Conservation des données de connexion à des fins policières : que fait la CNIL ?

C'est par ces mots sévères que la Quadrature du net commente la décision rendue par le Conseil d'État mercredi 21 avril. Le juge administratif valide ainsi la contrainte exercée sur les opérateurs de télécommunication pour qu'ils conservent de manière généralisée et indifférenciée les données de connexion des utilisateurs au nom de la « sécurité nationale ». Le juge administratif statue ainsi largement en faveur du gouvernement.

Il n'est pas question de revenir sur les risques que cette décision fait peser sur les libertés publiques. Les ONG, dont celle que nous venons de citer, se sont déjà suffisamment penchées sur cette question. Mais une remarque nous vient à l'esprit. Il est étonnant que l'autorité chargée de mettre en œuvre la législation sur la protection des données personnelles, la CNIL, soit si timorée sur ce dossier.

Le consentement « éclairé »...

On a en effet connu cette administration autrement plus zélée quand il s'agissait d'infliger des amendes à des firmes au motif que leurs services ne permettraient pas de certifier l'existence, chez ceux qui l'utilisent volontairement, d'un consentement « éclairé » au traitement de leurs données personnelles. Mais elle semble moins émue par l'usage de la coercition contre les opérateurs qui ne collecteraient ou ne conserveraient pas les informations exigées par le législateur et les agents de police.

L'individu qui prend la décision d'ouvrir librement un compte auprès d'un réseau social ou d'un service de messagerie exerce pourtant davantage son consentement qu'un opérateur de télécommunication qu'on menace de sanctions pénales s'il ne traite pas les informations qui intéressent le législateur et l'administration. En effet, à la différence du premier, les opérateurs de télécommunication n'ont pas le droit de se « déconnecter » des services de police et des renseignements qui exigeraient un prix trop élevé en matière de vie privée. Ils ne peuvent pas non plus souscrire à des services de police concurrents plus respectueux de la vie privée des utilisateurs.

Le laxisme de la CNIL est d'autant plus curieux que la finalité du traitement des données par les services de police présente, sur les libertés individuelles, un risque plus élevé que le traitement des données par des firmes. Les entreprises commerciales ne s'intéressent qu'à une masse indifférenciée de consommateurs pour lui communiquer des annonces publicitaires. Gageons que cette industrie est sensiblement moins dangereuse que le traitement des données par des acteurs dont le métier est essentiellement répressif.

... un consentement le plus authentique !

Bien sûr, il ne s'agit pas de dénigrer le principe même de l'usage des technologies de l'information pour lutter contre la grande criminalité. Mais cet usage doit se soumettre à de robustes contre-pouvoirs pour éviter le risque de dérives policières. On se souvient du mot de Montesquieu :

C'est justement pour opposer un contre-pouvoir à la surveillance gouvernementale qu'est née la CNIL dans les années 70. Son institution fait suite au scandale de la révélation du projet SAFARI, qui ambitionnait de centraliser toutes les informations des Français sur un seul et même fichier au service de la bureaucratie.

Or, au-delà de l'existence d'une « autorité administrative indépendante », le contre-pouvoir le plus authentique s'appelle le consentement. Dans le cas qui nous préoccupe, restaurer la liberté des opérateurs de traiter les données conformément aux vœux de leurs clients obligerait les services de police à motiver chaque demande de renseignement sur un individu présumé dangereux. Ce serait la seule manière d'articuler la protection de la vie privée avec les objectifs de sécurité, quitte à ce que cette liberté oblige les pouvoirs publics à négocier avec les entreprises du secteur des technologies de l'information et des communications, à l'instar des rapports de force entre le FBI et Apple que décrit régulièrement la presse. La CNIL osera-t-elle alors rappeler son employeur à l'ordre ?