« Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays »

Mme le président.  - L'ordre du jour appelle le débat sur le thème : « Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays », à la demande du groupe CRCE.

Mme Éliane Assassi, pour le groupe communiste républicain citoyen et écologiste .  - La pratique du fichage est ancienne mais elle se modifie et se banalise. La France a longtemps protégé la vie privée mais ces droits se sont effacés devant la multiplication des fichiers jugés nécessaires. En octobre 2018, un rapport de l'Assemblée nationale dénombrait 106 fichiers de police, contre 58 en 2009.

L'usage des fichiers à des fins de gestion administrative vise la maîtrise des coûts, l'évaluation de l'activité des agents avec la généralisation des objectifs chiffrés, ainsi que le contrôle social.

La création en 1978 du fichier Safari a entraîné la création d'un garde-fou, la Commission nationale de l'informatique et des libertés (CNIL). En 2008, la création des fichiers Edvige et Base Élève a provoqué une levée de boucliers.

Aujourd'hui, la multiplication des fichiers sans contrôle parlementaire se fait dans l'apathie générale. Pire, on accumule ces données dans une logique prédictive et non préventive. Les fichiers sont pourtant une maltraitance, une déshumanisation. Ils ne prennent pas en compte la singularité, la spécificité ni la complexité humaine. On confie des tâches à des machines et non plus à des personnes douées de conscience, de savoir-faire, de capacité de compréhension.

Le fichier Pôle emploi, créé pour les demandeurs d'emploi, sert maintenant à traquer les chômeurs et à accélérer leur radiation. C'est une maltraitance, qui objectivise et déshumanise.

Et que dire d'un fichier des personnes vaccinées plutôt que d'un fichier des vaccins ?

Il y a une chosification des gens, une volonté de normer les comportements. On ne pose plus des interdits, on impose un comportement. Le fichage des manifestants et des syndicalistes traduit la volonté de contrôler les personnes. Se savoir fiché ou surveillé empêche l'action, la pensée et donc l'expression de la démocratie. Cela nous inquiète.

Les critères retenus dans les fichiers de police de suspicion, de culpabilité et de dangerosité sont incertains ; ils peuvent même violer la présomption d'innocence et sont parfois faux en cas de manque d'actualisation ou d'erreur de saisie - une victime peut devenir auteur... - et ces erreurs se propagent au gré des interconnexions entre fichiers qui complexifient le droit à la rectification.

Peu à peu, le droit à la sécurité a pris le pas sur le droit à la sûreté. Il ne s'agit plus de protéger le citoyen, y compris contre l'État, mais de prédire des menaces. Nous sommes loin du droit à la sûreté des articles 2 et 7 de la Déclaration des droits de l'homme et du citoyen.

Pas un mois sans qu'une nouvelle idée de fichage ne sorte du ministère de l'Intérieur. En février 2020, c'était Gendnote, une application qui facilite la collecte de photos et d'informations sensibles et leur transfert vers des fichiers extérieurs, tel que le traitement d'antécédents judiciaires (TAJ), qui permet la reconnaissance faciale.

Le fichier système de contrôle automatisé (SCA), créé pour les délits routiers, sert désormais de base pour traquer le non-respect du confinement. Que dire aussi de la multiplication des drones ? Cette multiplication des fichiers de police se fait dans l'opacité et brouille la répartition des compétences entre exécutif et Parlement.

Le Gouvernement peut créer un fichier soit par la voie réglementaire, soit par la voie législative : rien n'interdit de créer un nouveau fichier de police par décret ou arrêté, sans contrôle du Parlement. Cela doit changer. En 2019, 27 % des fichiers ne faisaient l'objet ni d'autorisation légale ou réglementaire, ni de déclaration à la CNIL. Qu'en est-il aujourd'hui ?

Le Gouvernement a publié plusieurs décrets pour autoriser l'identification automatique et massive des manifestants, voire la reconnaissance faciale. Cette autorisation s'est passée de tout débat démocratique, comme le souligne La Quadrature du net.

C'est encore par voie réglementaire que le 4 décembre 2020, trois décrets ont étendu des fichiers créés sous Nicolas Sarkozy sur la prévention des atteintes à la sécurité publique, la gestion de l'information des atteintes à la sécurité publique et la tenue d'enquêtes administratives. Les services de police pourront recueillir des éléments sur les opinions de toutes sortes de personnes surveillées, ainsi que des données de santé ou des activités sur les réseaux sociaux.

