Il y a un peu plus de deux ans, les médias saluaient en grande pompe l’entrée en vigueur du désormais célèbre Règlement européen sur la Protection des Données Personnelles ou RGPD. Pourtant, à l’heure de l’application StopCovid et des fichiers mis en place par la loi sur l’état d’urgence sanitaire, mais aussi plus généralement, du développement des traitements de données personnelles à des fins sanitaires ou sécuritaires, la protection réelle et effective des droits des citoyens sur leurs données semble avoir, paradoxalement, bien peu progressé voire nettement régressé.
En effet, si du côté des acteurs privés et notamment des sites à vocation commerciale, certaines améliorations peuvent être notées (même s’il s’agit souvent pour l’internaute de cliquer sur un bouton « tout accepter »), c’est du côté des dispositifs de fichage mis en place par les acteurs publics que la tendance semble être toujours aussi, voire davantage, liberticide.
En ce sens, les nouveaux fichiers liés à la lutte contre la Covid-19 participent d’un mouvement global dont l’évolution peut être éclairée par ce qui est déjà à l’œuvre en matière de fichiers à visée sécuritaire.
Une centaine de fichiers à disposition des forces de l’ordre
Dans un rapport rendu en septembre 2018, les députés Didier Paris et Pierre Morel-à-L’Huissier montraient ainsi que les ministères de la Justice et de l’Intérieur mettent à disposition des forces de l’ordre de tout le pays une grosse centaine de fichiers. Ces traitements regroupent à la fois et aussi bien les antécédents judiciaires des individus condamnés ou simplement suspectés, mais aussi de simples renseignements sur des comportements ou des objets.
Ces fichiers relevant d’une finalité sécuritaire (que celle-ci soit préventive, comme les fichiers de renseignement, ou répressive, comme les fichiers d’aide à l’enquête), n’obéissent pas, dans leur très grande majorité, aux règles du RGPD (ils sont exclus de son champ d’application).
Ils sont cependant encadrés par celles, bien plus souples, de la « directive police-justice » entrée en vigueur également en 2018.
Les fichiers relatifs aux données de santé et mis en place dans le cadre de la crise sanitaire actuelle relèvent bien, quant à eux, de la protection du RGPD mais bénéficient de nombreuses exceptions, notamment quant aux droits des individus fichés. Tous les traitements de données personnelles sont également soumis, en France, à la Loi Informatique et Libertés.
Il s’agissait alors de réunir l’intégralité des fichiers dont disposait l’administration (police, sécurité sociale, etc.) dans un méga-fichier, via un numéro unique d’identification.
Suite à la révélation du projet au public, un scandale éclate, qui donne lieu, après remise d’un rapport, à la création de la CNIL.
Or, parmi les principes fondamentaux du droit de la protection des données personnelles alors proclamés, il s’en trouve deux, particulièrement essentiels, et pourtant particulièrement maltraités par les dispositions récentes, à la fois en matière sanitaire et en matière sécuritaire : le principe de la base légale, et le principe de finalité.
Le principe de la base légale
Selon le premier de ces deux principes, un fichier n’est licite que s’il dispose d’une base légale, c’est-à-dire d’un fondement juridique à l’origine de la conservation des données.
Le traitement de données personnelles n’est pas un acte neutre, et constitue, par principe, une atteinte à la vie privée de l’individu (ce qui est reconnu régulièrement par la Cour Européenne des Droits de l’Homme).
La loi française, suite au RGPD, définit six bases légales possibles, c’est-à-dire six cas dans lesquels il est possible de traiter des données, que l’on soit un acteur public ou un acteur privé : le consentement, l’exécution d’un contrat, les obligations légales, l’objectif de protéger les intérêts vitaux, les tâches d’intérêt public et l’intérêt légitime du responsable de traitement.
Si on comprend très aisément que les fichiers à vocation sécuritaire ne répondent pas au consentement de l’individu (quel délinquant autoriserait les policiers à détenir des informations sur lui ?), la question est plus complexe quant aux données de santé traitées dans le cadre des fichiers SIDEP (qui regroupe les données relatives aux tests PCR effectués et aux malades déclarés) et Contact-Covid (qui centralise les recherches de cas contacts).
