Le propre des fichiers de police est de n'être jamais rassasiés, l'enquête policière revendiquant toujours plus d'informations et précisions. Il est une autre caractéristique de la plupart d'entre eux partagés par le STIC (Système de traitement des infractions constatées) : être créé et fonctionner clandestinement avant d'être légalisé a posteriori.

Du néant à l'existence légale, le chemin est long, sept ans s'agissant du STIC. Il s'avère tout aussi tortueux au point que l'on peine à recenser lois sécuritaires, décrets et circulaires qui trouvent à s'appliquer à ce fichier fort décrié mais dont le principe n'a jamais été remis en cause.

Créé en 1994, le STIC a fonctionné en violation de la loi Informatique et libertés avant de recevoir un avis favorable de la CNIL en 1998 assorti de quelques réserves. Son existence repose sur le décret du 5 juillet 2001 modifié par celui du 14 octobre 2006 qui prend en compte les dispositions de la loi du 18 mars 2003 pour la sécurité intérieure (LSI). Ses modalités de contrôle ont été abrogées par la loi du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (dite LOPSSI). Un décret du 4 mai 2012 pris en application de cette loi et signé par le ministre de l'Intérieur Claude Guéant, quelques jours avant le changement de majorité, prévoit la suppression définitive des fichiers STIC et JUDEX (fichier d'antécédents de la gendarmerie) et leur fusion au 31 décembre 2013 dans un nouveau fichier « TAJ » (Traitement d'antécédents judiciaires). Celui-ci offrira de nouveaux outils d'analyse et de rapprochement parmi lesquels la reconnaissance faciale. Si les jours du STIC sont comptés, ses caractéristiques demeurent pour l'essentiel dans le fichier géant qui lui succédera. C'est là une raison suffisante pour y revenir.

Le STIC répertorie des informations provenant des comptes-rendus d'enquête effectuées dans le cadre d'une procédure pénale. Il recense tout à la fois plusieurs millions de personnes « mises en cause » dans ces procédures et victimes d'infractions.

Les personnes mises en cause sont définies comme celles « à l'encontre desquelles sont réunies, lors de l'enquête préliminaire, de l'enquête de flagrance ou sur commission rogatoire, des indices graves ou concordants rendant vraisemblable qu'elles aient pu participer, comme auteurs ou complices, à la commission d'un crime ou d'un délit ou d'une contravention de cinquième classe (...) ».

Sa consultation a été étendue aux enquêtes administratives par la Loi sur la sécurité quotidienne du 15 novembre 2001(LSQ) avant de l'être aux demandes d'acquisition de la nationalité française par la Loi sur la sécurité intérieure (LSI). Le Conseil constitutionnel a validé ce dispositif en énonçant « qu'aucune norme constitutionnelle ne s'oppose par principe à l'utilisation à des fins administratives de données nominatives recueillies dans le cadre d'activités de police judiciaire » (Décision n°2003-467 DC du 13 mars 2006). Une simple mention peut motiver un refus de recrutement pour un emploi « sensible », l'accès à certains locaux ou candidatures à des emplois publics. Et les conclusions hâtivement tirées d'une consultation du STIC a tôt fait de se révéler désastreuses pour les intéressés auxquels ce « casier judiciaire bis fantôme » attribue une manière d'indice de dangerosité. Tout porte à croire que les catégories telles que « travesti » ou « homosexuel » censés renseigner sur l'« état de la personne » participent de cette démarche. Au fil du temps, le recours à ce fichier s'est transformé en étape obligée sans grand contrôle et restrictions d'accès, ce dont témoignent les « fuites » et divulgations de fiches de quelques personnalités du spectacle.

Les commissions d'enquête sur son fonctionnement diligentées, notamment celle de la CNIL (Rapport au premier Ministre du 20 janvier 2009), ont fait état d'une situation alarmante : taux d'erreur considérable portant sur la qualification pénale des faits, taux d'inexactitude des fiches de 83 % pour les personnes mises en cause quand des victimes ne se trouvent pas fichés comme auteurs des délits. L'absence fréquente de transmission par les parquets des suites judiciaires (classement sans suite, non lieu...) nécessaires à la mise à jour du fichier conduit à maintenir des milliers d'individus dans un statut de suspect. C'est ainsi que le rapport sur les fichiers de police conduit par Alain Bauer évoquait avec un euphémisme remarquable certains « dysfonctionnements » attribués à l'absence d'informatisation des procédures judiciaires tandis que celui de la CNIL, pour décrire une situation proprement kafkaïenne, avançait des recommandations accompagnées de rappels à la loi. C'est également à la suite de ces investigations que le public découvrit qu'un fichier « CANONGE » développé dans le cadre du STIC rassemblait dans un même fonds documentaire le signalement de personnes recherchées déjà connues des services de police à partir d'éléments de signalement fournis par le témoin ou la victime. Le rapport Bauer suggérait d'ailleurs à son propos l'abandon du « type gitan » et une déclinaison plus « affinée » des 12 types raciaux existants. Mais le Conseil constitutionnel n'avait-il pas jugé dans sa décision sur les « statistiques ethniques » (Décision n°2007-557 DC du 15 novembre 2007) qu'un fichage obéissant à une telle classification était contraire à la Constitution ?

La durée de conservation des données relatives aux « mis en cause » est fonction de l'âge (mineur ou majeur) et de la gravité des faits qui ont pu être reprochés. En cas d'amnistie ou de non-lieu, l'effacement pur et simple des données est prévu par la loi sur indication du procureur de la République, sans toutefois que celui-ci soit automatique. Dans les autres cas, relax ou acquittement, le Procureur peut en décider autrement. En tout état de cause, sa décision est souveraine et insusceptible de recours. Reste également à assurer l'effectivité de l'effacement dont les rapports ont amplement démontré le caractère erratique.

De symposiums en propositions de loi, la question du « droit à l'oubli numérique » fait l'objet d'une actualité paradoxale. Car cette ambition, aussi louable soit-elle, s'accommode d'une mémoire policière hypermnésique et obèse dont le STIC est symptomatique et emblématique. Dans sa délibération du 24 novembre 1998 sur ce fichier, la CNIL relevait que la communication d'informations extraites de procès-verbaux de police plusieurs années après l'établissement d'une procédure pénale priverait d'effet les dispositions de l'article 775 du Code de procédure pénale qui énumèrent les condamnations dont la mention est exclue ou peut être effacée du bulletin n°2. Cette même aporie peut être relevée s'agissant d'individus ayant fait l'objet de simples rappels à la loi. Quel « droit à l'oubli » veut-on pour eux ?

http://presumeinnocent.com/abecedaire/f-comme-fichiers-de-police-le-stic/

SAAS = Software as a service. Il s'agit d'une évolution considérable et majeure. Mais il existe des difficultés juridiques qu'il faut anticiper à travers le contrat.

Difficultés : 1. garantir une qualité de services. 2. le respect de la loi informatique. 3. La confidentialité. 4. La propriété des éléments personnalisés par le client. 5. Le sort du contrat en cas de rupture, résiliation...

http://www.tvdma.org/intervenants/le-contrat-saas-lexis-nexis-forest-david

Podcast a été réalisé en partenariat avec LexisNexis.

Géolocaliser un salarié n'a rien d'anodin. Ce procédé peut conduire à des dérives, notamment s'il s'agit de contrôler le temps de travail. Quelques rappels pour éviter les sorties de route.

Les systèmes GSM/GPS qui permettent de connaître à un instant donné la position d'un salarié (« géolocalisation ») ont ouvert la voie à un contrôle étroit susceptible de porter directement atteinte à l'exercice de droits collectifs (droit syndical, droit de grève ...) et libertés individuelles (liberté d'aller et venir anonymement, droit à la vie privée). Trop souvent, l'employeur ignore les conditions de recours à ce procédé qui est encadré par la loi et, ce faisant, s'expose à des poursuites pénales et sanctions.

Un dispositif de géolocalisation installé dans le véhicule mis à disposition du salarié réalise un traitement de données personnelles au sens de la « loi Informatique et libertés » du 6 janvier 1978 dès lors qu'il permet de l'identifier directement ou indirectement. Par conséquent, ces traitements doivent être déclarés à la CNIL (« Commission nationale de l'informatique et libertés »).

Après consultations et discussions, la Commission avait adopté une recommandation, en principe non contraignante, qui cantonne la géolocalisation à un nombre restreint de finalités (par exemple : impératif de sécurité ou de sûreté, suivi et facturation d'une prestation), et l'écarte lorsqu'elle conduit à une surveillance constante, permanente et excessive du salarié, qui bénéficie en quelque sorte d'un « droit à la déconnexion ».

C'est essentiellement le contrôle du temps de travail qui, depuis plusieurs années, nourrit un contentieux judiciaire. Il a récemment conduit la Cour de cassation à préciser, à la suite de la CNIL, les conditions requises. La Cour rappelle qu'un tel dispositif ne s'applique pas pour un salarié disposant d'une liberté dans l'organisation de son travail. C'était le cas dans l'affaire qu'elle avait à juger dès lors qu'il pouvait organiser son activité selon un horaire hebdomadaire de 35 heures, à charge pour lui de respecter le programme fixé par l'employeur et de rédiger un compte-rendu journalier. Au-delà, cette décision contient un enseignement de taille : en reprenant les règles préconisées par la CNIL dans sa recommandation, la Cour de cassation leur donne in fine le caractère contraignant qui leur faisait défaut. Il en résulte pour l'employeur la nécessité de prendre en compte, non seulement les principes directeurs du droit du travail et de la loi « informatique et libertés », mais également les délibérations et recommandations de la CNIL qui inspirent le raisonnement du juge.

La Cour applique également les trois grands principes directeurs en matière de contrôle de l'activité salariale : proportionnalité, information et respect de la finalité déclarée à la CNIL, qui concernent évidemment à la géolocalisation.

En premier lieu, les restrictions aux droits et libertés des salariés doivent être justifiées par la nature de la tâche et proportionnées au but recherché conformément au Code du travail. Ceci conduit la Cour à exclure le recours à la géolocalisation pour contrôler la durée de travail des salariés dès lors qu'il existe un autre moyen pour ce faire, ce que recommandait déjà la CNIL.

En deuxième lieu, l'utilisation, à titre de preuve, de données provenant d'un système installé dans un véhicule professionnel requiert que le salarié en ait été préalablement informée et en ait eu connaissance. À défaut, les données recueillies et utilisées à titre de preuve ne peuvent lui être opposées, à l'appui d'une procédure de sanction ou d'un licenciement disciplinaire, par exemple. Or, dans cette affaire, le système, qui devait permettre l'étude du processus de production, avait bien été porté à sa connaissance, mais pas son utilisation à des fins de contrôle de la durée du travail.

Enfin, en utilisant un dispositif de géolocalisation pour contrôler clandestinement la durée du travail, l'employeur commet d'une part, un manquement grave qui justifie la « prise d'acte de la rupture » du contrat de travail par le salarié et d'autre part, un détournement de finalité du traitement déclaré à la CNIL, qui est pénalement sanctionné.

Les juges et la CNIL encadrent strictement l'usage du procédé. Celui-ci nécessite non seulement une analyse préalable des besoins et des risques mais également la mise en oeuvre des mesures adéquates de sécurité et d'archivage des données de géolocalisation qui peuvent être conservées 5 ans pour le suivi du temps de travail. Tout salarié doit pouvoir y accéder sur simple demande et en obtenir une copie, au-delà d'une simple information. Et les employeurs défaillants s'exposent à des sanctions. C'est ainsi que la CNIL a condamné l'un d'eux à une amende de 10 000 euros pour avoir refusé l'exercice de ces droits à l'un de ses salariés. On le voit, la mise en oeuvre de la géolocalisation est semée d'embûches. Elle requiert par conséquent une conduite prudente sur le terrain du droit.

http://www.reseaux-telecoms.net

18 février 2013

David Forest a été auditionné en qualité d'expert dans le cadre de l'étude " Vie privée 2020" conduite par la direction des Études, de l' Innovation et de la Prospective de la CNIL.

A l'occasion de la journée « vie privée 2020 », la CNIL diffuse le premier numéro des cahiers innovation & prospective. Ce numéro est consacré à la synthèse d'une réflexion prospective sur les enjeux de la vie privée, les libertés et les données personnelles à horizon 2020 menée au cours d'entretiens avec des experts du numérique, d'horizons variés.

Le premier numéro des cahiers IP est consacré à la restitution d'un chantier prospectif qui a été lancé à l'automne 2011 par la direction des études, de l'innovation et de la prospective (DEIP) de la CNIL, sur le thème : « la vie privée, les libertés et les données personnelles à horizon 2020. Quels enjeux de protection, de régulation pour la CNIL ? Représentations, perceptions et attentes des acteurs.» ce chantier a consisté à réaliser, de septembre 2011 à avril 2012, plus de quarante entretiens auprès d'experts d'horizons variés : sociologues, économistes, philosophes, juristes, historiens, chercheurs en sciences de la communication ou en sécurité informatique, représentants du monde de l'entreprise et d'associations intervenant dans le champ du numérique ou de la défense des droits.