Le groupe de soutien et d'information des immigrés (Gisti) nous alerte sur le large champ des personnes concernées. Adhérer à un syndicat pose-t-il des questions de sécurité ? Quid des opinions politiques, religieuses, philosophiques ? En 2011, une personne sur dix était fichée... Qu'en est-il aujourd'hui ? Qu'en sera-t-il demain ?

Pire, les fichiers pourront aussi concerner des personnes morales ou des groupements.

On observe enfin une extension du domaine de la fiche. Désormais, si nécessaire, chaque membre de l'entourage de la personne dangereuse pourra être fiché, même un enfant de moins de 13 ans.

En 1983, Mireille Delmas-Marty écrivait que l'État autoritaire n'était pas nouveau mais que sa façon d'être autoritaire avait changé : elle est désormais « grise et pénétrante », dans « chaque repli de la vie », et est « confusément acceptée ». Pour reprendre ses mots, ne laissons pas l'exigence de sécurité briser le rêve de liberté. (Mme Cathy Apourceau-Poly et Mme Esther Benbassa applaudissent.)

M. Max Brisson .  - (Applaudissements sur les travées du groupe Les Républicains) Ce sujet n'est pas dû au hasard : le 4 décembre 2020, trois décrets ont été publiés qui ont suscité de fortes inquiétudes parmi les associations de défense des libertés. Ces dernières redoutent qu'une nouvelle étape soit franchie en matière de surveillance de masse de nos concitoyens.

Mais prenons un peu de recul. Souvenons-nous du « bertillonnage » au XIXe siècle pour rationaliser les méthodes policières avec des données corporelles. Il n'est pas incongru que les progrès techniques changent la nature des fichiers de sécurité publique utilisés. Le nouveau cadre juridique fixé en décembre dernier était nécessaire. Ces fichiers visent la protection des intérêts fondamentaux de la Nation. Ne soyons pas naïfs : la menace terroriste est toujours bien présente.

Le 23 décembre, le Conseil d'État a jugé que ces fichiers ne portaient pas d'atteintes disproportionnées aux libertés publiques. Dès lors, je crains que certains d'entre nous prennent pour de la peur ce qui est en fait une angoisse. Une peur porte sur un objet précis, l'angoisse est une inquiétude vague, « la réalité de la liberté, parce qu'elle en est le possible », selon Soren Kierkegaard.

Plutôt que de nourrir une crainte démesurée chez les Français, nous devons montrer notre confiance dans nos forces de sécurité et leur professionnalisme. Si problème il y a, la justice pénale est là.

La confiance ne nous interdit cependant pas de nous interroger.

Sur le fichier des enquêtes administratives liées à la sécurité publique, le Gouvernement avait répondu à une question écrite que des garanties renforcées étaient prévues : ce ne sont pas les opinions des personnes, mais les seules activités qui sont inscrites. Ce n'est désormais plus le cas et la collecte pourrait ainsi se révéler plus attentatoire aux libertés qu'auparavant. Les agents candidats à un recrutement qui n'ont pas le statut de fonctionnaire bénéficient-ils des mêmes garanties que les fonctionnaires titulaires ?

En outre, qu'en est-il de l'interconnexion entre fichiers ou bases de données ? Cela n'est pas sans incidence sur la vie privée, le droit à l'oubli ou la présomption d'innocence.

La fiabilité des fichiers est un gage de confiance entre l'État et les citoyens. Quelles garanties avons-nous sur les éventuelles erreurs de saisie ? Telles sont les questions de mon groupe, et je vous remercie, madame la ministre, de bien vouloir y répondre. (Applaudissements sur les travées du groupe Les Républicains)

M. Pierre-Jean Verzelen .  - Je remercie le groupe CRCE d'avoir inscrit ce débat à l'ordre du jour et je souscris à son intitulé. Les garde-fous et les limites à poser interrogent en effet. Mais nous ne parlons peut-être pas des mêmes fichiers ni ne poursuivons les mêmes objectifs.