Deux bases légales auraient pu être théoriquement envisageables : le consentement ou la mission d’intérêt public. Néanmoins, il a été considéré (notamment par la CNIL) que la mission d’intérêt public constituait la base légale la plus appropriée, compte tenu des enjeux de santé publique.
Les fichiers traitant des données de santé rejoignent alors pleinement les fichiers à visée sécuritaire en abandonnant l’idée d’un consentement de l’individu : ils sont imposés, au nom du bien commun.
L’État décide pour vous
Ce caractère obligatoire devient même explicite lorsqu’il s’agit du fichier SIDEP, rompant à cette occasion dans une certaine mesure le secret médical.
L’individu est écarté des décisions portant sur sa propre santé, car on sait mieux que lui ce qui est nécessaire que l’État sache.
Outre le consentement individuel, même le débat démocratique est la plupart du temps congédié. Si les fichiers liés à la Covid-19 ont été l’exception, la plupart des traitements de données sont mis en place par voie réglementaire, ce qui prive d’un débat devant la représentation nationale. Même lorsque le fichier est créé par voie législative, ce qui est le cas ici, les dispositions sont souvent noyées dans un flot de textes où les traitements de données n’apparaissent que comme accessoires (et sur lesquels le débat devant les assemblées est donc limité).
De même, la CNIL, autorité indépendante qui pourrait apparaître comme un contrepoids aux velléités de fichage des gouvernements a perdu en 2004 son pouvoir de véto.
Il ne s’agit désormais plus que de chercher l’« acceptabilité sociale » des fichiers, par des efforts de pédagogie et d’explications, pour faire comprendre aux individus en quoi les outils sont, quoi qu’ils puissent penser, absolument nécessaires et en quoi s’y opposer ne serait pas rationnel.
On assiste ici à une exemplification parfaite de la logique néo-libérale récemment analysée par Barbara Stiegler (Il faut s’adapter, Gallimard, 2019) à la suite des écrits de Walter Lippmann au XXe siècle (The Good Society, 1937, non traduit en France) : l’intelligence collective est congédiée au profit d’un gouvernement des experts, par essence incontestable.
Pour ce courant de pensée, l’expertise doit tendre à se substituer au débat démocratique, nécessairement tenu par des individus intrinsèquement incompétents et en retard sur les enjeux. Le but des gouvernements n’est alors que de pratiquer la « fabrique (manufacture) du consentement », c’est-à-dire non pas rechercher le consentement réel mais permettre l’acceptation d’une solution déjà acquise. Circulez, il n’y a rien à voir.
Vers un élargissement du cadre des possibles
Le rejet du consentement de l’individu comme base légale du fichier pourrait cependant n’apparaître de prime abord peu choquant dans ce cadre sanitaire d’urgence.
Après une lecture rapide d’articles scientifiques portant sur la contagiosité et la dangerosité du virus, on pourrait se convaincre rapidement du caractère rationnel et bénéfique du choix opéré.
L’atteinte aux libertés fondamentales est en effet rendue davantage visible par le couplage entre ce premier niveau – le caractère imposé des traitements de données – et un second niveau de la fusée : l’élargissement et l’affaiblissement des finalités.
C’est sur ce point que l’exemple des fichiers à visée sécuritaire permet de donner un éclairage nouveau aux outils sanitaires actuels.
Un éclairage nouveau
En effet, un autre grand principe du droit à la protection des données personnelles se trouve dans l’impératif donné à tout traitement de données personnelles : on ne peut traiter des données que dans un but précis, rigoureusement défini, et lorsque cela est strictement nécessaire (les données collectées devant elles-mêmes apparaître comme la réponse exacte à cette finalité).
C’est la condition sine qua non et primordiale de la limitation du fichage. Les fichiers SIDEP et Contact-Covid témoignent de finalités définies plutôt largement.