Il s'agissait de :

- doter la CNIL d'une analyse des représentations externes des transformations clés qui devraient interagir sur ses domaines d'intervention à l'horizon 2020 ;

- confronter ces représentations externes aux perceptions de la CNIL (par exemple au travers de débats, événements et journées d'études comme la journée «vie privée 2020») ;

- associer les experts aux travaux et réflexions prospectives de la CNIL dans un esprit de dialogue constructif.

Une grille d'entretiens a été établie sur la base de questions ouvertes, prenant en compte

la perception des évolutions majeures (technologiques, économiques, sociétales...) dans le champ de la vie privée, des libertés et des données personnelles : tendances, incertitudes et ruptures possibles ;

les transformations en cours et à venir de la relation des individus et de la société à la vie privée et aux données personnelles ;

la vision des experts sur les formes de régulation à venir, leurs attentes et leur lecture du rôle futur des autorités de protection des données

En fonction des acteurs, leurs projets, leurs orientations dans le champ concerné.

Ce cahier IP n'a pas vocation à être un document prospectif définitif et exhaustif autour du vaste sujet «vie privée 2020» ou à exprimer la doctrine de la CNIL. Il vise plutôt à offrir un panorama dynamique des visions contrastées des grandes transformations à l'oeuvre.

Consulter l'étude :

http://www.cnil.fr/fileadmin/documents/Guides_pratiques/Livrets/Cahier-ip/cnil_cahieripn1/index.html

Avec Olivia Flipo, avocate, docteur en droit

Le « Bring Your Own Device » (BYOD) ou « la consumérisation de l'informatique » désigne le phénomène d'utilisation croissante, principalement chez les cadres, des terminaux mobiles personnels (smartphones, tablettes, portables, notebook) pour des usages professionnels. Les directions informatiques sont unanimes, le BYOD est une lame de fond qui promet d'atteindre toutes les entreprises et qui concerne déjà beaucoup d'entre elles.

Ses avantages sont nombreux : disponibilité et réactivité, transfert du coût de l'équipement sur le salarié qui en est propriétaire, gain de productivité... Mais les risques engendrés le sont tout autant : non respect de la durée légale du travail, accès par un tiers non autorisé (vol, perte) ou contamination du système d'information par introduction de virus, divulgation de données confidentielles et au-delà perte de contrôle de l'outil de travail par l'employeur.

Comment alors gérer la flotte de ces terminaux mobiles devenus de facto postes de travail ? Comment optimiser ce phénomène ? Deux leviers indissociables peuvent permettre de « reprendre la main » : la technique et le droit. Le premier levier relève des DSI chargées de sécuriser le système d'information. Les éditeurs de logiciels proposent ainsi des solutions applicatives pour créer au sein du terminal un espace dédié à l'entreprise. Le second levier suscite, pour l'heure, perplexité et interrogations, d'autant que le juge ne s'est pas encore prononcé sur le BYOD.

Dans ce nouveau contexte, l'employeur est-il encore en mesure d'exercer son pouvoir de contrôle qui découle du lien de subordination ? Au fil des décisions, la jurisprudence a établi que l'outil informatique mis à disposition du salarié au temps et au lieu de travail est présumé avoir un caractère professionnel. En conséquence, l'employeur peut accéder aux dossiers et fichiers stockés dans certaines limites (respect du secret de la correspondance privée et droit à la vie privée). Or, cette présomption se trouve radicalement remise en cause par le BYOD car le terminal, utilisé hors de l'entreprise et/ou des horaires de travail, n'est pas celui de l'employeur. Ceci porte à son comble la confusion entre les sphères personnelle et professionnelle. Et le règlement intérieur est de peu de recours dès lors qu'il ne s'applique qu'au lieu de travail...

Traditionnellement, c'est la Charte informatique qui renforce la présomption de caractère professionnel par l'indication de consignes de sécurité et d'identification des documents (personnel/professionnel) opposables au salarié. Elle s'impose ici a fortiori comme une voie privilégiée pour encadrer ce nouvel usage : en décrivant les conditions d'accès et d'utilisation du système d'information de l'entreprise, en définissant de manière rigoureuse et précise la politique mobile de l'entreprise (types de données accessibles et/ou stockables, mobiles autorisés...), les modalités d'un contrôle à distance de l'appareil, en imposant des mesures de protection dès lors que le salarié souhaite accéder au SI via un terminal personnel et, enfin, en prévoyant des sanctions.

Au terme d'une inévitable réflexion dont il n'est plus possible de faire l'économie et qui implique nécessairement les directions tant les orientations à prendre sont structurantes, chaque entreprise fera le choix des mesures les plus adaptées compte tenu des catégories de salariés concernées par le phénomène, de la criticité des données et applications, des choix technologiques notamment.

Ce chantier à part entière doit impliquer et associer étroitement en amont la DSI, les RH et les représentants du personnel aussi bien que les utilisateurs. C'est à cette condition en mettant place au sein de la Charte informatique un Mobile Device Managment (MDM) que le BYOD pourra être apprivoisé.

L'Usine nouvelle , 27 septembre 2012

Editions Syllepse, 2009

Souvent décrite comme l'envers diabolique d'une « société de l'information » par ailleurs heureuse, la « société de surveillance » évoque une menace tout à la fois proche et lointaine, impalpable et incarnée dans la panoplie d'un attirail sécuritaire (tests ADN, biométrie, géolocalisation, puces RFID, vidéosurveillance, etc.) sans cesse renouvelé et perfectionné. Banalisation, miniaturisation et numérisation aidant, ces dispositifs qui nous « veulent du bien » ont grignoté l'espace urbain et les réseaux informatiques pour se fondre dans notre quotidien. Enterré sans fleurs ni couronne, l'anonymat a vécu, balayé par les forces conjuguées de la marchandisation de toute chose et l'extension sans borne du fichage policier sous couvert de lutte contre l'insécurité et le spectre terroriste. L'atonie des intellectuels et le verrouillage du débat public ont conduit au fil du temps à accorder une confiance inquiétante aux systèmes d'information.

Quelques en sont les causes et manifestations ? Comment et selon quelles logiques ces technologies sont-elles réglementées ? Qu'attendre de la Commission nationale de l'informatique et des libertés (CNIL) ?

Cet ouvrage se propose de réintroduire ces questions désertées dans le champ politique en retraçant la trajectoire de la régulation et l'accompagnement politique des technologies de contrôle, car il faut se convaincre que surveiller c'est punir.

La presse en parle :

"Un système panoptique, voilà ce dont David Forest, avocat spécialisé dans les technologies de l'information et docteur en science politique, discute dans ce précieux ouvrage adressé au « citoyen éclairé »."

Le Monde diplomatique , mai 2010

Emission "Service public" animée par Isabelle Giodano. Thème : "CNIL : sommes-nous trop fichés ?".

France Inter, 24 juin 2009

http://www.franceinter.fr/em/servicepublic/80828

Se procurer l'ouvrage :

http://www.amazon.fr/Abécédaire-société-surveillance-David-Forest/dp/2849502316/ref=sr_1_1?ie=UTF8&qid=1348418354&sr=8-1

À propos de : Ludovic Pailler, Les réseaux sociaux sur Internet et le droit au respect de la vie privée , Bruxelles, coll. Droit des technologies, Larcier, 2012

En 1993, un dessin de presse de Peter Steiner dans le New Yorker représentait un chien devant un écran d'ordinateur confiant au canidé assis à ses côtés : « Sur Internet, personne ne sait que tu es un chien ». Vingt ans plus tard, l'adage pourrait avoir gagné en précision : « personne ne le sait, mais les amis de ton réseau social connaissent la marque de ta pâtée préférée ». L'étude de Ludovic Pailler qui confronte réseaux sociaux et respect de la vie privée vient combler un manque car, en dépit de l'ampleur du phénomène, ce sentier n'a que peu été exploré par les juristes. Une jurisprudence pour l'heure embryonnaire ne les y a sans douter guère incités, et c'est pourquoi il faut saluer les quelques défricheurs qui ne redoutent pas les sables mouvants ni l'analyse prospective. Ce sentier gagnera à être emprunté par ceux qui ne le sont pas et s'intéressent à ces questions, notamment du côté de la sociologie des usages. L'auteur prend le parti de multiplier les pistes pour cerner d'un peu plus près les contours de « l'exposition de soi comme technique relationnelle », et les multiples dimensions du droit des réseaux sociaux, en concentrant son attention sur Facebook.

Tâche d'autant plus délicate en vérité que le droit à la vie privée est une notion à contenu variable précisée par la Cour européenne des droits de l'homme (CEDH) au fil des affaires. Partant, Ludovic Pailler se livre à son examen sous un double prisme. D'une part, la « vie privée personnelle » considérée de manière traditionnelle comme le « cercle de l'intime ». D'autre part, la « vie privée sociale », formule du Professeur Marguénaud, qui renvoie à sa dimension sociale au-delà de la « sphère personnelle ». Elle se comprend comme le « droit pour l'individu de nouer et développer des relations avec ses semblables » (CEDH, Niemietz/Allemagne, 16 déc. 1992). Ludovic Pailler soutient la thèse selon laquelle la « vie privée sociale » est adaptée au réseau social qui en retour la met à l'épreuve. Mais cette « convergence » se réaliserait au détriment de la « vie privée personnelle » qui, de son côté, entretient avec le réseau social un rapport « antagoniste » : intimité surexposée, confidentialité mal assurée, usurpations d'identité et de « profils » dont un juge français a déjà été saisi, redivulgation d'informations dans un cercle plus large, etc.

Au volet « social » de la vie privée répond le droit à une inscription effective qui n'est toutefois garantie ni par la loi ni par la jurisprudence. Son versant négatif, celui de ne pas s'inscrire, pourrait trouver un fondement dans un droit de ne pas nouer de relations avec ses semblables (CEDH, Musico/Italie, 13 nov. 2007). Reste à mettre ce principe au feu de la pratique en considération de la pression sociale et des contraintes professionnelles. Ceci posé, déboule une avalanche de questions qui sont autant de difficultés. Elles tiennent à la manifestation du consentement aux conditions d'utilisation, au caractère abusif de nombreuses clauses parmi lesquelles la faculté de résiliation unilatérale du réseau, au refus de l'anonymat ou à tout le moins d'une certaine confidentialité par l'usage d'un pseudonyme, à la difficulté d'appliquer la loi française ...

Il s'est agi alors pour la Commission national de l'informatique et des libertés (CNIL) de protéger l'internaute « contre lui-même » pour l'empêcher d'épuiser son « capital de vie privée », selon la métaphore adoptée par son précédent président. La réponse repose ainsi essentiellement sur le self-control d'internautes considérés comme autonomes, conscients, informés et perçus par le prisme du citoyen-consommateur. Pour le reste, la Commission avait admis ignorer tout ou presque de ces réseaux à l'échelle planétaire. C'est notamment le cas des techniques employées pour diffuser des publicités à partir du profil de leurs membres. Les informations sont si peu claires qu'elle a dû interroger Facebook sur la durée de conservation des données personnelles, les adresses IP traitées et les adresses électroniques des personnes invitées par un membre du réseau social afin d'évaluer les risques. L'autorité de régulation n'a pu que rappeler des principes aussi essentiels que l'information des personnes concernées sur la finalité des fichiers, les destinataires des données et l'existence d'un droit d'accès et de rectification.

Ceci conduit notamment l'auteur à plaider pour une « sociability by design » par analogie avec la privacy by design, c'est-à-dire une prise en compte du droit à la « vie privée sociale » par les fonctionnalités du réseau. Mais il y a loin de la coupe aux lèvres. Il n'est que d'évoquer les paramètres par défaut qui maximisent les atteintes et laissent l'utilisateur aux prises avec des réglages complexes, et parfois aléatoires, pour fixer le seuil de divulgation et déterminer l'étendue des relations autorisées (les « amis d'amis » qui tous ne vous veulent pas du bien). Et il aurait encore fallu rappeler que ce sont surtout et principalement les algorithmes qui, érigés en normes, déterminent les principes de régulation et fixent les « règles du jeu ». Il faut encore rappeler que les demandes d'informations adressées par la CNIL se sont révélées dérisoires et insatisfaites. Car la mondialisation des flux de données a partie liée avec l'essor de multinationales sans frontières ayant entrepris d'imposer leurs propres règles par le biais de l'autorégulation. L'imperium juridique heurte ici de front la quasi-souveraineté de véritables serpents de mer numérique. Ludovic Pailler aurait pu encore signaler que ces acteurs échappent à toute emprise légale, et accueillent encore avec la distance qui s'impose les vaines objurgations des régulateurs européens. Transparence de l'information, effectivité du droit, sécurité juridique... Autant de voeux pieux qui pour l'heure vont droit au « tout à l'ego ».