Le 4 décembre, trois décrets ont été publiés à la demande de la CNIL. Il s'agissait d'une régularisation portant sur des fichiers qui existaient déjà. Certains termes sont modifiés et des données supplémentaires sont intégrées. Le Conseil d'État a rendu un avis positif en amont et a confirmé sa position après la publication des décrets. Il s'agit de permettre à ceux qui nous protègent d'avoir des informations précises sur des personnes susceptibles de porter atteinte à l'intégrité de notre territoire ou à nos institutions. De combien de personnes s'agit-il, madame la ministre ?

Le rôle d'un État, c'est de maintenir l'ordre public, de protéger les citoyens et d'essayer d'empêcher le pire. Nous sommes exposés au terrorisme islamique, aux fanatiques et aux extrémistes : or, bien souvent, nous ne souffrons pas d'un excès d'informations mais plutôt d'un manque de renseignements précis !

En ce qui concerne la protection de la vie privée, j'aimerais connaître les fichiers dont Google, Amazon et Instagram disposent nous concernant : quelles informations ? Quel stockage ? Vendues à qui ? C'est un enjeu essentiel de notre société : nous verrons si la politique peut enfin réguler les GAFA. (M. Loïc Hervé applaudit.)

M. Paul Toussaint Parigi .  - Comme dans le reste du monde, la lutte contre la pandémie en France s'est traduite par une limitation des libertés publiques d'une ampleur inconnue hors période de guerre. Sur ce régime de sécurité sanitaire s'est greffé un régime de confiscation de nos droits. Il aurait fallu porter une attention vigilante à l'équilibre subtil des piliers de la démocratie, à la juste proportionnalité entre sécurité des citoyens et garantie des libertés fondamentales. C'est un paysage ambivalent que nous voyons se dessiner, un panoptique géant.

L'emballement des réponses sécuritaires nourrit ceux qui veulent ébrécher les fondements même de la démocratie. C'est dans ce contexte que vous avez publié trois décrets élargissant les possibilités de fichage et de collecte de l'information. Ces données sur les personnes physiques relèvent d'une intrusion inédite dans la vie privée, en relevant les convictions politiques, philosophiques et religieuses.

Vous avez ainsi permis le recensement des opinions : c'est un acte politique gravissime, une intrusion policière dans l'intime ! La CNIL a dénoncé le flou de ces fichiers, d'autant que toute la population est visée.

Cela préfigure une société gouvernée par la peur, dans laquelle les citoyens seraient privés du droit de penser, de contester, et qui verraient leurs vies exposées sans limite à la surveillance des forces de l'ordre. « La liberté est le droit de faire ce que les lois permettent », écrivait Montesquieu mais nous tombons aujourd'hui dans une société du contrôle, le terreau du totalitarisme.

Cela n'est pas là notre idée de la démocratie, autour des principes républicains de liberté, d'égalité et de fraternité. Il est des actes que nous devons collectivement refuser au nom de notre histoire à tous. Le ferment de la liberté est celui de notre humanité. Vous érigez là notre futur asservissement.

Michel Foucault écrivait en 1975, dans Surveiller et punir, que le simple fait de se savoir surveillé entraînait une forme d'obéissance, l'État ayant alors le monopole de la surveillance légitime.

Nous vous demandons, madame la ministre, l'abrogation de ces décrets. Les véritables partisans de l'ordre sont aussi ceux des libertés. Nous voulons croire que vous en faites partie. (Applaudissements sur les travées du GEST et du groupe CRCE)

Mme Nicole Duranton .  - L'article 2 de la Déclaration des droits de l'homme et du citoyen de 1789 préfigurait la protection de la vie privée, ensuite affirmée en 1948 à l'article 12 de la Déclaration universelle des droits de l'homme.

L'article 9 du code civil dispose que toute personne a droit au respect de sa vie privée.

Trois décrets pris le 2 décembre 2020 ont fait polémique, d'où ce débat. Ils concernent trois types de fichiers qui relèvent des services de police. Contrairement à d'autres, ces fichiers ont ainsi fait l'objet d'une information du Parlement et des citoyens...

