Il a sorti son costume du dimanche qui le serre un peu et il sue à grosses gouttes. Richard S. sait qu’il joue sa chemise dans l’histoire. Les voilà. Les trois jeunes gens, parfaitement courtois et sérieux comme des papes, se présentent d’une voix douce et lui tendent leur lettre de mission : ce sont les contrôleurs de la Commission nationale de l’informatique et des libertés (CNIL).
Ils viennent vérifier le système bluetooth installé par la mairie de Rennes : sept bornes, disséminées dans la ville, envoient un message sur les portables lorsqu’on passe devant. Moins de 5 % des gens acceptent, et subissent pour leur peine un long monologue sur le dernier conseil municipal.
Richard S. a décroché le marché, mais sa petite entreprise peine à décoller et il n’en peut plus de négocier toutes les semaines avec les banques. Il a déjà eu un contrôle de la direction centrale du renseignement intérieur (DCRI, l’ex-DST), et l’a trouvé "moins pénible que celui de la CNIL". C’est que la commission a minutieusement exploré les interfaces du site, multiplié les copies d’écran, vérifié la durée de conservation des données.
La mairie et son prestataire vont recevoir une mise en demeure, comme dans 90 % des contrôles, avec des recommandations classiques : le fichier doit être déclaré, puisqu’il s’agit du traitement d’informations personnelles ; les bornes doivent signaler aux passants qu’ils peuvent accéder à leurs données personnelles et la sécurité informatique doit être renforcée. Richard S. s’éponge le front. Rien de bien méchant. L’équipe de la CNIL s’en retourne à Paris, rue Vivienne, dans l’hôtel particulier de la commission.
L’immense majorité des contrôles de la CNIL - plus de 200 par an, presque tous inopinés - se passe paisiblement. Judicaël Phan, auditeur de ce service, se souvient avoir dû, un jour, appeler la police parce que le responsable d’une société de spams menaçait de se jeter par la fenêtre. L’informaticien de l’équipe, lui, s’est vu claquer la porte au nez un matin. L’après-midi, "il n’y avait plus de lumières. Il a fallu travailler dans le noir, pour ne pas que les salariés voient le contrôle, rigole Julien Drochon. Avec un huissier pour nous surveiller..."
C’est que la CNIL, née en 1978, n’est plus toujours en retard d’une avancée technologique. La loi du 6 août 2004 lui a donné un pouvoir de contrôle et de sanction, la possibilité d’autoriser la création de fichiers sensibles. Mais 90 % de ses délibérations et décisions concernent aujourd’hui le privé.
La moyenne d’âge de ses 120 agents tourne autour de 35 ans, exception faite des 17 commissaires, membres du Parlement ou chenus représentants de grands corps de l’Etat. Les petits jeunes ont un enthousiasme intact. "On a une vraie vocation à travailler ici, résume Xavier Delporte, le représentant syndical. On n’est pas d’accord sur tout, mais on est passionné. Qui a la chance aujourd’hui de faire un métier comme ça ?" Les juristes comme les informaticiens gagneraient plus ailleurs, mais ont le vif sentiment de "défendre les libertés".
"Nous avons profondément changé, se réjouit Yann Padova, le secrétaire général de la commission. Depuis la loi de 2004, nos délibérations ont augmenté de 765 %, nos contrôles sur place de 1 534 %." Les effectifs ont augmenté de 65 % et la CNIL, avec un budget de 13 millions d’euros, se hisse peu à peu au niveau de ses homologues européens. En bataillant contre le Parlement qui, chaque année, entend réduire les crédits des autorités administratives indépendantes, et elle vient encore d’éviter une disparition pure et simple.
La visite commence à "la salle des machines", le service d’orientation et de renseignement du public (SORP). On explique au téléphone comment déclarer des fichiers, et résoudre mille problèmes du quotidien. "Beaucoup se plaignent de la publicité, des spams, ou du fichage des banques, explique Emilie Passemard, chef du service. La surveillance des salariés, surtout, est devenue un gros pôle de préoccupation." En 2008, les 15 personnes du SORP ont absorbé 25 000 courriers et 78 000 appels. Les affaires plus épineuses vont jusqu’à la direction des affaires juridiques.
La CNIL reçoit 4 500 plaintes par an. Un courrier suffit souvent à régler le problème, "quand on sent qu’il y a risque de destruction de preuves, on envoie le service des contrôles", explique Florence Fourets, directrice des relations avec les usagers. Et si les mises en demeure restent sans effet, l’affaire arrive devant la formation restreinte de la commission, devenue de facto une juridiction. L’entreprise, accompagnée de ses avocats, vient plaider son dossier, elle peut se voire infliger jusqu’à 150 000 euros d’amende. Trois entreprises ont ainsi écopé de 30 000 euros en 2008.