Questions de communication, n°22

La proposition de règlement du Parlement et du Conseil du 25 janvier 2012 qui révise en profondeur la directive 95/46/ CE sur la protection des données personnelles, inquiète. La CNIL en premier lieu, qui a immédiatement alerté les parlementaires français sur le dessaisissement programmé de ses prérogatives et la « provincialisation » de sa compétence. Il y a toutefois un motif d'inquiétude qui n'a guère été relevé par celle-ci ni davantage par les nombreux commentateurs, celui de « l'indépendance » attendue des « autorités de contrôle » (Régl. Chap. VI/section I).

Comment donner consistance à l'« indépendance » qui est le garant de l'action de la CNIL dans l'enceinte de l'administration rattachée par définition au pouvoir exécutif ? La CJUE a jugé que la soumission des autorités de contrôle et de surveillance en matière de données personnelles à la tutelle étatique heurte l'exigence d'indépendance dans l'exercice de leurs missions et, par conséquent, constitue une transposition erronée de la directive . L'Avocat général admettait toutefois qu'il n'était guère aisé de donner un contenu à l'expression : « en toute indépendance » (art. 28 dir. 95/46/CE) tant elle est imprécise. Ses conclusions invitaient à relativiser cette indépendance dès lors que la nature administrative de ces autorités n'est pas contestable, et de la limiter aux relations avec le pouvoir exécutif. Cet arrêt embarrassant, qui trace plus clairement les contours des Autorités administratives indépendantes (AAI), a conduit la CNIL à reprendre expressis verbis les termes de la Cour pour indiquer que la directive « n'impose pas aux États membres l'absence de toute influence parlementaire sur ces autorités de contrôle. Ainsi, les personnes assumant la direction de ces autorités peuvent être nommées par le Parlement ou le Gouvernement » . Sur ce point, la proposition de règlement fait de même (art. 48-1), et donne à la décision force normative. Jamais le Juge communautaire n'a été si proche du législateur.

Il n'en demeure pas moins, selon la CJUE, que l'autorité de contrôle doit bénéficier « [d']un pouvoir décisionnel soustrait à toute influence extérieure à l'autorité de contrôle, qu'elle soit directe ou indirecte ». En conséquence, tirant pleinement les enseignements de cette décision, la proposition de règlement fait interdiction à ses membres de solliciter ni accepter « d'instructions de quiconque » (art. 47-2). Certes, mais il y a lieu de constater qu'indépendance n'est pas synonyme de neutralité de même que rien n'interdit formellement le caractère politique de la CNIL. Mieux, tout l'encourage lorsque ses commissaires, pour beaucoup parlementaires désignés par le Parlement, d'autres nommés par le gouvernement, obéissent à la discipline partisane. Celle-ci conduit bien souvent à ce qu'un projet de loi critiqué par un commissaire-parlementaire dans l'enceinte de la CNIL fasse ensuite l'objet d'un satisfecit dans celle du Parlement. N'y a-t-il pas meilleur exemple d'« influence indirect » ? Si une récente réforme a prévu un régime de non cumul de mandats pour le président de la CNIL, ce qui témoigne d'une préoccupation réelle produirait tous ses effets en s'appliquant à tous les commissaires. Il y a donc pour le moins un hiatus entre le mode de désignation et l'indépendance attendue sinon un déni du réel ou un aveuglement singulier, comme si le droit pouvait ignorer la science politique.

Ceci conduit encore à s'interroger sur la présence auprès de la CNIL d'un commissaire du Gouvernement désigné par le Premier ministre qui, le cas échéant, peut provoquer une seconde délibération (art. 18 Loi du 6 janv.78). Cette disposition relativement méconnue doit être comprise ni plus ni moins comme une « instruction » du gouvernement enjoignant à « mieux voter ».

Enfin, la proposition de règlement retient comme gage d'indépendance fonctionnelle l'attribution de « budgets annuels propres » (art. 47-7). Là encore, le bât blesse. Car le budget de la CNIL qui dépend du ministère de la Justice, est rattaché à la mission « Justice ».

Les AAI ne sont plus à l'abri de la critique à en juger par les nombreux rapports parlementaires dont elle ont récemment fait l'objet. Et la réforme annoncée du Conseil supérieur de l'audiovisuel indique une volonté de clarification. Il est à souhaiter que la proposition de règlement, en dépit de sa relative prudence, prolonge ce mouvement et aboutisse à la refonte radicale de la CNIL.

Revue Lamy droit de l'immatériel , juillet 2012

Note :

(1) CJUE (grande chambre), 9 mars 2010, aff. C-518-07, Commission européenne c/ République fédérale d'Allemagne. L'article 28, § 1, al. 2 de la directive 95/46CE du 24 octobre 1995 dispose que : « [Les autorités publiques] exercent en toute indépendance les missions dont elles sont investies ». http://curia.europa.eu

« My mind is going, I can feel it »

HAL (ordinateur de « 2001 L'Odyssée de l'espace »)

L'aspiration à un "droit à l'oubli numérique" s'est fait jour avec le développement de la vie en réseau, le rôle prépondérant des moteurs de recherche et l'exposition de soi d'un nombre croissant d'internautes notamment sur le web social. Plus ou moins largement compris en fonction des intérêts des acteurs, ce droit réfléchit avec un éclat particulier les difficultés auxquelles se heurte la régulation d'internet. Les réponses apportées et les propositions avancées dessinent en creux la place du droit et de la loi à l'ère des réseaux.

Si le droit à l'oubli ne bénéficie d'aucune consécration en tant que tel, il se déduit de certaines dispositions législatives ou réglementaires qui en révèlent l'intention. Parmi celles-ci, la loi du 6 janvier I978 qui limite la période de conservation des DP (données personnelles) sans toutefois fixer de durée déterminée, et accorde à I'individu concerné un droit de rectification et d'opposition. Cette durée est déterminée par le responsable du traitement pour le temps nécessaire à la finalité pour laquelle les DP sont collectées. Cette préoccupation se manifeste, par exemple, dans la délibéra- tion de la Cnil concernant les modalités d'archivage électronique de DP dans lesecteur privé (délibération du 11 octobre 2005). Pour le secteur public, le Conseil d'État a jugé que l'absence de précision quant à la durée de conservation des données entache d'irrégularité une délibération d'un établissement public modifiant un traitement automatisé (1).

L'article 38 de la loi "Informatique et libertés", prévoit le droit pour un individu de s'opposer pour un "motif légitime" à ce que ses DP fassent l'objet d'un traitement, mais ne se confond pas avec un véritable droit de suppression. La proposition de loi dite "Destraigne-Escoffier" visant à "mieux garantir Ia vie privée à I'heure du numérique", adoptée par le Sénat en première lecture le 24 février 2010 (2), envisage pour l'essentiel de renommer ce droit d'opposition "droit de suppression", sans toutefois supprimer l'exigence d'un "motif légitime" inscrite à I'article 38 (3) .

Le droit à l'oubli ne ferait pas débat et se présente le plus souvent comme une évidence, un présupposé guère questionnable. Il est toutefois l'expression d'intérêts divergents. La loi "Informatique et libertés" les prend en compte en matière littéraire et journalistique d'une part, dans le souci de la recherche historique et de la conservation des archives, d'autre part.

En premier lieu, la loi sur les archives du 3 janvier 1979 qui pose le principe d'un "droit à la mémoire" impose une large obligation de conservation des archives publiques ou privées et, par conséquent, constitue un point de butée de la loi "Informatique et libertés". Une recommandation de la CNIL a tenté de la concilier avec la loi de 1978 (délibération du 10 mai 1988). Cette tension a trouvé à s'exprimer avec une acuité particulière à la faveur de la découverte en 1991 du "fichier juif" élaboré sous I'occupation et finalement versé aux archives nationales (4). La question s'était alors posée dans les termes suivants : fallait-il le détruire ou le conserver alors même qu'il contenait des DP "sensibles" ?

Le législateur a pris également en considération les risques d'entrave à la liberté d'expression et d'information. Ainsi, la loi de 1978 ne s'applique pas aux traitements mis en æuvre aux seules fins d'expression littéraire et artistique, et d'exercice à titre professionnel de l'activité de journaliste. L'article 9 de la directive n" 95/46/CE du24 octobre 1995 enjoint les États membres à garantir un équilibre dans leur législation avec la liberté d'expression. La CJUE a indiqué clairement eue toute restriction à cette liberté en application de la directive doit respecter le principe de proportionnalité (5).

Les demandes d'anonymisation ou de suppression en matière de presse illustrent la difficulté à appliquer ce "droit à I'oubli". Ce peut être le cas notamment s'agissant de reportages ou documentaires relatant des affaires criminelles passées. Si le Tribunal de grande instance indique que la faculté d'opposition de I'article 38 a bien "vocation à être invoquée au soutien d'une demande de suppression d'un article de presse ancien" (6) , la jurisprudence cortsidère par ailleurs qu'il est parfaitement licite de rappeler, plusieurs années après, la teneur d'une décision iudiciaire et cle débats alors portés à la connaissance du public par des comptes rendus (7) . Pour autant, la liberté d'expression interdit de retenir une "atteinte distincte de la violation de la vie privée sur le fndement d'un violation de la loi Informatique et libertés" (8).

La sociabilité du web 2.0 a rapidement constitué une des principales menaces au "droit à I'oubli numérique". Dans le but d'harmoniser les règles élaborées à l'échelon européen, le Groupe de travail de I'article 29 ("G29") a précisé dans un avis du 12 juin 2009 les règles auxquelles il souhaitait voir se conformer les réseaux sociaux, et conclu à l'application de la directive no 95/46/CE (9). Les autorités de protection européennes demandaient notamment à ces acteurs de supprimer les comptes restés inactifs pendant une longue période, d'accorder un droit de suppression des données aux personnes concernées, de proposer aux internautes d'utiliser un pseudonyme, et mettre en place un outil accessible aux membres et aux non-membres en page d'accueil aux fins de déposer des plaintes relatives à la vie privée. Le G29 avait enjoint les réseaux sociaux d'indiquer dans quelle mesure ils comptaient mettre en oeuvre ses recommandations tout en exprimant sa volonté d'auditionner les principaux d'entre eux.

Cette position de principe s'inspire de précédentes recommandations du 4 avril 2008 à l'endroit des moteurs de recherche (10). Celles-ci relayent une concertatiorr engagée entre les autorités de protection et les acteurs du nrarché. Outre ie rappel de I'applicabilité de ia directive no 95/46/CE, il leur était recomnrandé d'effacer les DP dès que possible, au plus tard à l'issue d'une période de six mois. Si la Cnil relevait "quelques progrès", dans I'attitude de Google qui réduit en septenlbre 2008 la durée de stockage à neuf mois, elle admettait ouvertement que la société sur le fond " refuse pour le moment de se soumettre à la légtslation européenne sur la protection des données " (communication du 17 septembre 2008) .

Dans la partie de son rapport annuel pour I'année 2009 intitulée " Les réseaux socioux et le droit a l'oubli ", la Commission tire le bilan de contrôles effectués auprès d'eux pour conclure sur un mode euphémique que " les durées de conservation ne sont pas systématiquement définies et sont porfois excessives" (11). La distance des acteurs se manifeste par la prééminence du rapport de négociations, et des concessions à la loi sous la pression des clients-utilisateurs. Aussi, plusieurs voies alternatives à la réglementation étatique sont explorées.

Le volontarisme gouvernemental en matière de promotion du droit à l'oubli privilégie la corégulation dans la lignée du plan "France numérique 2012" initié en 2008, qui recommandait de fàvoriser la soft law ("droit mou"). La signature, le 13 octobre 2010, d'une charte visant à rendre effectif "un droit à l'oubli sur les slres collaboratifs et les moteurs de recherche" sous l'égide du secrétariat d'État à la Prospective et au Développement del'économie nurtrérique, après concertation avec quelques uns de ses acteurs, confirme cette orientation (12). Elle vise. parmi de nonrbreux engagements à favoriser la mise en oeuvre du droit de suppression du compte et, plus particulièrement, à faciliter la désindexation de certains contenus.

Une autre voie réside dans I'adoption de solutions techniques. Parmi celles-ci, les privacy enhancing techologies (PET's), ces gestionnaires techniques de la vie privée prétendent ainsi établir un équilibre entre le collecteur de données et la personne concernée (13). La "privacy by design" consiste, pour sa part, à intégrer la dimension, vie privée et données personnelles, dès le stade de la conception des outils technologiques. Le rapport de l'association Cyberlex, qui réunit avocats et juristes, largement favorable à l'autorégulation, propose ainsi de consacrer ce concept à I'aide de normes internationales quitte à réintroduire in fine la loi dont il avait souhaité ledépassement (14).

Cette perspective, étrangère aux modes de régulation existants, est pour l'instant repoussée par le rapport Destraigne-Escoffier d'autant qu'elle laisse certaines questions en suspens : comment se souvenir de ce que l'on a dit à l'un et pas à l'autre ? Ne pas se contredire ? Au-delà du passage d'un droit centré sur la protection des individus à celui sur la maîtrise de ses données, cette réponse d'essence individualiste repose essentiellement sur le self-control de sujets contractants considérés comme autonomes, conscients et informés.