La CNIL définit un fichier comme un traitement de données qui s'organise dans un ensemble stable et structuré. La loi sur la protection des données personnelles du 20 juin 2018 a validé un cadre pour les fichiers. Le Conseil d'État a donné ici un avis favorable : ce contrôle a priori a permis de les valider. Quid du contrôle a posteriori ? Des associations ont demandé au Conseil d'État de supprimer ces décrets, ce qu'il a écarté, jugeant que la collecte et l'accès aux données sont limités au strict nécessaire et ne portent pas atteinte aux libertés de conscience, d'opinion politique, religieuse, syndicale. Respectons la décision du Conseil d'État, d'autant que la CNIL vérifie la bonne utilisation de ces fichiers.

Les trois fichiers concernent 50 000 personnes contre 19 millions pour les fichiers de traitement des antécédents judiciaires.

Au-delà de ces trois fichiers, la pratique de la collecte de données en englobe beaucoup d'autres que nous connaissons tous. Rappelons-nous l'abandon du projet Edvige en 2008 : il est en effet important de disposer de fichiers distincts, afin de garantir les libertés individuelles. Chaque service de sécurité publique a accès à certains fichiers pour un objectif précis mais pas à d'autres.

Banques, assurances, et désormais Gafam détiennent souvent des informations bien plus détaillées que les fichiers publics. Face à cette évolution, il est essentiel d'étendre le domaine du droit et de créer des outils pour que le respect de la vie privée soit effectif. En novembre 2010, la Commission européenne avait posé le droit à l'oubli comme l'une des « valeurs et comme un droit fondamental de l'Europe ».

Les trois fichiers dont nous parlons ne sont pas des fichiers d'opinions : ils permettent d'établir des liens entre des personnes menaçant la sécurité publique. Soyons vigilants mais aussi prudents dans la critique car des garde-fous ont été instaurés.

Mme Maryse Carrère .  - Je remercie le groupe CRCE pour ce débat.

La France est dans un état d'urgence quasi-permanent depuis la nuit du 13 novembre 2015. Ces lois étaient nécessaires contre le terrorisme mais nous devons rester vigilants vis-à-vis de ces régimes d'exception qui sont hélas devenus la norme.

L'état d'urgence de 2015 s'est terminé en 2017 mais certaines dispositions sont passées dans le droit commun, comme la prééminence du juge administratif sur le judiciaire.

À la loi SILT s'est ajouté l'état d'urgence sanitaire, beaucoup plus sensible car l'ensemble de la population a vu ses libertés restreintes, notamment celle d'aller et venir, de se réunir ou d'entreprendre. Toute une vie est chamboulée depuis près d'un an, au rythme des confinements, des couvre-feux et des fermetures administratives.

Cette urgence sanitaire marque le renforcement du pouvoir du juge administratif et impose des mesures exceptionnelles comme les audiences à huis clos, le recours aux ordonnances ou le placement à l'isolement.

L'utilisation des données personnelles est un risque d'intrusion dans la vie privée. Ainsi, « StopCovid » a connu des débuts délicats car elle nécessitait d'être téléchargée à chaque fois et qu'elle collectait plus de données que prévu. La version « TousAntiCovid » a apporté en lisibilité. Mais le projet de modification du décret du 29 mai 2020 ajoute de nouvelles zones d'ombre sur cette application : je songe à la possibilité de scanner des QR codes pour entrer dans les lieux clos. Il est en outre prévu de lancer une collecte anonyme pour connaître le temps moyen d'utilisation du Bluetooth, le nombre de contacts croisés... Or nous ne connaissons pas le but de cette collecte.

M. Loïc Hervé.  - Eh oui !

Mme Maryse Carrère.  - Aujourd'hui, des millions de données sont collectées chaque jour sur nous.

Le RDSE est attaché aux libertés mais aussi sensible à la sécurité. Toute restriction de libertés doit être limitée dans le temps. N'intégrons pas de nouvelles mesures dans le droit commun. Chacun doit savoir où il est fiché, et pour quelles raisons.

Mme Cathy Apourceau-Poly .  - Je souhaite revenir sur les dangers d'un fichage massif des syndicalistes et des militants, d'un fichage politique de nos concitoyens. Rappelons-nous la place essentielle des syndicats et du mouvement social, dans une démocratie digne de ce nom, alors que la France est considérée comme une démocratie défaillante car il y est de plus en plus difficile de manifester.

