La future bête noire des internautes après HADOPI, dont le projet de loi a été déposé en conseil des ministres le 27 mai 2009 , répond au doux patronyme de "Loi d'Orientation et de Programmation pour la Sécurité Intérieure" (LOPSSI, LOPSI), et consacre un élargissement tous azimuts du principe de récupération, de conversation des privées, ainsi que de croisement des différents fichiers par les forces de police.

Il est difficile de savoir par où commencer tant la liste est longue: heureusement, un organisme bienveillant, créé par l'Etat et chargé, encore et toujours, de la protection des citoyens, veille en toute impartialité. Voici ses conclusions, que j'ai ajouté après chaque article important, le tout transposé dans une version un peu plus lisible:

- La LOPSSI consacre comme un droit d'enquête le fait de capter les données présentes sur un ordinateur et consultées par son propriétaire, et cela pratiquement sans exception, étant donné que la rédaction de l'article 706-102-6 est d'un flou exemplaire quant aux limites liées, par exemple, au secret des dossiers se trouvant chez un avocat ou un huissier.
Avis de la CNIL: article mal formulé. Merci de revoir votre copie avec des bornes plus claires à l'intrusion policière dans les données privées.

- Les articles 2 et 3 apportent une extension supplémentaire au FNAEG, l'adorable Fichier National des Empreintes Génétiques. Qui sera maintenant dans le fichier? Les cadavres, quand il y a recherche de la cause de la mort ou un problème d'identification, et les empreintes génétiques des disparus. Par extension, on y apporterait, avec leur consentement, les empreintes des ascendants, descendants et "collatéraux" (sic).
Avis de la CNIL: cet article, bien que sans doute fondé dans son but, élargit les objectifs du FNAEG, qui de fichier judiciaire, devient un fichier général d'identification. Les données collectées à des fins d'identification devront donc être, conformément à ce qui est énoncé dans le projet de loi, conscieusement effacées.

- L'article 4 revient sur la procédure de contrôle des ces données par l'autorité judiciaire: un magistrat, nommé par le ministère, devra s'assurer que les données prises en compte par les articles 2 et 3 servent bien aux fins prévues et sont correctement effacées par la suite.
Avis de la CNIL: procédure complexe, risque de confusion avec le rôle du procureur, et mission de contrôle des données privées qui ... empiète sur notre boulot. Alors ça, non!

- Mais le pire est à venir, et c'est là sans aucun doute la coeur de cette loi fourre-tout: le projet introduit une révision de la loi du 18 mars 2003 sur la sécurité intérieure, qui a pour but d'étendre le fichage aux personnes effectuant des peines de plus de 5 ans de prison, et non plus pour des crimes exceptionnels; pire encore, il s'agirait de garder les données personnelles de toute personne, témoin compris, cité dans une affaire judiciaire. Ajoutons que ce fichage pourrait dorénavant être mis en oeuvre, en plus de la gendarmerie et la police nationale, par les services des douanes.
Ici l'avis de la CNIL mérite d'être cité in extenso tant il fait froid dans le dos:

"Sur le plan des principes, la Commission demeure extrêmement réservée sur la mise en œuvre d’une telle extension.
Elle tient toutefois à rappeler que, dans l’hypothèse où les dispositions précitées venaient à être adoptées en l’état par le Parlement, elle sera saisie pour avis de tout acte réglementaire portant création de ce type de traitements (contrôle a priori) et ne manquera pas de remplir ses missions en matière de contrôle sur place et sur pièces et de droit d’accès indirect (contrôle a posteriori) conformément aux dispositions de la loi du 6 janvier 1978 modifiée."

Un petit addendum à cet avis: la CNIL, vent debout contre une mesure qu'elle juge, à juste titre, absolument contraire aux principes de la Loi Informatique et Libertés , propose d'en devenir le gardien impartial.

- L'article 5 porte sur l'extension de l'utilisation du FIJAIS, le fichier judiciaire national automatisé des auteurs d'infractions sexuelles. L'un des changements phares serait le libre accèes par la Police au fichier, sans en référer préalablement à un magistrat, qui garde nénamoins le contrôle a posteriori. Il s'agit aussi , là encore, d'étendre l'accès au fichier, cette fois par l'administration pénitentiaire (je laisse au lecteur le soin d'imaginer ce que pourrait donner un libre par les gardiens de prison au dossier des délinquants sexuels incarcérés chez eux).
Avis de la CNIL: ce fichier est trop sensible pour ne pas faire l'objet d'un accès a priori restreint et d'un contrôle renforcé par l'autorité judiciaire, à revoir.



Voilà donc, commentés par la commission nationale informatique et libertés, l'ensemble des changements que va induire le voe d'une telle loi.

Qu'y-a-t-il de drôle, se dira-t-on sans doute, à énumérer cette litanie d'empiètement sur les libertés individuelles, cette abdication criante du judiciaire au profit du policier, cette automatisation dramatique du fichage? La pathétique impuissance de l'organisme suscité...car la CNIL, vous le savez, a été dépouillé de tout pouvoir contraignant en 2004, pour devenir un simple organisme consultatif.

