurité publique
et la prévention de telles menaces ».
En raison de la spécificité de son champ d’application,
certains droits associés au RGPD ne se s’appliquent pas automatiquement à la
directive. C’est le cas, par exemple, du droit à la portabilité. Toutefois, le
droit de l’information sous réserve de possibles limitations (article 13), le
droit d’accès (article 14) sous réserve des limitations, entières ou
partielles, qui peuvent lui être apportées, notamment pour ne pas gêner les
enquêtes, éviter de nuire à la prévention et à la détection des infractions
pénales, etc. (article 15) ; ou encore le droit de rectification ou d’effacement
des données à caractère personnel (article 16), sont concernés.
Quels risques pour demain ?
La
question de l’usage des données des fichiers est au cœur de la problématique.
On le constate aujourd’hui, notamment outre Atlantique, la frontière entre les
grands acteurs capitalistes et les grands acteurs de la sécurité tend à se
réduire. Dans un dossier concernant un avortement illégal, et ce avant la
décision de la Cour suprême revenant sur l’arrêt Roe vs Wade et laissant les
Etats américains libres d’interdire l’IVG, Facebook aurait fourni à la Justice
américaine des messages privés issus d’un échange entre une mère et sa fille.
Sans parler du contrôle social et le crédit social instaurés par la Chine, main
dans la main avec les grands acteurs économiques chinois. Aussi, Yoann Nabat le
constate : « On ne peut plus séparer surveillance privée pour un aspect
commercial et surveillance publique pour des raisons sécuritaires »,
Il
demeure donc un risque quant à l’usage que l’État fait des données, d’où
l’importance d’un encadrement strict. En effet, le développement de la
biométrie est corrélé à celui des caméras de vidéosurveillance, faisant
craindre une surveillance importante organisée par l’État. « Peut-être demain,
à l’image des plaques d’immatriculation, on pourra, par ce biais, être reconnu
en train de faire une infraction et recevoir une amende directement chez soi.
C’est ce qu’on appelle la vidéoverbalisation, possible via une interaction de
fichiers », développe l’universitaire de Bordeaux.
Chacun
est donc concerné par ce débat, et pas seulement les personnes condamnées.
Surtout que les fichiers de police administrative et de renseignent tendent à
se développer plus vite que les fichiers judiciaires, mieux encadrés, souligne
l’universitaire.
Une
première réponse, pour Marion de Gasquet, serait de s’assurer d’une meilleure
connaissance des citoyens de leurs droits dans le traitement de ces données :
le droit d’accès, le droit de rectification, le droit d’effacement. « Les textes le permettent », conclut-elle.
1) Décret n° 2016-1460 du 28 octobre 2016.
2) Les empreintes digitales des enfants de moins de 12 ans ne sont pas recueillies.
Constance Périn