Mercredi 3 octobre 2007 - Audition de M. Alex Türk, président de la CNIL, et de Mme Anne Debet, membre de cette commission et auteur de l'étude « mesure de la diversité et protection des données personnelles »

_______

Après avoir relevé la forte augmentation de l'activité de la CNIL ces dernières années, résultant à la fois de l'extension de ses compétences, des évolutions technologiques et d'une meilleure connaissance par les citoyens de leurs droits, M. Alex Türk, président de la CNIL, a pris l'exemple des très nombreuses demandes d'accès aux fichiers des Renseignements généraux et de la police (fichiers STIC : système de traitement des infractions constatées), ce qui a conduit à un allongement sensible des délais de réponse de la CNIL. Il a également relevé que l'autorisation de la CNIL, requise en matière de traitement de données biométriques dans les entreprises, était de plus en plus souvent sollicitée.

Après avoir mis en avant les risques inhérents aux évolutions technologiques, citant le développement des systèmes de surveillance capables de « pister » tous les individus (biométrie, vidéosurveillance, géolocalisation...), il a déclaré qu'il avait lancé dès à présent une vaste réflexion sur les risques inhérents à la généralisation, probablement d'ici à 2015, des nanotechnologies dans le domaine des systèmes d'information. A cet égard, il a jugé étonnant le manque de sensibilisation des jeunes générations aux risques présentés par ces systèmes au regard de la protection de leur vie privée et de leur intégrité physique.

Après avoir salué la mise en place des correspondants Informatique et Libertés au sein des entreprises et des collectivités territoriales, qui servent de relais entre ces dernières et la CNIL, M. Alex Türk a regretté que l'autorisation préalable de la CNIL soit requise en matière de flux transfrontaliers de données, cette formalité lui apparaissant comme un frein au commerce international.

Rappelant que l'article 3 de la loi n° 2004-801 du 6 août 2004 prévoit la délivrance d'un label par la CNIL en faveur de produits ou de procédures tendant à la protection des personnes à l'égard du traitement des données à caractère personnel, il a souhaité la publication rapide du décret définissant les modalités d'application de cette procédure de labellisation prévue par le législateur.

Abordant l'activité internationale de la CNIL, M. Alex Türk a rappelé qu'il avait été élu le 25 septembre 2007 secrétaire général de l'Association francophone des autorités de protection des données personnelles (AFAPDP), instance dont l'objet est de favoriser les échanges d'expériences et de savoir-faire entre les pays de la francophonie dans le domaine de la protection des libertés et des données personnelles. Il a également souligné la forte implication de la CNIL au sein du G29, groupe européen de coordination des autorités de protection des données de l'Union européenne, soulignant que cette structure a rendu un avis le 22 novembre 2006 condamnant la société européenne de télécommunications bancaires SWIFT pour la transmission de données bancaires et financières aux autorités américaines en charge de la lutte contre le terrorisme. D'une manière générale, il a jugé inquiétant que 18.000 autorités américaines aient accès à des données relatives à des citoyens européens.

Mme Anne Debet, commissaire de la CNIL, a ensuite présenté les dix recommandations du rapport intitulé « Mesure de la diversité et protection des données personnelles », adopté par la CNIL le 15 mai 2007 :

- Recommandation n° 1 : ouvrir plus largement aux chercheurs l'accès aux bases de données statistiques et aux fichiers de gestion ;

- Recommandation n° 2 : utiliser les données « objectives » telles que la nationalité ou le lieu de naissance des parents dans les enquêtes pour mesurer la diversité ;

- Recommandation n° 3 : ne pas intégrer ces données dans les fichiers permanents des entreprises et des administrations ;

- Recommandation n° 4 : développer des études sur le « ressenti » des discriminations, incluant le recueil de données sur l'apparence physique des personnes ;

- Recommandation n° 5 : admettre, sous certaines conditions, l'analyse des prénoms et des patronymes pour détecter d'éventuelles pratiques discriminatoires ;

- Recommandation n° 6 : modifier la loi Informatique et Libertés pour assurer une meilleure protection des données sensibles en garantissant le caractère scientifique des recherches et en harmonisant les procédures de contrôle des fichiers de recherche ;

- Recommandation n° 7 : refuser en l'état la création d'un référentiel national « ethno-racial » ;

- Recommandation n° 8 : développer le recours à des experts, tiers de confiance, pour mener les études de mesure de la diversité ;

- Recommandation n° 9 : garantir la confidentialité et l'anonymat par le recours aux techniques d'anonymisation ;

- Recommandation n° 10 : garantir l'effectivité des droits « Informatique et Libertés » en assurant la transparence.

M. François-Noël Buffet a souligné que les amendements relatifs aux statistiques ethniques présentés sur le projet de loi relatif à la maîtrise de l'immigration, à l'intégration et à l'asile avaient pour but de renforcer la protection des personnes, en permettant notamment d'éviter l'identification des personnes concernées par le traitement. Il a souligné, en outre, que leur droit d'opposition était maintenu.