Revue Lamy Droit de l'Immatériel , avril 2011, n°70

Notes

(1) CE, 18 mars 2005 (Syndicat national de défense de l'exercice libéral de la médecine d'hôpital)

(2) destraign A.-M., Escoffier Y., La vie privée à l'heure des mémoires numériques, Sénat, Rapport n°441, 27 mai 2009. Voir Desgens-Pasanau G., A propos de la proposition visant à mieux garantir le droit à la vie privée à l'heure numérique, CCE, 2010, n°8, p.71

(3) Forest D., "Là-bas si j'y suis" ou les mirages du droit à l'oubli numérique, RLDI 2010/56, n°1876 contra Drouard E., "Internet et le droit à l'oubli numérique. Quels enjeux ? Quelles régulations ?, Megipress 2010, n°272, 2010, p.3-4

(4) Forest D., Le fichier juif en filigrane du débat sur les statistiques ethniques, Expertises, 2007, n°314, p.171-172

(5) La CJUE a apporté des précisions sur le prinicpe de proportionnalité applicable aux régles de protection des DP confrontés à al liberé d'expression dans son arrêt Bodil Lindqvist aux points 88 à 90 (Aff., n°C-101/01, 6 nov. 2003)

(6) TGI Paris, 25 juin 2009, Légipress 2009, n°266, III, p.215, note Mallet-Poujol

(7) Voir not. Cass 1ère civ., 20 nov. 1990, n°89-12580

(8) TGI Paris, réf. 12 oct. 2009; voir Le Clainche J., Droit des données personnelles et liberté d'expression : hiérachisation ou conciliation ?, RLDI 2010/56, n°1843

(9) "Opinion on online social networking", Article 29 data protection working party

(10) Avis n°1/2008 du "G29" sur les aspects de la protection des données liés aux moteurs de recherche", 4 avril 2008

(11) CNIL, Rapport annuel 2009, p.28

(12) Thiérache C., Le droit à l'oubli numérique : un essa à transformer, RLDI 2011/67, n°2188

(13) Voir Poullet Y., Mieux sensibiliser les personnes concernées, les rendre acteurs de leur propre protection, RLDI 2005/5, n°152

(14) Cyberlex;, L'oubli numérique est-il de droit face à une mémoire numérique limitée ?, 2010, www.cyberlex.org, pour une synthèse, voir Berguig M., Thiérach C., L'oubli numérique est-il de droit face à une mémoire numérique limitée ?, RLDI 2010/62, n°2039

« Dis moi ton nom ! » A la question du cyclope Polyphème, « Personne, voilà mon nom » répond Ulysse pour échapper à son sort funeste... (1) Longtemps, les individus ont été identifiés par leur nom, à telle enseigne que la loi Informatique et libertés adoptée en 1978, qui répondait alors à la peur du fichage administratif généralisé, avait pour vocation de protéger des informations qualifiées de « nominatives ». Depuis, le perfectionnement des techniques accompagnant la multiplication des procédés de surveillance et de contrôle parmi lesquels la biométrie, a nécessité une adaptation législative concrétisée par la transposition de la directive du 24 octobre 1995 et la réforme du 6 août 2004, qui introduit la notion de « données personnelles ». Depuis, toute organisation publique ou privée doit obtenir l'autorisation de la commission nationale de I'informatique et des libertés (CNIL) préalablement à l'installation d'un système biométrique sauf à répondre favorablement aux exigence s d' une autorisation unique (2) .

La CNIL a établi depuis près d'une quinzaine d'années des lignes directrices au fil de ses délibérations et avis qui ont pour objet d'encadrer la mise en oeuvre des dispositifs. Cette entreprise n'a pas empêché la contestation de ce procédé de contrôle qui, loin d'être cantonné aux industries sensibles et au monde de l'entreprise, a rapidement investi les collectivités publiques et le milieu scolaire. Le développement soutenu de ce marché prometteur et l'afflux de demandes adressées à la Commission, l'ont conduit à faire oeuvre créatrice en l'absence de législation spécifique.

Lire la suite dans Terminal , n°110, 2012

Notes :

(1) Homère, L'Odyssée, Chant lX, vers 357

(2) Autorisation unique 007 du 27 avril 2006 relative aux dispositifs biométriques reposant sur Ia reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail ; Autorisation unique 008 du 27 avril 2006 portant autorisation unique de mise en æuvre de dispositifs biométriques reposant sur la reconnaissance de I'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail; autorisation unique 009 du 27 avril 2006 relative aux traitements de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

A propos de : Pierre Piazza (dir), Aux origines de la police scentifique. Alphonse Bertillon précurseur de la science du crime , éditions Karthala, 2011

Il est certaines couvertures qui ont le don de résumer merveilleusement le propos d'un ouvrage. Que l'on en juge : un homme torse nu gît sur le sol, face contre terre, un éclat dans l'omoplate. C'est un cadavre photographié pour les besoins d'une l'enquête criminelle. Cette utilisation de la prise de vue strictement verticale répond au souci de neutralité de la « photographie métrique », qui permet d'établir et de conserver une image très détaillée des scènes de crime. Si l'on connaît principalement Alphonse Bertillon pour ses portraits signalétiques, on sait peu qu'il a concentré ses efforts sur l'enregistrement photographique des cadavres. La « cartographie du corps » qu'ambitionne Bertillon s'est ainsi également accompagnée d'une véritable topographie des lieux du crime résolument inscrite dans sa continuité.

L'ouvrage dirigé par Pierre Piazza a l'immense mérite de le rappeler et de mettre en lumière des aspects inattendus et peu explorés de ce qui est communément désigné par « bertillonnage ». Ce procédé qui a pris l'allure d'une véritable « science », repose sur la réalisation systématique de fiches signalétiques individuelles. Chaque fiche comprend au recto une double photographie de face et de profil, les observations anthropométriques, les renseignements chromatiques, les renseignements descriptifs. Il s'agit d'éviter tout signalement « neutre » pour faire « parler » le portrait, résume Stéphanie Solinas (p.72). Son invention porte la promesse d'un avenir sinon sans crime, dans lequel du moins l'impunité des criminels récidivistes n'aurait plus cours. Dans le cadre de l'action gouvernementale engagée à leur encontre, l'objectif de Bertillon est de pouvoir affirmer avec certitude l'identité d'un prévenu (p.71). À cette fin, il propose d'accéder à l'identité par des « traits infimes et involontaires » (p.75).

Ce sont ici quinze contributeurs qui, en fonction de leur inclinaison respective et de leur domaine de spécialité (socio-historiens bien entendu mais aussi historiens d'art ou plasticiens...), restituent les multiples facettes du « système Bertillon », de la naissance à son déclin au tournant du 20e siècle. Leur nombre ne parvient pas à empêcher quelques répétitions et doublons, ce qui est la loi du genre et ne nuit aucunement à l'ensemble. Un texte de présentation sous la plume de Pierre Piazza introduit chacune des parties pour la restituer dans un contexte général. Chaque contribution est encore accompagnée d'une riche iconographie. Archives de la préfecture de police et plaques anthropométriques, presse de l'époque, s'articulent au texte et projettent une lumière singulière sur celui-ci. On est en présence d'un ouvrage hybride qui empreinte à part égale au recueil savant et au « beau livre » illustré.

Qui est Bertillon ? Et d'où vient-il ? L'ascension stupéfiante du personnage prend l'allure d'une revanche. Cancre désespérant d'une famille riche en personnalités illustres, il commence simple commis aux écritures de la préfecture de police avant de devenir un acteur essentiel dans l'histoire de l'identification nationale, et accéder à une reconnaissance internationale.

L'appareillage policier constitué par Bertillon assume une logique d'identification des personnes qui a auguré de transformations radicales au sein de la police judiciaire. La connaissance de ces instruments apporte un éclairage précieux sur des questions éminemment contemporaines autant qu'elle indique l'existence de constantes. Ainsi, Martine Kaluszynski souligne qu'au 19e siècle comme aujourd'hui, c'est autour des différents éléments du corps, de leur mesure, de leur marques, de leur nature que se cristallisent la peur mais aussi la fascination (p.45). Ceci renvoi un écho à peine assourdi de préoccupations contemporaines. Il n'est que d'évoquer la biométrie, cette technique qui entend mesurer l'identité à partir de parties interchangeables du corps humain transformées en code numérique, et prend sa source à l'école du bertillonnage. Celui-ci a également une histoire longue qui méritait une étude par le prisme généalogique.

Stéphanie Sotteau Soualle évoque ainsi Ernest Appert qui fait figure de précurseur. Appert met en place un type de portrait systématique pour la presse qui brouille les frontières entre le portrait d'actualité et l'usage policier qui peut en être fait (p.69). Il s'agit au premier chef de permettre au public d'identifier ses nouveaux représentants. Le sujet est photographié de face, en buste essentiellement et les mains sont souvent visibles. Le modèle pose assis sur une simple chaise devant un fond blanc (p.58). Les évènements de la Commune de Paris provoquent « un point de rupture » qui opère un glissement vers un usage policier. La photographie devient un instrument efficace aux mains du pouvoir. Ceci conduit Appert à photographier les membres de l'Internationale en prison.

La menace anarchiste inscrite au coeur de la Belle époque a permis de renforcer singulièrement l'entreprise de Bertillon. L'identification de Ravachol en 1892 compte parmi ses grandes réussites. Elle conduit, par la suite, à proposer une harmonisation des pratiques au cours d'une « Conférence internationale pour la défense sociale contre les anarchistes » organisée à Rome en 1898, sans suite.

Il s'agit de distinguer au sein des classes populaires deux catégories d'exclus de la communauté nationale : les criminels et les étrangers (p.44) dans les murs et sur le territoire de la métropole aussi bien que dans l'Empire colonial. Ainsi, le carnet anthropométrique des nomades prévu par la loi du 16 juillet 1912, s'inscrit dans le prolongement des méthodes et des procédés du bertillonnage imposé aux criminels depuis le début des années 1880 (p.132). La loi prend en compte implicitement les « signes de race » afin d'imposer une forme d'encartement spécifique (p.44). Cette « spécificité française » (p.264) manifeste la volonté de ne pas cantonner les usages à des fins policières et à y recourir à des fins d'identification civile. L'identification anthropométrique s'est vue opposée en retour des stratégies de contournement et de résistance (p.270) mais, en tout état de cause, a traversé et marqué la mémoire tsigane (p.266). Ce système « répressif et xénophobe » a perduré près de 60 ans.

Si l'anthropométrie trouve un terrain d'élection dans les bagnes coloniaux (Nouvelle Calédonie, Guyane...), des services d'identification sont installés dans plusieurs villes de l'Empire colonial français. Ilsen About revient sur l'introduction de l'anthropométrie en Algérie entre 1890 et 1910. Elle participe d'une entreprise de définition de l'identité des « indigènes » liée à la « surveillance générale » des populations. Elle constitue également une manifestation du droit colonial notamment le « code de l'indigénat », et traduit en actes le principe de ségrégation sur lequel s'appuie l'administration coloniale.

Pour autant, l'efficacité et la légitimité de la photographie anthropométrique est mise en cause au tournant du 20e siècle par des questions organisationnelles et, surtout, l'apparition d'une double concurrence : la photographie judiciaire, d'un côté, la dactyloscopie (empreintes digitales), de l'autre.

Ainsi, la justice militaire la première applique systématiquement la photographie à l'identification des condamnés (p.174). Le service photographique de la préfecture de Police de Paris créé en 1872 photographie dans un premier temps les déférés au dépôt, cadavres non identifiés déposés à la morgue, aliénés retrouvés sur la voie publique (p.175). C'est ainsi que les clichés de la « Bande à Bonnot » largement diffusés en 1912 ne sont accompagnés d'aucun « portrait parlé ».

L'empreinte digitale apparaît comme la solution appropriée pour résoudre les problèmes de dissimulation, fausse déclaration d'identité ou d'usurpation d'état civil. Contrairement à l'anthropométrie, elle constitue un « identifiant unique » (p.123). Il y est recouru dans les années 1890 afin de constituer des systèmes alternatifs d'organisation de fichiers. Bertillon ne nie pas en bloc l'intérêt de cette dernière, mais s'attache à en pointer les limites. Surtout, il n'a de cesse de « manoeuvrer » pour que la dactyloscopie ne prenne le pas sur son invention (p.124), ce qui le conduit à élaborer peu à peu un système de classement mixte. Bien que supplantée par la dactyloscopie, la pratique de l'anthropométrie persiste pendant la seconde guerre mondiale.

Enfin, le parcours de Bertillon est aussi parsemé de cinglants revers, ce dont témoigne notamment l'expertise de l'écriture du bordereau aux origines de « l'affaire Dreyfus » qui lui est confiée. Intimement persuadé que Dreyfus a créé cette pièce (thèse de « l'autoforgerie »), il part de « la preuve à faire » pour expliquer la manière dont Dreyfus a écrit le bordereau (p.147). Son acharnement entache sa crédibilité au point qu'il y a désormais une « affaire Bertillon ». Il se trouve sévèrement attaqué sur ses capacités de graphologue, et ses interventions soulèvent de nombreux doutes.