Pourtant la mission des syndicats est de défendre collectivement les salariés, de combattre des plans qui n'ont de sociaux que le nom, de lutter contre les licenciements indus et de sauvegarder notre système de protection sociale.

Pourtant, plusieurs syndicalistes ont été condamnés à des amendes et à des peines de prison pour leur activité syndicale. Ils sont fichés comme s'ils étaient de dangereux délinquants. Comment justifier que le fait d'adhérer à un syndicat puisse porter atteinte à la sécurité intérieure, à l'intégrité du territoire ou aux institutions de la République ? Comment justifier que le droit à revendiquer puisse être considéré comme criminel ?

Les données de santé de nos concitoyens, qui suscitent les convoitises, sont un enjeu particulièrement sensible car elles peuvent révéler bien des choses sur la personne.

Elles pourraient ainsi être utilisées à des fins de refus de prêt bancaire ou de couverture complémentaire en cas de maladie.

Or Ma Santé 2022 propose une centralisation des données de santé. Cela sort du cadre strict du cabinet du médecin. L'hébergement par Microsoft des données de 67 millions de personnes sur douze ans nous interpelle, même si finalement le délai ne serait que de deux ans. Pourquoi s'adresser à Microsoft, alors que le Conseil d'État estimait qu'il ne pouvait être totalement exclu que les autorités américaines demandent l'accès à ces données ?

L'anonymat des patients n'est en outre pas toujours garanti : employeurs, assureurs et banquiers pourraient demander l'accès à ces données. L'accord national interprofessionnel de 2013 sur les complémentaires santé a ouvert aux assureurs l'accès privé aux fichiers santé des salariés, d'où un risque pour le respect de la vie privée.

Émile Combes dû démissionner en 1905 après l'affaire des fiches sur les opinions politiques, syndicales et religieuses des officiers. La généralisation des fichiers dans la société impose transparence et démocratie ! (Applaudissements sur les travées du groupe CRCE)

M. Loïc Hervé .  - Jamais en temps de paix nous n'aurons attenté à des libertés publiques aussi essentielles que la liberté d'aller et venir ou la liberté de commerce et d'industrie. Pour la bonne cause, comme dirait le Premier ministre : lutter contre une pandémie.

Ayons cependant toujours à coeur de préserver nos libertés démocratiques. Selon The Economist, elles ont régressé dans soixante-dix pays en 2020. Et la France est classée parmi les démocraties défaillantes.

Aussi je rends grâce au groupe CRCE pour ce débat. Ne nous laissons pas emporter par la séduction des accommodements raisonnables ou, pire, de l'accoutumance, mais demandons-nous toujours comment mieux protéger les libertés publiques, même quand nous luttons contre le terrorisme ou contre un virus.

Nous avons voté le droit pour l'administration fiscale de collecter des données. Certes, nous voulons une administration plus efficace, mais quid de la vie privée ?

Définie en 1948 par la Déclaration universelle des droits de l'homme, la protection de la vie privée a été réaffirmée à l'article 9 du code civil et précisée par des décisions du Conseil constitutionnel. Selon la loi Informatique et libertés de 1978, les fichiers rassemblant des données personnelles doivent faire l'objet d'un traitement spécifique.

Les fichiers de police et renseignements forment une catégorie à part, à la frontière entre répression et prévention. Nos concitoyens ont commencé à s'y intéresser par le prisme des fiches S, après les attentats terroristes de 2015. Efficaces pour identifier rapidement les auteurs, peuvent-elles être utilisées de manière préventive ?

L'utilisation de ces fichiers est strictement encadrée par un corpus juridique solide. Siégeant depuis six ans à la CNIL, je peux témoigner de son rôle en la matière, avec un contrôle préalable et un avis motivé sur chaque projet de fichier.

J'insiste toutefois sur le rôle incontournable du Parlement, notamment en ces temps où l'exécutif dispose de pouvoirs élargis.

Le texte Sécurité globale a été écrit sans étude d'impact ni avis du Conseil d'État. Pour la première fois, le président de la commission des lois du Sénat a saisi la CNIL ; celle-ci a répondu que les règles régissant l'usage des caméras aéroportées ne protégeaient pas suffisamment les données personnelles. Nous y serons attentifs, moi le premier en qualité de rapporteur du texte.