Un petit rappel, pour être certain que tout soit clair quant à l'état de la protection des citoyens vis-à-vis des débordements qu'entraîne l'infomatisation de la société française: il s'agit, il s'agissait, du seul, de l'unique rempart dont disposait la société civile. Il en est aujourd'hui réduit à livrer des avis pertinents, alarmants parfois, mais sans aucun effet. Il ne s'agit pas d'une commission croupion, la liberté de ton des analyses rendues en témoigne; la CNIL d'Alex Türk ferait plutôt penser à une phrase de Bismarck:


La CNIL reste un orchestre de bon niveau, mais tout a été fait pour qu'elle ne puisse plus jouer qu'en sourdine.

Trouvé sur Polytic , un excellent site traitant des technologies de l'information et de la communication (dont nous reparlerons plus en détails dans un prchain billet), ainsi que des problèmes éthiques et politiques que pose leur généralisation.

L'article en lien, qui est en fait un fac-similé d'un colloque organisé en 2007 à la Sorbonne, traite des lois et mesures ayant suivi la loi de 78 jusqu'à nos jours.Et les lignes principales développées dans cette intervention sont, ô surprise, les mêmes qui ont justifié l'ouverture de ce blog. Ainsi l'évolution de la protection et de l'utilisation des données privées se serait faite en trois étapes:

-1 . Un transfert de pouvoir régalien à des acteurs privés:

Ainsi, la révision de la loi Informatique et Libertés intervenue en 2004 est-elle l'occasion d'un assouplissement vis-à-vis de la collecte de données privées par un opérateur non-étatique. Plus grave, le nouveau texte autorise l'externalisation des casiers judiciaires.

-2 . Une logique policière affranchie du contrôle citoyen:

cette partie reprend l'une des interrogations transversales de ce blog, qui porte sur l'automatisation de plus en plus systématique de mesures de la collecte ou des conséquences qui peuvent en résulter. Ici l'on se focalise sur l'exclusion de plus en plus évidente de la CNIL du processus décisionnel, jusqu'à la loi de 2004, qui supprime purement et simplement le caractère coercitif des décisions du comité, pour lui assigner un simple rôle consultatif.

-3 . Un climat de consentement social:

Pour les lecteurs réguliers du site Robocracy, le terme de "consentement" est assez familier. Ici l'analyse est plus libre, plus engagée que dans le reste de l'intervention, mais s'appuie là encore sur de nombreux éléments tout à fait probants. La conclusion fait toujours autant froid dans le dos, surtout quand elle est replacée, comme c'est le cas ici, dans un contexte historique: ainsi le projet de loi SAFARI avait-il, il y a 30 ans maintenant, déclenché un tel mouvement  de protestation que les députés revinrent totalement sur le texte pour protéger et encadrer, au contraire de ce qui était initialement prévu, les données privées. Aujourd'hui, chaque année, presque chaque mois, est l'occasion d'un nouveau recul sur ce sujet ( biométrie généralisée, multiplication des fichiers d'identification...), et personne n'en parle.

Pourquoi? La réponse est donnée dans chaque billet de ce blog; mais vous la trouverez aussi chaque fois que vous emprunterez les transports en commun, paierez avec votre carte bleue, ou ferez l'objet d'un contrôle de police. Parce qu'on vous le dit, on vous le répète: c'est plus pratique! C'est donc pour votre bien. Circulez.

Une news de Computerworld écrite en 2007 m'a rappelé que le parlement européen avait déjà commissionné un rapport d'expertise sur les puces RFID et leur impact sur la grand public, disponible ici . Sans rentrer dans les détails de ce dernier, dans la mesure où d'autres études plus récentes ont été menées, il est néanmoins très intéressant de survoler l'état des lieux qui y est dressé.

Le problème majeur, écrivent les auteurs du papier, n'est pas dans la technologie elle-même, mais dans la perception qu'en ont les citoyens. En effet, et c'est là que le point de vue développé devient vraiment intéressant, les utilisateurs ne verraient dans les puces qu'un "porte-monnaie électronique", passant donc totalement outre le fait qu'un très grand nombre de leur données personnelles (biométrie, historique des différents passages près d'une borne, numéro de compte en banque...)peuvent s'y trouver.


C'est bien là le coeur du problème que représente une technologie aussi invasive: l'absence de contrepoids critique, autrement dit, le consentement. Nous ne sommes pas informés, ce qui est grave; ce qui l'est plus encore est que nous ne demandons pas à l'être. J'ai ouvert ce blog en réction au manque criant d'information facilement consultable (hormis quelques sites et associations, consultez la rubrique "amis", évidemment en construction): ce vide ne vient pas d'un black-out imposé par les sociétés publiques ou privées, mais simplement d'un manque de mouvement de masse visible.
 Pour faire simple, tant que la protection des données privées n'est pas un enjeu électoral et/ou financier, les choses ne changeront pas.

Je laisserai le dernier mot à l'article de Computerworld, dont j'ai trouvé la chute très intelligente, avec une traduction maison:

"Les utilisateurs finaux devraient être capables d'avoir un contrôle sur la manière dont les puces RFID sont implémentées et savoir combien de données privées sont nécessaires pour chacun des opérateurs privés. Et les gouvernements doivent décider si les données rassemblées à travers les systèmes RFID doivent servir à des fins d'enquêtes".