Il n'en demeure pas moins que son procédé s'est exporté et a rencontré un intérêt à l'étranger, sans prendre toutefois l'allure d'une conquête. En effet, l'introduction du système anthropométrique en Amérique latine portée par le succès des théories de Lumbroso sur la « défense sociale », se heurtent à des « stratégies de résistance ». Le NYPD (service de police de la ville de New York) décide du recours au bertillonnage décidé en 1896 mais la référence européenne heurte la susceptibilité professionnelle des policiers américains.

Le déclin du bertillonnage est aussi rapide que son apogée. Mais l'intelligence des techniques qui le composent se trouve tout entière dans leur capacité d'adaptation et de reconversion (p.43). Pierre Piazza et plusieurs de ses auteurs en ont récemment montré les prolongements dans un autre volume collectif consacré à la biométrie (Ayse Ceyhan, Pierre Piazza (dir.), L'identification biométrique, Paris, Ed. de la MSH, 2011) et dont la lecture complétera fort utilement celle du présent ouvrage.

Questions de communication, n°21, 2012

Voir également :

http://www.criminocorpus.cnrs.fr/

http://avocats.fr/space/davidforest/content/biometrie-aux-mille-visages_05686179-87E5-4386-8CBA-0AE6D943A83A

À propos de : Daniel Kaplan, Informatique, libertés, identités , coll. La fabrique des possibles, éditions Fyp, avril 2010

La profusion d'essais traitant de la question des données personnelles à l'heure des réseaux témoigne d'un tropisme pour la spéculation qui, trop souvent, peine à masquer une méconnaissance profonde de l'économie politique de la loi Informatique et libertés et, plus généralement, un mépris de la question juridique conduisant à une impasse. Le court ouvrage issu des travaux de la Fondation Internet nouvelle génération (FING), think thank animé par Daniel Kaplan, s'inscrit dans une perspective pluridisciplinaire convoquant sociologie, droit et prospective technologique inspirée des ingénieurs américains. Reprenant les conclusions du rapport « Identités actives » de la FING, il les confronte à celles des sénateurs Destraigne et Escoffier (La vie privée à l'heure des mémoires numériques, rapport du 27 mai 2009) pour dessiner les possibles de l'identité et des libertés numériques en postulant que la vie privée associe « protection et projection de soi ».

Comment expliquer que les individus, tout en s'estimant préoccupés par leur fichage numérique, répugnent à se protéger ? À suivre Daniel Kaplan, ce paradoxe réside dans la « valeur » des données personnelles qui croît à mesure que se généralise le commerce électronique, et conduit à une comparaison coût/bénéfice. De fait, les « stratégies non écrites » des internautes s'inscrivent sous le signe de la négociation. Mais le refus des sénateurs Destraigne et Escoffier, approuvé par Daniel Kaplan, de transformer ces données en « droit de propriété », motif pris que l'identité est un attribut de la personnalité, apparaît selon nous comme un débat en trompe l'oeil. Si la loi Informatique et libertés ne traduit pas les droits sur les données personnelles en terme de « propriété », elle encadre pour l'essentiel leur utilisation sous forme de droit d'usage ou autorisation à titre précaire, le plus souvent en contrepartie d'un service. Leur forme marchande ne prête guère à controverse sauf à entretenir une confusion entre identité personnelle (« qui suis-je ? ») et données personnelles identifiantes (« comment m'identifier ? »). Les données personnelles sont une catégorie en expansion dont les sources toujours plus nombreuses favorisent le recoupement à mesure que progressent les techniques du data mining. L'identification rendue plus facile menace-t-elle pour autant l'identité ? Rien n'est moins certain.

La description d'un individu conscient négociant le périmètre de la vie privée, rusant avec les règles édictées par les entreprises marchandes, s'en accommodant au besoin mais en retirant dans tous les cas un bénéfice, paraît relever du voeu pieu autant qu'elle rejoint l'ambition des sénateurs de « rendre l'individu acteur de sa propre protection ». Si, le constat partagé est celui d'un dépérissement de la loi Informatique et libertés dans le cyberespace, l'auteur considère celle-ci comme essentiellement défensive et somme toute archaïque, force d'interposition contrariant le mouvement des flux de données, tout en rejetant l'autorégulation. La voie médiane proposée consiste à recourir à des « modèles » techniques en lieu et place des « limites » légales car « La vie privée, base de la vie publique doit cesser d'être l'affaire exclusive du législateur et des juristes ». Il s'agit de produire une norme adaptable au moyen de la machine (privacy enhancing technologies). Cette perspective jugée « la plus prometteuse » emporte le risque d'une escalade technologique dans laquelle l'industrie aura toujours une longueur d'avance, condamnant à une sous-protection permanente, sans même évoquer le « quart-monde technologique » écarté des solutions techniques. L'idée d'une gestion technique des droits d'accès et d'une substitution des normes techniques à celles du législateur n'est pas neuve. Ne devait-elle pas, y a une dizaine d'années, remédier aux difficultés d'application des droits de propriété intellectuelle sur les réseaux avant que les « mesures techniques de protection » ne soient clouées au pilori.

La gestion de ces « identités multiples » annonce le passage d'un droit centré sur la protection des individus à un droit sur la maîtrise de ses données. À la technique encore de donner vie à l'« hétéronymat » par l'usage généralisé de pseudonymes certifiés ou la construction de personnalités alternatives, et de permettre à un utilisateur de contrôler ses identités « partielles » en fonction des situations rencontrées.

Pour autant, cette perspective pour être encouragée laisse certaines questions en suspens : comment se souvenir de ce que l'on a dit à l'un et pas à l'autre, ne pas se contredire ? Surtout, comment ne pas redouter l'aliénation de ces « identités » d'un nouveau genre aux mains de « gestionnaires » spécialisés ou de logiciels investis de la négociation des droits et du calcul coût/bénéfices ? Ce n'est pas être technophobe que d'évoquer (aussi) ces craintes.

Expertises des systèmes d'information , juillet 2010

Avec Deborah Nakache, Avocat au barreau de Paris

Si l'employeur peut consulter les courriels non identifiés comme personnels par le salarié, il ne peut utiliser ceux qui relèvent manifestement de sa « vie privée », précise la Cour de cassation en juillet 2011.

Dix ans après le célèbre arrêt Nikon qui a solennellement affirmé le respect de « l'intimité de la vie privée » du salarié au temps et au lieu de travail (Cass. soc., 2 octobre 2001), les juges cherchent encore un équilibre, toujours précaire, entre intérêts antagonistes. Après avoir expressément interdit à l'employeur de prendre connaissance des messages personnels émis et reçus par ses employés, la Cour de cassation avait assoupli les conditions dans lesquelles celui-ci peut contrôler l'utilisation et le contenu de l'outil informatique. D'une part, elle a consacré une présomption de professionnalité : les dossiers, fichiers et tous les écrits reçus, créés, stockés sur le matériel informatique mis à disposition du salarié par l'employeur au lieu et au temps de travail sont présumés professionnels (Cass. soc., 15 décembre 2010) et peuvent être consultés même en l'absence du salarié. D'autre part, elle a admis la consultation des messages ou fichiers identifiés comme personnels en présence du salarié, voire en son absence si une convocation en bonne et due forme est restée sans réponse ou en cas de « risque ou événement particulier ».

Or, une récente décision de la Cour de cassation (Cass. Soc., 5 juillet 2011) paraît amorcer un retour de balancier en faveur du salarié, posant le principe suivant : un courriel non identifié comme personnel n'est pas toujours un message professionnel et, incidemment, ne peut servir à prouver le manquement reproché au salarié. Un cadre dirigeant avait échangé des courriels à caractère intime et des photos érotiques avec une autre salariée de l'entreprise, ce qui avait causé son licenciement. L'employeur avait contrôlé sa messagerie professionnelle en son absence et appliqué la « présomption de professionnalité ».

À première vue, faute d'objet ou indication du caractère personnel des messages litigieux, il y avait lieu de considérer que leur contenu n'était pas personnel. Cette identification suppose une volonté clairement exprimée par le salarié. À défaut, l'employeur qui prend connaissance des courriels est présumé de bonne foi. Il a ainsi été jugé que les seules initiales du salarié sur un document (Cass. soc., 21 octobre 2009) ou les mentions « essais divers » (Cass. soc., 15 décembre 2009) ne suffisent pas à lui conférer un caractère personnel.

Or, la Cour de cassation impose ici à l'employeur d'interpréter le contenu du message et de ne pas l'utiliser aveuglément. La teneur des courriels relevant manifestement de la « vie privée » du salarié, il ne pouvait les utiliser à son encontre.

Cette décision souligne l'intérêt d'une charte d'utilisation de l'outil informatique permettant de renforcer la présomption de professionnalité en définissant clairement les règles applicables et de réduire le risque contentieux. Elle prévoira utilement l'usage d'une mention particulière pour signaler documents ou correspondances privées ou encore le classement de ces messages, fichiers ou documents dans un répertoire spécifique.

L'Usine nouvelle, 17 novembre 2011

Aux États-Unis et dans les pays anglo-saxons, lors de la phase d'instruction préalable à un procès civil ou commercial («pre-trial discovery » ou « discovery »), une partie au litige peut exiger de l'autre la production de l'ensemble des documents internes qui présentent un intérêt pour l'affaire en cours, tout refus exposant à une décision défavorable. Cette procédure a été étendue aux informations conservées sous forme électronique (emails des salariés, contenu des disques durs et serveurs...).

L'internationalisation des échanges de données concerne également la recherche de preuves dans le cadre d'un procès à laquelle l'entreprise doit se préparer.

Elle concerne également les filiales françaises des sociétés américaines qui peuvent se voir ordonner de produire tout document utile à la prétention d'un adversaire. La France a ratifié la Convention de la Haye du 18 mars 1970 qui autorise un État contractant à demander par commission rogatoire à l'autorité compétente d'un autre État contractant de faire tout acte d'instruction, sous réserve que les documents recherchés aient un lien direct avec l'objet du litige et soient limitativement énumérés. À défaut, la loi du 26 juillet 1968 (« Blocking Statute ») s'applique. Elle protège les données stratégiques des entreprises et, en conséquence, sanctionne pénalement la communication de documents ou renseignements tendant à la constitution de preuves en vue de procédures judiciaires étrangères.

Face à une demande de e-discovery, les difficultés à adopter un comportement adéquat et respectueux des lois françaises, parmi lesquelles la loi Informatique et libertés, ont conduit la CNIL à adopter une délibération (n°2009-474 du 23 juillet 2009). Le recueil du consentement de l'intéressé, parmi de nombreuses préoccupations relevées par la Commission, se révèle d'une redoutable complexité. Selon la CNIL et le groupe de travail de « l'article 29 », qui réunit les autorités de protection des données personnelles européennes, les exceptions autorisant à ne pas recueillir le consentement doivent être systématiquement mises en balance avec les droits et libertés de la personne concernée, un salarié placé dans une relation de subordination ne pouvant en toute hypothèse exprimer un consentement libre.

À cette incertitude pratique s'ajoute le distinguo établi par la CNIL entre d'une part, « un transfert unique et non massif » d'informations pertinentes hors de l'UE requérant une simple déclaration au lieu d'une autorisation et d'autre part, « les transferts massifs et répétés » exigeant du destinataire l'adhésion au Safe Harbor, la mise en oeuvre règles internes contraignantes (« Binding corporate rules ») ou la signature des clauses contractuelles types adoptées par la Commission européenne. Quel volume d'information retenir pour caractériser un transfert « massif » d'informations ou encore un « flux important de données » appelant, selon la CNIL, une anonymisation ? Comment le déterminer ? On le voit, de nombreuses questions demeurent en suspend qui appellent des précisions autant que la mise en oeuvre de principes directeurs et procédures internes rigoureux.

L'Usine nouvelle, 27 janvier 2011

A propos de : Ayse Ceyhan, Pierre Piazza (dir.), L'identification biométrique. Champs, acteurs, enjeux et controverses , coll. praTics, Ed. de la MSH, 2011

La biométrie, cette technique qui entend mesurer l'identité à partir de parties interchangeables du corps humain transformées en code numérique, suscite des questionnements relativement récents. Plébiscitée par des acteurs publics et privés toujours plus nombreux qui y voient la solution la plus appropriée pour identifier des individus dans un environnement favorisant la mobilité, elle invitait sans conteste à une approche pluridisciplinaire. C'est ici le premier ouvrage collectif qui, au fil des vingt contributions, discute de ses multiples enjeux dans une perspective comparative tout en associant certains de ses acteurs industriels et en rompant ainsi avec les strictes assignations à résidence universitaire. Cette initiative inédite mérite d'être saluée tout autant que l'ampleur et la profondeur des travaux rassemblés. Chercheurs français aussi bien qu'étrangers issus de champs disciplinaires différents qui se sont intéressés à la biométrie, historiens, politistes, sociologues, juristes, économistes et hommes de l'art ainsi mobilisés ont croisé leurs savoirs et dressent un tableau composite propre à favoriser une intelligence globale de la question et mettre en exergue ses logiques (contrôle et surveillance, distinction/inclusion ...).

