Management

La CNIL réclame des moyens et regrette des « échecs sanglants »

La présentation du rapport annuel d'activités de la CNIL par le sénateur Alex Türk, son président, a été l'occasion de justifier les demandes d'accroissements de son budget. Et de fustiger des « échecs sanglants » comme l'accord PNR avec les Etats-Unis.

Publicité« Depuis peu, mais seulement depuis peu, nos interlocuteurs commencent à comprendre pourquoi la CNIL se préoccupe de tous les sujets de la vie en société, à savoir parce que l'informatique est partout » a observé le sénateur Alex Türk, président de la CNIL (Commission Nationale de l'Informatique et des Libertés), lors de la présentation du rapport annuel 2006 de cette autorité administrative indépendante le 9 juillet 2007. Le rapport est d'ailleurs centré cette année sur la menaçante « société de surveillance » (biométrie, vidéosurveillance...) en plus des sanctions infligées aux entreprises indélicates qui se multiplient. Face à cette nécessaire omniprésence de la CNIL pour défendre les droits des citoyens, force est de constater que les moyens manquent. La CNIL est ainsi la moins dotée budgétairement de tous les organismes homologues dans l'Union Européenne (en moyens rapportés à la population parmi les 27 organismes du Groupe de l'Article 29, le G29) avec 9 millions d'euros et 95 agents. « Le Royaume Uni et l'Allemagne ont respectivement doté leurs « CNIL » nationales de 270 et 400 agents » dénonce le rapport. Le « plan Raffarin » de rattrapage permet certes une modeste augmentation des moyens (10 postes par an) depuis trois ans. Mais, face à l'accroissement considérable des besoins, Alex Türk réclame un doublement des moyens budgétaires et humains sur cinq ans. Alex Türk a regretté de ne pas être autant « à la mode » que son homologue de lutte contre les discriminations, la Halde (Haute Autorité de Lutte contre les Discriminations et pour l'Egalité). Une défense efficace des citoyens passerait ainsi par une dizaine de délégations régionales pour effectuer à la fois davantage de contrôles mais aussi plus de sensibilisation, les déplacements de commissaire étant clairement insuffisants. Alex Türk a ainsi regretté : « deux tiers des Français, et surtout les jeunes, ne sont pas sensibilisés au problème de la protection de leurs données personnelles ». Mais le budget annuel britannique pour effectuer des publicités pédagogiques est de 3 millions d'euros contre... seize fois moins pour la CNIL (soit environ 185 000 euros). Autre insuffisance constatée : les retards dans le traitement des dossiers. Alors même que des anomalies dans des fichiers de police comme le STIC sont régulièrement constatées, 3000 demandes d'accès indirect à ces fichiers sont en attente, certaines depuis 2004 ! « L'effectif que nous pouvons consacrer à ce rôle essentiel de la CNIL est de 1,5 temps plein » s'est plaint Alex Türk. Il a ajouté : « un jour ou l'autre, la CNIL commettra un raté grave dans son rôle de contrôle ou bien dans l'anticipation des problèmes potentiels liés à une nouvelle technologie ». D'une manière générale, l'activité de la CNIL a explosé de 570% en trois ans, selon son président. Et l'affaire PNR a également montré que même un avis unanime de toutes les autorités du G29 était insuffisant pour faire réfléchir les autorités européennes. Alex Türk s'est indigné : « L'accord entre l'Union Européenne et les Etats-Unis sur la transmission des données PNR par les compagnies aériennes aux autorités américaines est un échec sanglant pour les 27 membres du G29. Ce dispositif est une catastrophe pour la protection des droits des personnes. Chaque inquiétude que nous avions se réalise, que ce soit dans la nature des informations collectées, la gestion de la durée de conservation ou celle des droits d'accès aux informations. » Le président de la CNIL s'est d'autant plus déclaré « angoissé » que l'affaire Swift est en cours de traitement. Rappelons que la coopérative interbancaire Swift, qui réalise des transactions interbancaires internationales, dispose de deux serveurs redondants, l'un aux Pays Bas et l'autre aux Etats-Unis. Or les Etats-Unis exigent un accès complet aux données gérées pour « lutter contre le terrorisme ». « Il serait bien de tirer des leçons de l'échec sanglant sur le dossier PNR face à ce vrai problème de protection des données et le risque considérable d'espionnage économique » a martelé Alex Türk avant de s'interroger : « est-ce que les autorités de contrôle du G29 se feront mieux entendre cette fois ? » Autre enjeu international : la Francophonie. A la demande des chefs d'Etat au sommet de Ouagadougou, la CNIL s'est engagée sur une opération de coopération avec les autres états francophones. Des autorités homologues et des législations de protection des droits fondamentaux en matière de données privées sont ainsi en voie de constitution au Sénégal, au Mali, au Gabon... Au delà des grands dossiers internationaux, Alex Türk a rappelé le rôle essentiel dans le quotidien des individus. La « Base Elèves » de l'Education Nationale a marqué récemment les esprits. Ce fichier scolaire et social accessible de tous points du territoire est actuellement en cours d'étude par la CNIL. La réforme de 2004 a permis d'assouplir considérablement les procédures lorsque les dangers étaient faibles pour concentrer les faibles moyens de la CNIL sur les vrais problèmes. Mais la mise en application des changements voulus par le Législateur est à mi-chemin. En effet, il manque encore certains décrets d'application et d'autres n'ont été publiés que très récemment. La partie la plus visible de cette réforme est bien entendu la possibilité de sanctionner directement des entreprises ne gérant pas convenablement les données personnelles. « Pour certaines entreprises, un avertissement public voire faisant l'objet d'une publication obligatoire en presse aura bien plus d'impact qu'une amende pécuniaire » a remarqué Alex Türk. De fait, certaines banques ou établissements de crédit, par exemples, ont vu leurs images largement écornées... La réforme de 2004 a permis, également, de placer dans les entreprises et administrations un Correspondant Informatique et Libertés agréé par la CNIL. Fin 2006, 320 correspondants étaient référencés. Ceux-ci peuvent aider les DSI autant que les directions métier dans la mise en oeuvre de traitements de données personnelles en évitant des manoeuvres interdites susceptibles d'entraîner de lourdes sanctions pour leurs entreprises. Analyse du rapport de la CNIL par François Lambel Le rapport de la CNIL