Ces dernières permettent par exemple que soit transmise au nom de la lutte contre l’épidémie la spécialité du médecin ayant ordonné le test… ce qui peut par exemple révéler un traitement en cours contre un cancer s’il s’agit d’un oncologue. Mais elles se limitent néanmoins à la lutte contre le virus, sans doute dans le contexte actuel de méfiance à leur égard.
Les fichiers de sécurité sont passés depuis longtemps sous les radars médiatiques et demeurent très peu étudiés. Depuis 1978, seuls trois rapports parlementaires ont été rendus sur le sujet, et aucune étude réelle et complète des enjeux n’a encore été menée au plan universitaire ou sur le terrain journalistique. Cet exemple montre les dangers d’une définition toujours plus souple des finalités.
En effet, en la matière, les finalités hier précisément définies sont désormais remplacées dans les textes législatifs ou réglementaires par des formules aussi laconiques que lapidaires, se contentant de faire de ces fichiers des outils soit de prévention de l’ordre public soit de la recherche des auteurs d’infractions, sans davantage de précisions.
Des données récoltées particulièrement sensibles
Les données récoltées sont alors toujours plus nombreuses, y compris lorsqu’il s’agit de données particulièrement sensibles (pourtant théoriquement davantage protégées) comme celles touchant aux opinions politiques.
Ces informations font en effet l’objet de quelques fichiers de police, notamment en matière de renseignement, mais aussi en police judiciaire (on peut ici penser aux possibles arrestations en marge des manifestations, pour lesquels le motif de la manifestation, qui est donc un élément politique, sera retranscrit).
Par exemple, a ainsi été créé en 2009 le fichier PASP, à l’usage des forces de l’ordre (certains de service de police et gendarmerie). Sa finalité est de « recueillir, de conserver et d’analyser les informations qui concernent des personnes dont l’activité individuelle ou collective indique qu’elles peuvent porter atteinte à la sécurité publique ».
Le fichier PASP peut donc concerner potentiellement tout militant, manifestant ou activiste quelconque, même n’ayant commis aucune infraction (puisqu’il s’agit précisément d’individus « susceptibles de ») et peut être nourri de données relatives aux « activités politiques, philosophiques, religieuses ou syndicales » de l’individu. L’entourage de l’individu peut également y voir ses données intégrées.
Il est impossible de savoir précisément combien d’individus sont fichés par ce type de fichier, ni même l’usage qui en est réellement fait (nombre de consultations notamment). Néanmoins, il faut rappeler que le fichier PASP, comme d’autres, est consulté (via le système ACCReD) systématiquement dans le cadre des enquêtes administratives préalables à l’embauche dans certains secteurs d’activité (liés à la sécurité notamment, ou dans la fonction publique).
La libéralisation des données de santé à l’œuvre dans les fichiers SIDEP et Contact-Covid présage du même destin pour les fichiers à visée sanitaire.
Un doux glissement de la santé vers la sécurité
On peut très facilement imaginer le doux glissement possible en cette matière : de la lutte précise, mais déjà très globale, contre la Covid-19 à la préservation plus générale de la santé publique, suivant le même destin que les fichiers sécuritaires dont les premières finalités relevaient d’infractions spécialisées.
Le fichier des empreintes génétiques actuel a par exemple été créé uniquement pour lutter contre les crimes sexuels, mais son champ d’application porte désormais sur la quasi-totalité des infractions.
L’analogie entre les maladies et les infractions est d’autant moins incongrue que santé et sécurité font partie, dans un sens large, du même ensemble que constitue l’ordre public.
La démarche est d’autant plus probable qu’elle suit, là aussi, une vision néo-libérale, ici dans sa dimension biopolitique, où l’État se saisit des enjeux de santé, au plus intime des individus.
La surveillance est ainsi progressivement érigée au nom des enjeux sécuritaires et sanitaires, justifiée par les experts et acceptée par la peur qu’elle soit celle du terrorisme ou celle de la maladie.
La vie privée devient, de manière paradoxale avec la promulgation du RGPD et les progrès apparemment concédés il y a deux ans, un droit formaliste et individualiste, qui peut céder sans risque face aux enjeux sécuritaires et sanitaires, et qu’il s’agit désormais de démanteler pièce par pièce.