Pour ne pas se laisser promener, la CNIL s’est dotée d’un service expertise dirigé par un ingénieur en télécommunications, docteur en informatique, qui répond au noble patronyme de Gwendal Le Grand. "Le succès pour nous, c’est lorsque les industriels viennent nous consulter en amont sur la sécurité de leurs systèmes, explique le jeune cadre (34 ans). Ça leur permet de développer des projets, dont on vérifie qu’ils protègent effectivement les libertés." Il a rassemblé une équipe de haut niveau qui se passionne - et s’inquiète - du développement des nanotechnologies, a tourné un petit film amusant pour montrer comment contourner les accès par identification d’empreinte digitale. L’équipe se targue d’avoir fait avancer un mastodonte comme Google sur la durée de conservation des données. Et propose des solutions techniques aux commissaires, qui prennent encore souvent une souris pour un mulot. "Notre métier, c’est de comprendre techniquement et d’expliquer simplement", sourit M. Le Grand.
C’est avec les fichiers de police que la mission de la CNIL est la plus éprouvante. D’abord parce qu’ils se multiplient (une soixantaine à ce jour) dans une indifférence parlementaire quasi totale, ensuite parce qu’on ne demande pas à la CNIL si les textes du gouvernement sont opportuns mais s’ils sont conformes à la loi. Difficile exercice, où les rugueuses négociations avec les ministères régaliens n’apparaissent guère, et la commission donne parfois l’impression d’avaler son lot annuel de couleuvres. Ainsi pour la loi Hadopi, vertement critiquée par la CNIL, qui a fini par être votée par son président Alex Türk, sénateur du Nord : il a considéré qu’une partie suffisante des réserves de la commission avait été levée.
"Il ne nous appartient pas de dire si c’est bien ou mal, explique Alex Türk. Nous rendons des avis motivés et circonstanciés pour souligner tel ou tel problème, ce qui exclut tout manichéisme. C’est un travail d’orfèvre : on peut admettre qu’il est nécessaire, avec la biométrie, de restreindre les libertés dans un aéroport, mais pas dans une cantine scolaire. Nous ne sommes pas pour ou contre la biométrie, ça n’a pas de sens. Et ça n’est pas facile à faire passer."
La loi informatique et libertés accorde aux citoyens un "droit d’accès indirect" aux fichiers de police, mais il faut s’armer de patience. "C’est ingrat, reconnaît Bérangère Monegier du Sorbier, la chef de service. Les "demandeurs" reçoivent un accusé de réception dans les dix jours et n’entendent plus parler de nous pendant deux ans. La durée de la procédure est insupportable." 2 500 demandes arrivent chaque année et donnent lieu à 7 000 investigations : il faut rassembler les procédures, éparpillées dans toute la France pour les Renseignements généraux, interroger les fichiers centralisés, puis les parquets pour connaître les suites judiciaires, et ils (elles) ne sont que quatre pour abattre le boulot.
La CNIL répète que le principal fichier de police, le gigantesque Système de traitement des informations constatées (STIC, 28,3 millions de victimes, 5,5 millions d’auteurs) est truffé d’erreurs. En 2008, la commission a rectifié 66 % des dossiers, en a fait supprimer 17 % ; seuls 17 % d’entre eux étaient exacts, soit un taux d’erreur de 83 %. Des erreurs qui restent gravées dans le marbre. "Un million de personnes ont besoin d’un agrément pour travailler, explique Mme du Sorbier. Il suffit qu’ils soient fichés au STIC pour ne pas obtenir leur emploi."
Emmanuel de Givry, conseiller à la Cour de cassation, est l’un des magistrats chargé d’exercer ce "droit d’accès indirect". Il est bavard, charmant et enthousiaste. "C’est une chance inestimable d’être là, sourit le juriste, les matières traitées par la CNIL me rajeunissent." Il a rendez-vous ce jour-là rue des Saussaies avec deux discrètes policières ; on épluche quelques dossiers, que le magistrat fait rectifier. "Ils nous montrent ce qu’ils veulent, évidemment, convient M. de Givry, mais on a contrôlé le fichier et été agréablement surpris qu’ils aient si bien joué le jeu."
Le magistrat décide de ce qui est communicable à l’intéressé. Pour les fameuses fiches RG, c’est toujours décevant. Tel élu, approché par la DST parce qu’il était souvent allé en Chine, se croyait "un peu dans la ligne de mire ". Dans son dossier RG, il y avait le nom de ses parents et une erreur sur le prénom de sa mère. Amère déception, il n’était même pas fait mention de sa couleur politique.
Un journaliste retraité, auteur angoissé d’un papier qu’il pensait au vitriol sur un ministre, a découvert dans son dossier trois notes de 1972 et la photocopie d’un entrefilet qu’il avait commis vers 2003. "On taperait mon nom sur Google, il y en aurait mille fois plus, se désole le vieux monsieur. Il n’y a même pas de quoi faire une "nécro" là-dedans." Que fait la police ?
.
Franck Johannès