En réponse à Mme Alima Boumedienne-Thiery qui l'interrogeait sur l'accord relatif au transfert de données passagers (PNR), M. Alex Türk a jugé peu satisfaisant le compromis élaboré entre les autorités américaines et l'Union européenne tendant à déterminer un nouveau cadre légal applicable aux compagnies aériennes.

M. Pierre-Yves Collombat s'est interrogé, d'une part, sur la représentativité d'études basées sur le volontariat, d'autre part -et plus fondamentalement- sur l'intérêt présenté par les enquêtes de statistiques ethniques.

Mme Anne Debet a objecté que le caractère scientifique des études portant sur des données médicales n'avait jamais été mis en doute au motif que n'étaient concernées que les personnes qui n'avaient pas fait usage de leur droit d'opposition. Elle a ajouté que les enquêtes sur la diversité avaient pour principal objectif de renforcer la lutte contre les discriminations.

M. Jean-René Lecerf s'est déclaré favorable à la création par le législateur d'un référentiel de typologies ethno-raciales, estimant que l'une des principales faiblesses du modèle d'intégration réside dans l'invisibilité statistique des minorités visibles.

Mme Anne Debet a relevé l'absence de consensus sur ce point, voire une opposition assez ferme de certaines instances comme la Haute autorité de lutte contre les discriminations et pour l'égalité. Elle a jugé malaisé de définir avec précision et objectivité les contours de catégories ethno-raciales.

M. Alex Türk a ajouté qu'en tout état de cause, il appartenait au Parlement, et non à la CNIL, de se prononcer sur un sujet aussi sensible.

M. Richard Yung a jugé nécessaire le contrôle de la CNIL sur les premières expérimentations en matière de vote électronique à distance, en particulier pour les Français établis hors de France. Il a mis en exergue la nécessité de trouver un système à la fois simple d'utilisation et préservant le secret du vote.

M. Alex Türk a reconnu que les systèmes mis en place ne garantissaient pas encore totalement la confidentialité des scrutins à distance.

M. Bernard Saugey s'est réjoui de la position très avancée de la France sur la question, cruciale pour son avenir, des nanotechnologies, tout en soulignant la nécessité, compte tenu des risques qu'elles comportent au regard des libertés individuelles, de mener dès à présent une réflexion avec les entreprises, les laboratoires et les experts concernés.

M. Alex Türk a déclaré que la CNIL avait précisément décidé d'engager un dialogue fructueux avec tous ceux qui concourent à l'émergence de ces technologies du futur.

En réponse à MM. Bernard Frimat et Patrice Gélard qui l'interrogeaient sur les moyens alloués à la CNIL, M. Alex Türk a annoncé la création en 2008 de quinze postes supplémentaires, sur un effectif global qui en compte aujourd'hui quatre-vingt-dix, ainsi qu'une augmentation de 400.000 euros du budget de fonctionnement de la CNIL. Il a ajouté qu'il appelait désormais de ses voeux une déconcentration de la CNIL, avec la création de délégations interrégionales, réparties sur l'ensemble du territoire français. Il a enfin mis en avant la nécessité de resserrer les liens de la CNIL avec les parlementaires.

En réponse à Mme Michèle André qui l'interrogeait sur le statut de la CNIL et de ses salariés, M. Alex Türk a précisé que la commission était une autorité administrative indépendante dont la plupart des salariés se trouvaient en contrat de droit public à durée indéterminée.

M. Jean-Jacques Hyest, président, a rappelé que le rapport de M. Patrice Gélard, au nom de l'Office parlementaire d'évaluation de la législation, sur les autorités administratives indépendantes, avait opportunément marqué l'attachement du Parlement à l'indépendance financière des autorités administratives indépendantes. Il a ensuite demandé, d'une part, quelle était, parmi les technologies de surveillance les plus couramment utilisées (biométrie, vidéosurveillance, géolocalisation...), celle qui paraissait la plus susceptible de porter atteinte aux libertés, et d'autre part, si les systèmes de pistage par carte magnétique des déplacements urbains avaient été contrôlés.

M. Alex Türk a fait valoir que toutes les technologies de surveillance étaient potentiellement dangereuses en fonction de l'utilisation qui en était faite et a indiqué que les principaux systèmes de suivi des déplacements urbains avaient été validés par la CNIL.

En réponse à M. Pierre-Yves Collombat qui se demandait si la protection des données n'était pas, paradoxalement, assurée par leur profusion et leur éparpillement, M. Alex Türk s'est dit inquiet, au contraire, de ce certains instruments informatiques, tels que le moteur de recherche Google, soient capables d'agréger des données éparses pour établir un profil détaillé de millions de personnes (parcours professionnel et personnel, habitudes de consultation d'internet, participation à des forums...).