Il est vain de vouloir rendre compte en quelques lignes de ces contributions tant leur richesse est grande. On signalera toutefois l'intérêt de l'histoire d'une science de l'identification que brosse Vincent Denis. Celle-ci permet de prendre la mesure des liens entre les pratiques d'observation du corps, les supports pour recueillir les données et leur mode de classement mais également le substrat militaire puis pénal de ces pratiques. À partir de ce constat, Ilsen About retrace l'histoire de l'anthropométrie judiciaire et ses alternatives entre 1880 et 1930 ainsi que le passage du corps au chiffre. Il montre qu'un tournant s'est opéré à la fin du XIXe siècle entre des savoirs policiers sur le corps amplifiés et rationalisés, et une application à grande échelle du principe de classement des fichiers de police ou de justice par le corps.

L'économie de la biométrie est sans nul doute une zone aveugle des recherches qu'éclairent Nacer Lalam et Franck Nadaud en montrant l'importance des initiatives du complexe militaro-industriel et singulièrement de certaines entreprises, dans le développement des marchés aux États-Unis et en Europe où la commande publique soutient largement ce secteur. Gaëlle Deharo interroge les objectifs assignés à la biométrie en entreprise et les logiques de contrôle et surveillance qu'elle véhicule.

Sur un autre plan, Xavier Guchet étudie la diffusion croissante de la biométrie en milieu scolaire au miroir du concept de biopouvoir élaboré par Foucault. Mais c'est celui de « société de contrôle » théorisé par Deleuze et fondé sur le contrôle continu qui, selon lui, est davantage opératoire. Keith Breckenridge revient sur un événement largement ignoré : la mise en place au cours des années 2000 d'un dispositif d'enregistrement biométrique de la population au Nigeria notamment pour pallier aux défaillances de l'enregistrement à l'état civil facteur de crises politiques. La biométrie et sa régulation interrogent bien évidemment le droit de la protection des données personnelles issu notamment de la directive du 25 octobre 1995 et de la loi Informatique et libertés du 6 janvier 1978 qui à la faveur de la réforme du 6 août 2004 prend en compte la biométrie. La juriste Claire Strugala considère cette technique comme attentatoire à la « vie privée » en prenant en compte divers domaines concrets d'application. C'est ainsi que les garanties apportées par la loi de 1978 rencontrent rapidement des limites. Ainsi, le consentement de la personne concernée ou l'effacement des données ne sont pas sans poser des problèmes pratiques évidents tenant à la mise en oeuvre de cette technique. Au plan technique, Bernadette Dorizzi qui prend appui sur des campagnes d'évaluation, montre que la technique loin du mythe de l'infaillibilité, est source d'erreurs dues notamment à la variabilité du corps humain et de l'environnement.

La courte histoire de la biométrie est également celle de ses échecs. Clément Lacouette-Fougère rappelle celui du projet INES, la carte nationale d'identité biométrique initié par Nicolas Sarkozy en 2004 et démonte les ressorts de ces tentatives de légitimation. Ayse Cehan explicite les phénomènes d'acceptation en dépassant la seule approche marketing pour combiner les dimensions pratiques, symboliques et politiques. Pour autant, un front du refus de la biométrie est apparu en France au mitan des années 2000 dont Pierre Piazza dessine les contours et analyse les motivations.

Expertises des systèmes d'information , novembre 2011

En 1978, alors que la CNIL (Commission nationale informatique et libertés) était portée sur les fonts baptismaux pour répondre à la menace du fichage étatique, Simon Nora et Alain Minc dans leur fameux rapport sur l'informatisation de la société assuraient avec une naïveté rétrospectivement désarmante : « En cette matière, la qualité du tissu social, le pluralisme des forces et le jeu des contre-pouvoirs l'emportent sur les pièges liberticides dus à la technologie » (1).

La Commission a-t-elle répondu aux voeux formés par ses augures ? Entre bilan « globalement positif », auto satisfecit et déceptions, son histoire politique peu explorée reste à écrire, sa politique symbolique à étudier (2).

Véritable « clé de voûte » (3) du dispositif de protection des données personnelles mise en place par la loi « Informatique et libertés » du 6 janvier 1978, cette « autorité administrative indépendante » (AAI) est la première du genre. Mais la création de cette instance tierce entre l'État et les citoyens-usagers ne répond pas tant à l'ambition de protéger les libertés - rôle dévolu au magistrat-, que de constituer un garde-fou contre les immixtions de la technique dans la vie privée. Avec la généralisation de la micro-informatique puis la mise en réseau et la numérisation de la plupart des activités, la Commission s'est muée au fil du temps en une autorité généraliste dont la compétence trouve le plus largement à s'exercer.

Son action fait l'objet d'analyses qui dans leur diversité manquent leur objet. D'un côté, le positivisme partagé par de nombreux juristes conduit à s'abstraire de toute considération politique et jeux de pouvoirs pour ne retenir qu'un mécano de règles dans l'espace éthéré du droit, l'indépendance fonctionnelle de la Commission inscrite dans le marbre de la loi se donnant comme une évidence non questionnable. De l'autre, les militants ou journalistes pour revendiquer une posture critique glissent à la surface des évènements et discours en ignorant les logiques normatives. Entre ces deux pôles, un No man's land qui invite à une attention renouvelée sur les conditions d'exercice des missions de la CNIL et son positionnement dans l'espace institutionnel.

Indépendance fonctionnelle, dépendance politique

La CNIL est une « autorité administrative indépendante » a-t-on rappelé. Que faut-il comprendre par ce dernier terme ? Cette ambition ne se réduit-elle pas à un oxymore ?

« Ses membres ne sont pas soumis à quelque hiérarchie que ce soit » avait précisé la commission des lois du Sénat en novembre 1977. Un rapport de l'Office parlementaire d'évaluation de la législation doit toutefois admettre que « les Autorités administratives indépendantes portent une contradiction fondamentale : la Constitution plaçant l'administration sous l'autorité du gouvernement, comment une autorité pourrait-elle être indépendante ? » (4). Si l'absence de contrôle budgétaire est fréquemment présentée comme une garantie, le montant de ce budget, objet de doléances constantes de la part du président de la Commission, est à la discrétion du gouvernement.

Surtout, comment donner consistance à l'« indépendance » qui est le garant de son action dans l'enceinte de l'administration ? Comment encore prétendre à la « neutralité » lorsque ses commissaires, pour beaucoup parlementaires désignés par le Parlement, d'autres nommés par le gouvernement, obéissent à une discipline partisane ? La Cour de justice de l'Union européenne (CJUE) a jugé récemment que la soumission des autorités de contrôle et de surveillance en matière de données personnelles à la tutelle étatique, heurte l'exigence d'indépendance dans l'exercice de leurs mission et, par conséquent, constitue une transposition erronée de la directive du 24 octobre 1995 sur la protection des données personnelles (5). Cet arrêt embarrassant, qui trace plus clairement les contours des AAI en droit européen, a conduit la CNIL à préciser notamment que cette directive « n'impose pas aux États membres l'absence de toute influence parlementaire sur ces autorités de contrôle. Ainsi, les personnes assumant la direction de ces autorités peuvent être nommées par le Parlement ou le Gouvernement » (6).


Chargées de la police contractuelle dans un secteur déterminé, la plupart des AAI accompagnent le retrait partiel de l'État des secteurs régulés (audiovisuel, télécoms, énergie ...) au profit de l'autorégulation ou de la co-régulation. Selon Alain Supiot, cette « prolifération » aurait partie liée avec l'affaiblissement de l'État dont elles sont un « démembrement » (7). On retrouve ce terme pour témoigner d'une crainte dans le rapport d'information du groupe de travail paritaire sur les AAI (8). On peut y voir également des structures féales enchâssées dans l'appareil d'État, dont la fonction est de conduire la dérégulation comprise comme « la forme nouvelle de la régulation, non son contraire absolu » (9). Pour n'être pas une AAI sectorielle, la CNIL a pleinement participé à ce mouvement.

Si sa nature administrative n'est guère discutable ni discutée, sa légitimité a trouvé de nombreux défenseurs. André Vitalis a ainsi critiqué la réduction des AAI, et singulièrement la CNIL, à « un masque du pouvoir ». La Commission aurait conduit des arbitrages dont le gouvernement serait incapable, mené une réflexion et créé un espace de débats, voire de confrontations (10). Plus réservé, Herbert Maisl considère toutefois qu'elle a su faire preuve d'initiatives, et afficher clairement des positions contrariant le gouvernement (11).

Ces observations, pour mettre en garde contre toute critique unilatérale ou simpliste, tiennent à distance la question de la « neutralité » revendiquée par la Commission et rendent insuffisamment compte des mécanismes de représentation, entendue comme processus de d'identification/distanciation, de la circulation du sens et du travail des images à l'insu des acteurs dont Lucien Sfez a montré qu'ils marquent le point de départ de toute critique.

Aussi, l'étude de sa politique symbolique sur la longue durée éclaire une production d'images qui, opérant la « transformation des contraires » (12), donnent pour « indépendante », si ce n'est extérieure à l'État, cette administration para-étatique. Ces images symboliques mettent en scène la Commission autant qu'elles construisent l'arc de visibilité/invisibilité de la sphère étatique dans laquelle elle s'inscrit. La « contradiction fondamentale » de la CNIL trouve à s'exprimer et se déploie selon un mouvement en trois temps.

Premier temps : mise en scène du retrait étatique et invisibilité de la CNIL

Une première période s'étend du mitan des années 1970 à celui des années 1990 lors de laquelle de nombreuses AAI voient le jour à la suite de la CNIL (13).

La création de la Commission, qui procède d'une longue réflexion et maturation, intervient deux ans et demi après le rapport du Conseiller d'État Bernard Tricot en 1975, et près de dix ans après la première étude sur le thème « Informatique et libertés » confiée au Conseil d'État. En 1970 déjà, deux projets de loi sur le fichier des conducteurs et la réforme hospitalière alertent les parlementaires et l'opinion sur l'utilisation croissante de l'informatique par l'administration (14). Quatre ans plus tard, Le Monde titre « Safari ou la chasse aux Français » (15) en réaction au projet du mi- nistre de l'Intérieur, Jacques Chirac, de mettre à disposition de l'administration la totalité des informations enregistrées sur une même personne à partir d'un identifiant unique, le NIR (16). L'émoi considérable suscité provoque la suspension du projet et inspire la création de la loi Informatique et libertés qui investit la CNIL du pouvoir d'autoriser la mise en oeuvre de fichiers.

La Commission participe étroitement à la « mise en invisibilité » de l'État-panoptique perçu comme liberticide dans le contexte de « l'affaire Safari », et à une « mise à distance » de la société civile (17). Cette médiation par une instance tierce, nommée opportunément « indépendante », est aussi une mise en scène car la Commission rend visible le retrait de l'État (son « invisibilisation ») à l'intérieur même de celui-ci. « Le retrait de l'État - son autolimitation - doit être visible. L'État montre qu'il se neutralise après son ex- cessive visibilité (...) », constate Pierre Musso (18). Pour autant, la mise à distance rencontre ses limites, et cette ambition est à la peine, car la CNIL demeure peu visible voire invisible.

Les défaillances originelles que traduisent des pouvoirs et moyens insuffisants, ce dont témoigne l'absence prolongée de pouvoir de sanction financière, n'ont pas été rééquilibrées, ou sinon tardivement. L'action timorée de la Commission, quand celle-ci n'est pas purement et simplement ignorée par le politique, se manifeste à travers plusieurs « affaires ». Elles traduisent ses difficultés à donner de la voix et, en définitive, à imposer sa légitimité.

CNIL ignorée d'abord. Les travailleurs sont-ils fichés selon leurs opinions politiques chez Peugeot ? Le député Pierre Juquin en est persuadé et interroge en décembre 1979 le garde des Sceaux sur l'existence d'un fichier informatisé à l'usine de Bard qui, selon lui, note les salariés en fonction de leurs opinions politiques ou leur appartenance syndicale. Ces données « sensibles », auxquelles la loi Informatique et libertés a fait un sort particulier en raison de leur potentiel liberticide et ségrégationniste, font l'objet de la plus grande vigilance de la CNIL. Si l'affaire en reste là, elle comporte un enseignement de taille. En effet, ni Pierre Juquin ni Lionel Stoléru, secrétaire d'État auprès du ministre du Travail, n'ont invoqué les dispositions de la récente loi pourtant au coeur du débat. Silence qui en dit long sur le chemin à parcourir.