Le 4 janvier, le Conseil d'État, saisi en référé par des syndicats en raison d'un risque de surveillance de masse, a validé les trois décrets permettant de retracer les opinions politiques, les convictions religieuses et philosophiques et les appartenances syndicales. La terminologie retenue reprend celle du RGPD. La CNIL avait donné son accord à ces décrets qui visaient à lutter contre le terrorisme.

Sur presque tous les sujets, nous observons un recul sur les libertés publiques garanties par la Constitution. Plus que jamais, le rôle des magistrats et des autorités administratives indépendantes comme la CNIL est crucial. Nous serons toujours au rendez-vous pour protéger les libertés publiques et la vie privée : c'est le devoir et l'honneur du Sénat. (Applaudissements sur les travées du RDSE)

M. Jérôme Durain .  - (Applaudissements sur les travées du groupe SER) Je remercie le CRCE d'avoir demandé ce débat. Nous défendons tous les libertés publiques chères au Sénat.

Le groupe SER avait demandé l'audition du ministre de l'Intérieur dès le 11 décembre, ce que le président Buffet a accepté. Nous avons donc entendu le ministre le 12 janvier.

Chaque citoyen est fiché, souvent de son plein gré : qui n'a pas adhéré à un parti politique, créé un compte Google ou demandé sa carte de sécurité sociale ?

Nous avons tendance à être moins regardants vis-à-vis des fichiers privés que vis-à-vis des fichiers publics. C'est que rares sont les entreprises privées qui ont pris le contrôle d'un pays, tandis que les États disposent de leur police et de leurs prisons.

Certes, la lutte contre le terrorisme est importante, mais il faut accepter cet antagonisme entre des volontés divergentes : le ministre de l'Intérieur doit accepter que les citoyens soient réticents au fichage et les citoyens, que l'État veuille défendre leur sécurité. (M. Loïc Hervé renchérit.)

Lors de l'audition du ministre, j'avais regretté que ces fichiers entretiennent un climat malsain en donnant le sentiment de contrevenir aux libertés publiques. M. Darmanin m'avait répondu, un peu courroucé, qu'il ne pouvait laisser dire cela. Il me semble que le Gouvernement devrait toujours laisser les parlementaires dire tout ce qu'ils veulent. (M. Loïc Hervé le confirme.)

Selon M. Darmanin, le Conseil d'État et la CNIL ont validé ces fichiers, qui auraient même été conçus à la demande de cette dernière. Or Mme Marie-Laure Denis nous a fait part - c'est au compte rendu de la commission des lois - d'une évolution sémantique, les « activités politiques, religieuses, philosophiques et syndicales » étant devenues des « opinions politiques, des convictions philosophiques et religieuses et une appartenance syndicale », sans que la CNIL ait été consultée.

Marie-Laure Denis nous a aussi rappelé que l'avis de la CNIL ne validait ni n'invalidait les textes mais avait vocation à éclairer le pouvoir réglementaire ou le législateur, et qu'il appartenait au juge administratif de se prononcer sur la légalité des actes réglementaires.

Le Conseil d'État s'est prononcé en référé sans déceler de doutes sérieux sur la légalité du texte, mais examinera le fond ultérieurement. Le collège de la CNIL n'a pas été consulté. Peut-être le Gouvernement voudra-t-il répondre à ces éléments ? (Applaudissements sur les travées des groupes SER et CRCE ; M. Loïc Hervé applaudit également.)

M. Yves Bouloux .  - Concilier droit individuel et droit de la société, liberté et ordre public n'est pas un problème récent. L'article 9 du code civil consacre le respect de la vie privée. Les trois décrets du 4 décembre 2020 ont fait l'objet d'une tribune dans Libération dans laquelle de nombreux élus de gauche et écologistes dénonçaient une atteinte démocratique et le mépris du Parlement.

Il est vrai que les parlementaires ont appris l'existence de ces décrets dans la presse après leur publication. C'est incompréhensible.

En juin 2008, le décret Edvige (Exploitation documentaire et valorisation de l'information générale) créait un fichage des personnes ayant un engagement politique, religieux ou syndical. Il fut heureusement retiré.

Aujourd'hui, avec les réseaux sociaux, chacun est fiché. Il semble plus facile de s'inscrire sur Facebook ou Instagram que de télécharger « TousAntiCovid ». (M. Loïc Hervé le confirme.)

