Conservation des données de connexion : la CNIL protestataire inaudible
Le gouvernement Fillon remet sur le métier l'oeuvre inachevée de son prédécesseur. Le projet de décret sur la conservation des données permettant d'identifier tout créateur de contenu sur Internet, obligation qui s'impose aux opérateurs, aux FAI et aux prestataires d'hébergement (plate-forme de blogs, de vidéo comme YouTube ou Dailymotion, etc.
Le gouvernement Fillon remet sur le métier l'oeuvre inachevée de son prédécesseur. Le projet de décret sur la conservation des données permettant d'identifier tout créateur de contenu sur Internet, obligation qui s'impose aux opérateurs, aux FAI et aux prestataires d'hébergement (plate-forme de blogs, de vidéo comme YouTube ou Dailymotion, etc.), s'apprête à être publié, relate Les Echos, qui met en ligne le document. Il reprend dans les grandes lignes un texte qui avait provoqué une vive polémique l'année dernière, en raison de l'étendue des données à conserver. De nouveau, le décret se montre, en la matière, plutôt maximaliste : les adresses IP, les pseudonymes, le terminal utilisé, les coordonnées de la personne, les identifiants de contenu ainsi que les codes d'accès et mots de passe de connexion. Ce texte complète l'arsenal législatif mis en place à l'occasion de la Loi pour la Confiance dans l’Economie Numérique (LCEN).
La CNIL absente du débat public
Si le gouvernement attend encore l'aval du Conseil d'Etat pour publier son texte, les principales autorités concernées ont déjà été consultées. Et là surprise : alors que, sur pareil sujet, on attendrait volontiers l'expression de la CNIL (Commission nationale de l'informatique et des libertés), c'est l'obscure CSSPPCE (Commission supérieure du service public des postes et télécommunications, composée de parlementaire), qui alimente le semblant de débat public sur le sujet. Cette dernière dénonce le flou entourant les données à conserver et les « conséquences de l'empilement des textes sur la lisibilité et la cohérence des obligations imposées ». La CNIL reste muette et se contente de préciser sur son site Internet : « La publication de ce décret, accompagnée de l’avis de la CNIL, devrait prochainement intervenir. » Tout juste, Le Monde affirme-t-il que la Commission, créée en 1978 à l'occasion du scandale Safari, a émis un avis négatif.
La Commission s'insurge... a posteriori
Mais, pour connaître le contenu de l'avis de cette Commission chargée par nature de protéger les citoyens contre les atteintes à leur privée, à commencer par celles des services de sécurité de l'Etat, il faudra patienter... jusqu'à la publication du décret. Autrement dit jusqu'à l'entrée en vigueur du texte ! Ubu n'aurait pas fait mieux. C'est en effet toute la subtilité de la loi d'août 2004, présentée à l'époque comme une révision technique de la loi fondatrice de 1978. En réalité, celle-ci a bel et bien apporté des modifications cruciales au fonctionnement de la Commission, particulièrement par rapport au législateur. « On lui a rogné les ailes, observe Meryem Marzouki, la représentante de IRIS (Imaginons un réseau Internet solidaire), une association qui défend les droits des utilisateurs de réseaux électroniques. Depuis, à chaque fois que la CNIL a exprimé des réserves, le gouvernement n'a pas suivi ses recommandations. C'est le résultat de la diminution de son pouvoir de contrôle. » Depuis 2004, les fichiers intéressant la sécurité publique, la défense et la sûreté de l’Etat, c’est-à-dire les plus sensibles de tous les fichiers, ne sont en effet plus soumis à l'avis favorable de la CNIL. Même si la Commission désapprouve, le législateur peut publier son texte inchangé au Journal Officiel... accompagné de l'avis de la CNIL ! Histoire de faire bonne figure.
Le privé pour cible prioritaire
Tout se passe comme si la Commission, présidée par le sénateur UMP Alex Türk (qui fut aussi le rapporteur au Sénat de la loi de 2004, ci contre en photo), s'était muée en observateur désabusé des pratiques de l'Etat, pour se pencher sur les dérives des entreprises. « A l'occasion de cette refonte de 2004, la CNIL a perdu en contrôle de l'Etat, mais a gagné en contrôle du privé, reprend Meryem Marzouki. S'y ajoute une décision politique de Alex Türk de mettre le paquet sur le privé. » Non que ce travail sur les entreprises ne soit pas utile, souligne IRIS, mais il n'aurait pas dû s'effectuer au détriment de la mission première de l'institution. Avec 164 missions de contrôle en 2007, la CNIL a certes intensifié son travail sur le terrain. Mais elle n'a pas pesé sur le débat public.
Il est vrai que son budget, 10 millions d'euros environ, et son effectif d'une centaine de personnes ne lui permettent pas d'assurer pleinement ses missions. La CNIL est contrainte de mendier à l'Etat, qu'elle est censée par ailleurs contrôler, des enveloppes pour poursuivre sa mission. Résultat : une organisation débordée, croulant sous des demandes sans cesse croissantes. Logique, dans ces conditions, de voir Alex Türk réclamer « le doublement des moyens de la CNIL sur 5 ans » et la « sanctuarisation » de son budget. Mais on en est encore loin. Puisque l'existence même de la Commission est aujourd'hui remise en cause. En octobre 2007, dans son rapport au Président de la République, le comité Balladur sur la modernisation des institutions proposait benoîtement un enterrement en règle de la CNIL, dont les missions seraient confiées à un « défenseur des droits fondamentaux » élu par les députés. Depuis, la menace plane...
Alex Türk à la tête des « CNIL » européennes
Une pression constante qui met à mal la liberté d'action de la Commission. Peut-être son président retrouvera-t-il un peu d'oxygène à l'échelon européen, Alex Türk venant d'être élu président du G29, un groupe réunissant les « CNIL » des états membres. « Espérons qu'Alex Türk sera aussi offensif que le président allemand dont il prend la succession », encourage Meryem Marzouki. Même si le sénateur UMP indique vouloir avant tout « peser de façon plus opérationnel dans les débats avec les grands acteurs économiques multinationaux ». Espérons que cette feuille de route ne signifie pas une vigilance amoindrie sur les fichiers constitués par les Etats membres.