Action timorée ensuite. Dans les faits, la Commission a pris la ferme habitude de ne dénoncer au Parquet qu'une infime fraction des plaintes dont elle est saisie et, ce faisant, a instauré une pratique contraire aussi bien à la loi Informatique et libertés qu'au Code de procédure pénal (19). Il n'est donc guère surprenant que le bilan judicaire soit pour le moins décevant et le nombre de décisions rendues par les tribunaux correctionnels en matière « informatique et libertés » particulièrement faible. En l'absence d'information du Parquet et compte tenu de sa position, cinq ans après sa création, la CNIL n'a relevé en tout et pour tout qu'une seule infraction à la loi du 6 janvier 1978. La Commission dont le courroux n'est guère redouté car peu encouru, demeure surtout largement inconnue du public et de la plupart des entreprises.

Deuxième temps : retour de l'État-panoptique et autorégulation

Cette deuxième phase, qui conjugue impératif sécuritaire et dérégulation économique, doit être examinée sur deux versants.

Le premier, sécuritaire et policier, répond à un impératif de réglementation et de visibilité de l'action étatique. Le volontarisme gouvernemen- tal qui se manifeste au milieu des années 1990 provoque une crise de légitimité de la CNIL

dont la régulation de la vidéosurveillance dans les lieux publics et ouverts au public fournit un exemple topique (20). À l'issue d'un débat houleux et passionné, la loi d'orientation et de program- mation relative à la sécurité (LOPSI) du 21 janvier 1995 a écarté la Commission de la régulation de la vidéosurveillance au profit du préfet assisté d'une commission départementale consultative, alors que le Conseil constitutionnel saisi par des parlementaires de l'opposition avait estimé que le procédé constituait une réelle menace pour les libertés (21). L'objectif du gouvernement est alors d'éloigner la CNIL, à laquelle il reproche une conception trop extensive de ses pouvoirs. Celle-ci avait pourtant produit force arguments au soutien de sa compétence. Amputée d'une de ses attributions naturelles au profit du représentant de l'État, la Commission doit compenser le réinvestissement de la régulation des dispositifs de surveillance par le gouvernement.

Le second versant participe d'une politique économique libérale qui vise à ne pas contrarier l'essor de marchés émergents, notamment techno-sécuritaire, et le commerce électronique, en s'abstenant de réglementer (a-régulation) et/ ou en favorisant un transfert d'hégémonie normative vers l'entreprise (sous la forme de chartes éthiques, codes de bonne conduite, recommandations...). L'action de la Commission accompagne la politique de dérégulation qui « permet le passage de la régulation à l'autorégulation » (22), notamment via la « co-régulation ». Ce concept promu par le rapport du député socialiste Christian Paul (23) en 2000 a proposé d'éviter autant que possible de recourir à la loi en laissant différentes formes d'autorégulation « s'exercer là où elles suffisent à répondre aux attentes sociales », etde comparer dans un lieu d'échanges les bonnes pratiques pour les ériger en recommandation. La création du Forum des droits de l'Internet (FDI) a concrétisé ce voeu.

La co-régulation, à laquelle la CNIL a pris toute sa part, réalise une manière d'« hybridation » (24) de la loi et du contrat, les termes de la loi étant négociés en aval avec chacun de ses destinataires. Comment encourager la croissance du commerce électronique sans sacrifier à la loi Informatique et liberté ? La LCEN (Loi pour la confiance dans l'économie numérique) du 6 juin 2004 favorise l'association des syndicats professionnels du marketing, qui sont autant de groupes de pression, à l'élaboration de normes « souples » de conserve avec la CNIL en matière de prospection commerciale par courrier électronique (e-mailing). Celle-ci a ainsi délivré deux avis de conformité à la loi Informatique et libertés portant sur les codes de déontologie d'associations professionnelles dans l'espoir - rapidement déçu - d'endiguer le courrier électronique non sollicité (spam). Par ailleurs, l'interprétation de dispositions de la loi a conduit la CNIL à restreindre son champ d'application afin de ne pas brider le commerce électronique. Ce faisant, la Commission en est venue nolens volens à concurrencer le législateur dont elle apparaît parfaire le travail ex post (25).

Troisième temps : crise de légitimité et production d'images symboliques

Depuis plus d'une quinzaine d'années, le renforcement assumé des fonctions policières de l'État, marqué notamment par l'adoption de plusieurs lois anti-terroristes et dispositifs d'exception à intervalle rapproché, ne manque pas d'affaiblir la fonction de mise à distance dévolue à la Commission. Il lui faut donc sécréter des signes de légitimité comme autant de défenses immunitaires à l'égard de l'exécutif dont la survie de l'institution dépend, aussi bien qu'à l'endroit des citoyens.

La CNIL s'est solidement inscrite dans une tradi- tion de consensus et de négociation qui invite à ne jamais entrer en conflit frontal, à témoigner d'une attitude « souple et compréhensive » (26), donner des gages d'indépendance afin de maintenir son rang d'autorité sans contrarier outre mesure les ambitions de la majorité. Cet impératif se ma- nifeste par la production d'images symboliques consensuelles.

Il s'agit d'une part, d'établir une équivalence entre une « neutralité » intrinsèquement impossible et une « indépendance » qui l'est tout autant, et d'autre part, donner pour « indépendante », si ce n'est extérieure à l'État, une administration para-étatique en utilisant les ressorts de la com- munication. Celle-ci vise à placer l'institution à équidistance du pouvoir et des opposants à sa politique sécuritaire par un effet de discours et la production d'images symboliques qui sont autant de signes-signaux et symptômes de son impossible neutralité-indépendance. Ainsi, selon son Président, Alex Türk : « Par nature la CNIL est placée entre le marteau et l'enclume [...] Je dis souvent que si on se fait critiquer autant par les grands flics que par la Ligue des droits de l'homme, c'est vraisemblablement qu'on a fait notre boulot ... » (27). La Commission endosse ainsi tour à tour et simultanément les nombreux habits (« vigie », « contre-pouvoir », « gardien des gardiens », « empêcheur de tourner en rond »,« gêneur » ...) d'une fonction qu'elle n'est guère en mesure d'assumer.

À partir de 2007, les critiques des militants anti- sécuritaires se font plus vives (28) tandis que des pro- positions de réforme menacent directement son existence. C'est le cas du rapport de la « Commission Balladur » sur la réforme des institutions qui envisageait de confier les attributions de la CNIL à un « Défenseur des droits fondamentaux » (29) ou, plus récemment, du rapport sur les AAI qui suggère sa fusion avec des autorités sectorielles (30). Aussi, la Commission interprète sa remise en question comme un signe de défiance étatique confortant son indépendance alors qu'elle signe plutôt une crise de légitimite (́31).

La « contradiction fondamentale » dont la Commission est prisonnière se manifeste par une oscillation permanente entre la revendication d'un « renforcement » de ses pouvoirs à grandrenfort de communication, qui rencontre un relatif consensus dans l'opinion, et une « auto- limitation » de ses prérogatives afin de ne pas entraver l'action gouvernementale. Ainsi, la loi du 6 août 2004 qui transpose la directive du 24 octobre 1995 réduit dans de nombreux domaines les compétences de la CNIL, notamment en matière de création de fichiers de sécurité, dans le sens d'un abaissement du niveau de protection des données personnelles tandis que l'objectif de sécurité intérieure favorise une logique globale d'interconnexion des fichiers.

La lenteur du travail parlementaire, débuté en juillet 2001 sous le gouvernement Jospin, a peu contribué à éveiller l'attention des politiques et à susciter des débats alors que la révision de la loi de 1978 modifie profondément les missions et prérogatives de la CNIL.

Une tribune signée notamment par plusieurs de ses anciens membres s'inquiète ainsi d'une « indifférence quasi générale », à rebours des débats enflammés qui avaient entouré la loi de 1978 désormais gravement menacée par la réforme (32). Alex Türk, président de la CNIL, sénateur « non-inscrit » qui ne cache pas sa proximité de la majorité, et rapporteur de la loi au Sénat, concentre critiques et interrogations. Son amendement qui introduit un correspondant à la protection des données dans les entreprises en contrepartie d'une exonération de déclarations, a pu être regardé comme un abandon de la loi et un dessaisissement de la Commission. Surtout, le retrait de son pouvoir d'avis conforme sur les fichiers de police rencontre l'approbation d'Alex Türk, celui-ci y voyant même « un progrès » (33). La double appartenance, à la fois au parlementet à la CNIL, en vient à brouiller sensiblement la neutralité bienveillante que la Commission s'efforçait de réfléchir.

Pour maintenir la « mise à distance » à l'endroit du gouvernement, la CNIL produit des signes qui, dans le même temps qu'ils légitiment son indé- pendance (remontrances, avis nuancés, mises en garde... ), révèlent son impossible neutralité. Cet- te distance revendiquée varie en fonction du point d'équilibre entre sécurité et libertés, ou libertés et lutte contre la fraude, dicté par la politique gouvernementale à laquelle la CNIL ne s'oppose jamais frontalement au nom de sa « neutralité » (34). Son président justifie ce refus de « prendre parti », sinon position, par la nécessité de « sortir d'un discours binaire » (35) entre tout sécuritaire et ab- sence d'entrave aux libertés, pour s'efforcer de trouver un « équilibre entre les évolutions de la société et le respect des droits individuels » (36). Cette position revient en fait à occulter le soutien aux projets de loi du gouvernement de plusieurs de ses commissaires par ailleurs parlementaires, y compris lorsque celui-ci contredit la position exprimée par la Commission. Ce fut notamment le cas de la loi « Création et Internet » en 2009 dont le dispositif avait suscité les réserves de la CNIL38. Cette contradiction opère un brouillage qui contredit la fonction de mise à distance sur laquelle repose la légitimité de la Commission, au point de conduire en janvier 2011 le gouvernement à faire voter un amendement édictant l'incompatibilité entre la présidence de la CNIL et le mandat parlementaire39.

La communication, devenue forme globale de l'action de la Commission, opère le réajustement permanent de son image et produit du « consensus » en évacuant le conflit40. Cette communi- cation suractive s'articule autour de deux types de discours :

- d'une part, l'efficacité de la Commission sur le mode du satisfecit. Celle-ci se verrait toutefois contrariée par la défiance étatique à son endroit, qui se manifeste par un manque de moyens et de pouvoirs. À titre d'exemple, cette position se voit conforter par le refus persistant du gouvernement de l'investir du contrôle de la vidéosurveillance dans les lieux publics ;

- d'autre part, son impuissance sur le mode du lamento, qui la met à l'abri des critiques, no- tamment face à (i) l'explosion incontrôlable du nombre des fichiers qui conduit à multiplier les procédures simplifiées et les accommodements, (ii) au comportement irresponsable des citoyens artisans de leur propre fichage, et (iii) à la mondialisation des flux de données personnelles rendant vaine toute contrainte légale.

L'importance prise par la communication, d'autant plus remarquable que le budget de la CNIL est défavorisé au regard des autres AAI, apparaît comme un des rares moyens de légiti- mer l'institution et, par conséquent, fait l'objet d'un surinvestissement. C'est notamment le cas du pouvoir de sanction financière dont la CNIL bénéficie depuis la réforme de 2004 et qui, pour être utilisé avec la plus grande parcimonie, est néanmoins l'objet d'une communication soutenue. Celle-ci se fait fort d'insister sur le caractère para-juridictionnel de l'institution qui dissipe l'image d'une administration dépendante du pouvoir.

À l'invitation de la Cour européenne des droitsde l'homme (CEDH) et après de nombreuses années de résistance, le Conseil d'État a finale- ment accordé les garanties procédurales imposées par le caractère juridictionnel de la « formation restreinte » chargée de prononcer les sanctions (40). En 1977, le rapporteur du projet de la loi Informatique et libertés, Jacques Thyraud, avait pourtant estimé nécessaire « de préciser, une fois pour toutes [...] qu'il ne s'agit pas d'une juridiction pour éviter toute équivoque. C'est la raison pour laquelle nous avons mentionné, dans notre amendement, que la commission est une autorité administrative indépendante ». « Ni politiques, ni judiciaires, ces autorités sont administratives » rappelle en préambule le rapport d'information du groupe de travail paritaire sur les AAI, qui craint un « empiètement sur le judiciaire » (41).

Les espoirs de celle-ci semblent toutefois porter sur le développement d'une activité de type juridictionnel. Insubordination institutionnelle qui ne manque pas de mettre en cause la conception française de la séparation des pouvoirs sans pour autant desserrer le noeud gordien tressé d'autonomie et de subordination qui enserre la CNIL.

Quaderni , n°75, 2011

Illustration : occupation de la CNIL le 14 décembre 2007 par divers groupes militants et collectifs (Photo : DR)

Notes :

(1) L'informatisation de la société, La Documentation française, 1978 (publié la même année aux éditions du Seuil).