La défiance vis-à-vis de l'État doit interpeller. L'État est de moins en moins capable de garantir la sécurité sans attenter aux libertés. La sécurité, rappelons-le, n'est pas une liberté mais une condition de son exercice.

Pourquoi ces fichiers interrogent-ils ? Parce qu'ils portent sur des opinions et des données de santé, et non des activités. Le fichier EASP (enquêtes administratives liées à la sécurité publique) est utilisé avant le recrutement de fonctionnaires sur des postes sensibles pour éviter d'embaucher des personnes potentiellement dangereuses ou radicalisées ; les deux autres fichiers, PASP (prévention des atteintes à la sécurité publique) et Gipasp (gestion de fonds de l'information et prévention des atteintes à la sécurité publique), respectivement gérés par la police et la gendarmerie, portent sur des individus pouvant porter atteinte à la sécurité de l'État.

Ils ont fait l'objet de recours contentieux mais le Conseil d'État jugeant en référé a estimé qu'il n'y avait pas lieu de les suspendre : d'une part, seules les activités susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l'État pourront donner lieu à l'enregistrement de données ; d'autre part, il sera interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles.

Jusqu'au jugement au fond, ces fichiers sont légaux. Mais tout ce qui est légal est-il souhaitable ?

En quoi ficher des opinions garantit-il le bon déroulement d'une manifestation ? Élargir ces fichiers, c'est dire qu'une opinion peut représenter un danger. C'est une rupture dans la manière de penser la sûreté.

En 2009, Robert Badinter s'inquiétait déjà d'un recours presque obsessionnel aux fichiers, et du passage d'une justice de liberté à une justice de sûreté. Les personnes concernées seront-elles pleinement informées et auront-elles accès à leur droit de rectification ? La consultation pourra-t-elle entraîner des arrestations ou des non-recrutements ?

Mme Annie Le Houerou .  - (Applaudissements sur les travées du groupe SER) La pandémie de Covid-19 a été l'occasion d'une prolifération de virus... informatiques !

Des établissements de santé, des laboratoires et centres de recherche ont été victimes de piratage, les données ayant été revendues à prix d'or. En juillet, Moderna était victime d'une cyberattaque, comme AstraZeneca en novembre ; en janvier, on apprenait la présence de données corrompues de Pfizer sur le dark web.

La CNIL a publié un avis sur « StopCovid » en estimant que l'application ne saurait être déployée que si son utilité dans la lutte contre l'épidémie était avérée ; la durée d'utilisation des données devait être limitée. Le tracing entraîne en effet une dispersion des données dans les messageries et la durée de conservation est trop longue, ce qui ne respecte pas le RGPD.

Insidieusement, « TousAntiCovid » tombe dans les mêmes travers.

En janvier 2021, Christian Babusiaux, ancien président de l'Institut des données de santé, appelait à rompre le contrat avec Microsoft qui laisse craindre une exploitation des données de santé des Français à d'autres fins que ce qui était prévu. Le Gouvernement s'est engagé à les retirer d'ici deux ans : c'est trop long !

Le projet de loi incluant un passeport sanitaire, même reporté, devra appeler notre vigilance.

La protection des données personnelles, fortiori de santé, doit être assurée. Elles sont particulièrement convoitées et le Gouvernement doit garantir notre indépendance nationale en la matière.

Le groupe socialiste et républicain sera particulièrement vigilant en la matière. (Applaudissements sur les travées des groupes SER et CRCE)

Mme Marlène Schiappa, ministre déléguée auprès du ministre de l'intérieur, chargée de la citoyenneté .  - Je suis heureuse de participer à ce débat sur un sujet fondamental.

Dans la décennie passée, nous avons connu trois mouvements majeurs : un contexte sécuritaire qui s'est tendu, des évolutions techniques et technologiques rapides et un droit des données qui n'a cessé de s'étoffer, avec l'entrée en vigueur du RGPD en 2018 et sa transcription dans la loi Informatique et libertés. La situation d'aujourd'hui est née de ces trois mouvements.

L'exigence de transparence et de précision vis-à-vis de ces fichiers s'est accrue. Seules les données strictement nécessaires doivent être conservées. Mais il y a une exigence contradictoire vis-à-vis de ces fichiers. Les Français sont de plus en plus exigeants et méfiants, mais, en même temps, ils veulent de plus en plus de sécurité contre les menaces.