(2) Cet article reprend partiellement le contenu d'une communication à la journée d'étude « Entre licite et illicite, défiance et conformité : les usages détournés des TICS (XIXe-XXIe siècles) » du Groupe de recherche en histoire de l'innovation et des technologies de l'information (HITI-Université Paris IV-Sorbonne), 12 mai 2010. Voir également David Forest, Abécédaire de la société de surveillance, Paris, coll. Arguments et mouvements, Syllepse, 2009, p.31-42 ; David Forest, « Trente ans et des poussières. Retour sur les premiers pas de la CNIL » (dossier « Loi informatique et libertés »), Revue Lamy Droit de l'Immatériel, n°34, janvier 2008, p.77-82

(3) Jean Frayssinet, « La Commission nationale de l'informatique et des libertés (CNIL) », in Droit de l'informatique et de l'Internet, coll. Thémis, PUF, 2001, p.229

(4) Rapport du sénateur Patrice Gérard « Les autorités administratives indépendantes : évaluation d'un objet juridique non identifié », 15 juin 2006, p.7. www.senat.fr ; Patrick Roger, « CNIL, CSA, 39 autorités sous surveillance ... », Le Monde, 27 juin 2006

(5) CJUE (grande chambre), 9 mars 2010, Commission européenne c/ République fédérale d'Allemagne (aff. C-518-07). L'article 28, § 1, al. 2 de la directive 95/46CE du 24 octobre 1995 dispose que : « [Les autorités publiques] exercent en toute indépendance les missions dont elles sont investies ».

(6) www.cnil.fr

(7) Alain Supiot, Homo juridicus, Paris, coll. La couleur des idées, Seuil, 2005, p.166

(8) Rapport d'information au nom du Comité d'évaluation et de contrôle des politiques publiques sur les AAI, Assemblée nationale, 28 octobre 2010

(9) André Tosel, Un monde en abîme, Paris, coll. Philosophie en cours, Kimé, 2008, p.82

(10) André Vitalis, « Des autorités de régulation », Revue européenne des sciences sociales, t. XXXI, n°97, 1993

(11) Herbert Maisl, « Changer la CNIL ? Pourquoi faire », in Monique Linglet (dir.), Expertises pour l'an 2000, Paris, Éditions des Parques, 1996

(12) Lucien Sfez, La politique symbolique, Paris, coll. Quadrige, PUF, 1993, p.13

nger la CNIL ? Pourquoi faire », in Monique Linglet (dir.), Expertises pour l'an 2000, Paris, Éditions des Parques, 1996, p. 81.

(13) Lucien Sfez, La politique symbolique, Paris, coll. Quadrige, PUF, 1993, p. 13.

(14) Claude-Albert Colliard, Gérard Timsit, Les auto- rités administratives indépendantes, Paris, coll. Les voies du droit, PUF, 1988.

(15) André Vitalis, op. cit.

(16) Philippe Bouchet, « Safari ou la chasse aux Français », Le Monde, 21 mars 1974.

(17) Numéro d'inscription au répertoire national des personnes physiques (RNIPP). Il s'entend du numéro d'identification à 13 chiffres attribué en France à chaque personne physique, nécessairement différent d'une personne à l'autre (à partir du sexe : 1 pour les hommes, 2 pour les femmes, de la date, du lieu et de l'ordre de naissance dans la commune). L'expression « interconnexion de fichiers » recouvre l'utilisation d'un tel identifiant unique.

(18) Barel Yves, La société du vide, Paris, coll. Em- preintes, Seuil, 1984, p. 80

(19) Pierre Musso, « La symbolique de la dérégulation en France », Quaderni, n° 7, 1989, p. 44. Voir également Lionel Levasseur, Pierre Musso, « État et nouvel- les technologies », in Lucien Sfez (dir.), Dictionnaire critique de la communication, t.1, Paris, PUF, 1993.

(20) L'article 21-4° de la loi du 6 janvier 1978 disposait que « Pour l'exercice de sa mission de contrôle, la commission : 4° Adresse aux intéressés des avertis- sements et dénonce au parquet les infractions dont elle a connaissance, conformément à l'article 40 du code de procédure pénal ». Voir Jean-Paul Carminati, « Les non-dénonciations de la CNIL au Parquet », Expertises des systèmes d'information, n°180, février 1995, p. 67.

(21) David Forest, « Vidéosurveillance dans les lieux publics : législation effective, application transparente ? », Quaderni, n° 40, hiver 1999-2000, pp. 31-51.

(22) Décision n° 94-352 DC du 18 janvier 1995.

(23) Pierre Musso, op. cit., p. 52.

(24) Christian Paul, Du droit et des libertés sur l'Internet. La corégulation, contribution française pour une régulation mondiale, Rapport au Premier ministre, 29 juin 2000.

(25) Alain Supiot, op. cit., p. 172.

(26) Lê-My Duong, « Les sources du droit d'Internet : du modèle pyramidal au modèle en réseau », Recueil Dalloz, 2010, n°13, p. 789.

(27) André Vitalis, op. cit., p. 185.

(28) Arnaud Lévy, Faut-il avoir peur d'être fiché ?, Paris, coll. À dire vrai, Larousse, 2009, p. 76.

(29) Le 14 décembre 2007, une soixantaine de manifestants appartenant à divers collectifs occupent les locaux de la Commission durant plusieurs heures pour réclamer sa dissolution. http://souriez.info/ Quelles-libertes-defend-la-Commission-Nationale.

(30) Comité de réflexion et de proposition sur la modernisation et le rééquilibrage des institutions de la Ve République «Une Ve République plus démocratique », p. 126. www.comite-constitutionnel. fr/le-rapport/ .

(31) René Dosière, Christian Vanneste, op. cit.

(32) Rapport annuel de la CNIL, 2007, pp. 7-10. www. cnil.fr.

(33) Cécile Alvergnat, Louise Cadoux, Sébastien Canevet, Raymond Forni, Olivier Iteanu, Louis Joinet, « Il faut sauver la loi informatique et libertés », Le Monde, 17 juillet 2004.

(34) Alex Türk, « Une CNIL réformée, fortifiée et engagée », Libération, 7 janvier 2008.

(35) Voir « Non, la CNIL n'est pas un frein à la lutte contre la fraude sociale ! ». Réponse d'Alex Türk aux propos de Thierry Mariani, député du Vaucluse, selon lequel « il n'y a pas de connexion entre les différents fichiers sociaux, à cause des règles établies par la CNIL » (Le Figaro, 26 avril 2010), www.cnil.fr.

(36) Arnaud Lévy, op. cit., p. 153.

(37) Stéphane Foucart, « Trois questions à Alex Türk », Le Monde, 17 juillet 2004.

(38) Délibération n° 2008-101 du 29 avril 2008.

(39) Amendement au projet de loi sur « Le défenseur des droits », A.N., 10 janvier 2011.

(40) Philippe Breton, L'utopie de la communication, Paris, La Découverte/Poche, 1997.

(41) Conseil d'État, référé (Profil France c/ BetM), 19 février 2008.

(42) René Dosière, Christian Vanneste, op. cit., p.50s.

Avec Henri Leben, avocat associé, cabinet Colbert

Le « smart grid » ou « réseau intelligent » désigne un réseau électrique capable de faire communiquer entre eux les appareils reliés au réseau, afin de moduler la consommation électrique de manière rationnelle et économique. Deux idées phares sont visées: d'une part, moderniser le réseau électrique, en particulier aux Etats-Unis, et d'autre part, gérer de façon plus rationnelle, donc plus écologique et économique, la consommation électrique. La mise en place d'un tel réseau nécessite l'établissement de flux d'informations entre distributeurs et consommateurs. Si séduisant qu'il soit, le « smart grid » soulève de nombreuses difficultés, parmi lesquelles le respect des garanties en matière de protection des données personnelles.

En premier lieu, dès lors que les appareils électriques « parlent » entre eux pour se mettre en veille ou diminuer I'intensité d'une lampe par exemple, les distributeurs d'électricité et leurs partenaires ont la possibilité de recueillir de précieuses informations sur les habitudes de vie des consommateurs: heure de levée et de coucher, nombre de personnes présentes dans l'appartement, nombre de douches prises, temps passé devant la télévision, etc.

En second lieu, le développement d'un réseau intelligent nécessite I'installation chez les particuliers et les entreprises de « compteurs intelligents » afin d'aider à rationaliser la consommation d'électricité en temps réel, et de permettre la mise en place de mécanismes d'effacements diffus. Dans sa délibération du 9 juillet 2009,la Commission de Régulation de l'Énergie (CRE) définit I'effacement diffus comme le mécanisme consistant à agréger des effacements de consommation auprès de consommateurs raccordés aux réseaux publics de distribution. On cherche ainsi à diminuer la puissance consommée, afin d'ajuster la consommation d'électricité en fonction des besoins. La mise en place d'un réseau intelligent entraîne donc une intrusion dans la vie privée des individus, une surveillance de leurs comportements et l'élaboration de profils dont on peut imaginer les développements en matière de publicité comportementale par exemple. Les informations de consommation électrique, dès lors qu'elles peuvent être qualifiées de « données personnelles », relèvent de la loi Informatique et libertés du 6 janvier 1978. Il faut s'assurer que les distributeurs d'électricité prennent en compte ses dispositions. Pour mémoire, la loi prévoit qu'aucune donnée personnelle ne peut être collectée, traitée ou cédée sans le consentement de la personne concernée, à qui est accordé un droit d'accès et d'opposition sur ses données sous certaines réserves. La Cnil s'intéresse au « smart grid » et, à la demande de la CRE, doit formuler des recommandations qui peuvent être considérées comme un guide de conduite sectoriel. Il semble d'ores et déjà que les questions liées au « smart grid » peuvent entrer dans les attributions du correspondant à la protection des données personnelles, dont se sont dotées quelques milliers d'entreprises. Si les opérateurs d'énergie sont capables de mettre en place un système de gestion des données compatible avec le respect de la vie privée, le « smart grid » pourra se développer.

L'Usine nouvelle, 9 décembre 2010

« Vous n'avez déjà plus de vie privée,

il faudra vous y habituer »

Scott Mc Nealy, Président de Sun Microsystems

C'est à l'occasion de la conférence européenne sur « l'Internet du futur » (1) des 6 et 7 octobre 2008, lors du sommet de Nice des ministres de l'Union européenne chargés de la société de l'information, que la préoccupation de voir émerger une « gouvernance » européenne des infrastructures de l'« Internet des objets » (« IdO ») s'est fait jour. Dans le même temps, le rapport Besson sur l'économie numérique appelait de ses voeux l'arrivée rapide de services sans contact destinés aux services mobiles, notamment pour accéder aux services publics locaux (cantines, bibliothèques, piscines...) - ce que d'aucun ont appelé les « villes intelligentes » (smart cities). Les techno- évangélistes du gouvernement évoquent pour leur part cet horizon sans sacrifier à la rhétorique du discours technologique ni faire l'économie de la thèse éculée du « retard français » tout en exhortant les citoyens à se saisir de ces questions (2). L'estimation du marché des solutions RFiD (Radio Frequency Identification Systems) dont se nourrit l'IdO oscille de quelques centaines de millions à plu- sieurs milliards d'euros dans un contexte de saturation des équipements télécoms traditionnels. La croissance de 45 % par an du marché européen a ainsi tôt-fait d'alimenter les scénarios de « sortie de crise » quand ils ne promettent pas de réduire la « fracture Nord-Sud ». Au-delà des descriptions iréniques et des voeux pieux, une étude sur l'« Internet des objets » (3), établie dans le cadre du programme de recherche pluridisciplinaire « Vox Internet II Gouvernance de l'internet : la construction démocratique des normes », a le grand mérite de synthétiser l'état des débats. Reposant sur de nombreux rapports de re- cherche plus ou moins prospectifs, les questions soulevées sont nombreuses et à la mesure des enjeux : interopérabilité de ce « système de systèmes », normalisation technique, « régionalisation » préservant la souveraineté des États, l'inégalité des niveaux de protection des données personnelles.

L'IdO encore dénommée « informatique ubiquitaire », « informatique diffuse » ou « Intelligence ambiante » désigne di- verses solutions techniques (RFID, TCP/IP, technologies mobiles, Bluetooth...) qui, couplées les unes aux autres, permettent d'identifier des objets, de capter, stocker, traiter, et transférer des données dans les environnements physiques. Son développement déborde largement les questions afférant à la seule technique RFiD quand bien même celle-ci reste dominante. La traçabilité « en temps réel » favorisée par ce couplage annonce un réseau total d'informations en continu prenant appui sur internet.

Lire la suite dans la Revue Lamy droit de l'immatériel , novembre 2009

NOTES :

(1) www.internet2008.eu

(2) Bernard, « Internet des objets. Défis technologiques, économiques et politiques », Esprit, mars-avril 2009.

(3) Réalisée conjointement par Pierre-Jean Benghozi et Sylvain Bureau (Pôle de recherche en Économie et Gestion de l'École Polytechnique) et Françoise Massit-Folléa (programme Vox Internet II), L'Internet des objets. Quels enjeux pour l'Europe ?, coll. praTICs, Maison des sciences de l'Homme, Paris, 2009. Disponible intégralement : http://editionsmsh.revues.org/78