Pour cela, les fichiers sont indispensables, comme pour enquêter sur les personnes susceptibles de remplir des fonctions sensibles.

Tandis que le RGPD constituait un vrai changement de paradigme en supprimant l'autorisation préalable, la France a fait le choix de conserver un régime particulièrement strict pour des fichiers, qui ne peuvent être créés qu'après un acte règlementaire pris après avis de la CNIL, voire du Conseil d'État. Chaque fichier du ministère de l'Intérieur doit respecter des règles cardinales telles que les principes de légitimité, de proportionnalité, de pertinence, d'exactitude. Les informations enregistrées doivent être strictement nécessaires, exactes et à jour.

Les données doivent pouvoir être corrigées ou supprimées lorsqu'elles apparaissent inexactes et elles n'ont qu'une durée limitée. Le droit d'accès et de rectification est assuré.

Je rappelle que deux parlementaires...

M. Loïc Hervé.  - Quatre !

Mme Marlène Schiappa, ministre déléguée.  - ... sont membres de la CNIL, ce qui renforce le contrôle.

Une fois le fichier « validé » par la CNIL et le Conseil d'État, il fait l'objet de contrôles constants ; contrôles internes sur la qualité et contrôle externe de la CNIL.

Les auteurs du rapport d'information de l'Assemblée nationale de 2018 sur ce sujet saluaient une véritable culture du respect des libertés individuelles dans la police et la gendarmerie.

Nous parlons là de 65 000 personnes, bien loin de la proportion - une sur onze - qui a été avancée.

Pourquoi avoir changé la rédaction, passant des activités syndicales, philosophiques ou religieuses aux opinions ? C'est une demande du Conseil d'État, pour mieux tenir compte de la loi Informatique et libertés.

La traduction française du RGPD cite les « opinions », nous nous sommes donc alignés. L'examen par le Conseil d'État intervenant après celui de la CNIL, il est normal que celle-ci ne se soit pas prononcée sur ces mots.

Ces fichiers apportent en réalité une contextualisation : ainsi, il peut être utile de savoir qu'une personne adhère aux thèses antispécistes lorsqu'elle appelle à la dégradation de magasins d'alimentation. Appartenir à un syndicat en soi ne justifie pas un fichage, ce n'est pas une donnée intéressante pour les services. En revanche, si une personne radicalisée est représentante des salariés dans une entreprise, elle est susceptible d'utiliser ces fonctions pour inciter à la violence voire au passage à l'acte.

Aucun dispositif de reconnaissance faciale n'est prévu, je vous renvoie au communiqué de la CNIL en date du 11 décembre. Les moins de 13 ans ne peuvent pas être fichés. Il n'y a pas d'interconnexion automatisée entre les fichiers. Il ne peut y avoir que des rapprochements manuels.

Seules les personnes représentant une menace grave pour la sécurité peuvent être fichées. Toutes les personnalités politiques ou syndicales ne le sont pas. Les données que nous fournissons chaque jour à Google sont bien plus sensibles et nullement contrôlées...

Des personnes morales peuvent être une menace pour la sécurité publique et c'est l'objet du projet de loi destiné à conforter les principes républicains que de cibler les associations violentes, les groupes criminels, les gangs et les sectes. Mais le fichage est individuel : la participation à des groupes dangereux sera notée mais les groupes eux-mêmes ne seront pas fichés.

Il peut être important de signaler qu'un individu représentant une menace appartient à un groupement, pour déterminer son cercle d'influence. Face aux tentatives d'entrisme, il est fondamental de disposer de telles données.

Quant à « TousAntiCovid », les données de santé sont traitées exclusivement par le ministère de la Santé. Elles ne sont pas utilisées par le ministère de l'Intérieur.

Le Gouvernement partage votre attachement fondamental aux libertés publiques, qui font la grandeur de la démocratie.

Les conclusions de la Conférence des présidents sont adoptées.

Prochaine séance, mardi 16 février 2021, à 14 h 30.

La séance est levée à 23 h 25.

Pour la Directrice des Comptes rendus du Sénat,

Rosalie Delpech

Chef de publication