La Commission, presque 30 ans d’age, ne remplit pas sa mission d’organe indépendant qui peut protéger le citoyen contre l’énorme braquage numérique de ses données intimes.
En soi, les décisions, interventions et (rares) dénonciations au parquet de la CNIL risquent bien de dessiner les chapitres fondamentaux de la Novlang officielle. Sur de nombreuses affaires, la Commission - soit par manque de moyens ou de volonté, soit par absence de pouvoirs, après que son président Alex Turk ait participé lui-même à la perte desdits pouvoirs (cf dossier BBA 2004) - n’a pas joué son rôle d’arbitre au service du citoyen.
Sous couvert de renforcer les pouvoirs de la CNIL, Alex Turk a défendu une refonte de la loi Informatique et libertés qui, de fait, lui retirait le pouvoir de bloquer la mise en oeuvre des fichiers "de sûreté" (policiers notamment), mais lui accordait certes des pouvoirs de sanction. Ce qui pouvait passer pour une contrepartie s’avère n’être qu’un jeu de dupe : depuis, les fichiers policiers sont avalisés sans tenir compte des remarques de la CNIL, et aucune sanction n’a été rendue publique, suivant en cela la politique de la CNIL qui, depuis 1978, n’a dénoncé au parquet qu’une vingtaine d’affaires (sur plusieurs dizaines de milliers de plaintes, son équivalent britannique en dénonçant plus d’une centaine par an).
Une exemple ? Dans l’affaire du fichier des précaires de Vitry-le-François, soulevé par de nombreuses associations (prix Orwell 2004 pour la ville et le Conseil général), aucune démarche, action juridique ou sanction administrative n’a été ni engagée ni demandée par la CNIL. Les travailleurs sociaux avaient été informés en avril 2005 qu’un des commissaires ferait le déplacement dans la région pour éclaicir ces faits. Mais rien ne s’est passé. Un peu avant une poignée de manifestants, dont des travailleurs sociaux marnais, étaient venu demander que la CNIL intervienne. Un dossier qui aurait du mener à des poursuites, car manifestement non déclaré dans les règles à la CNIL et prévu par aucun texte.
Autre exemple, le bug de la carte Vitale (1). Le 24 mars 2004, le président Alex Turk écrit à Jérôme Crêtaux, qui a découvert la faille (et qui travaille avec les association de défense des données de santé ADAS et ACIs-VIPI), pour dire qu’il a bien reçu son courrier du 17 novembre 2003 dénonçant le bug, qu’il en a saisi le 19 décembre 2003 le président du GIE ; enfin il a "l’honneur de [l’] informer que le GIE Sesam-Vitale a confirmé à la commission que les APIs de lecture nécessitaient la présence simultanée de la carte Vitale et d’une carte de professionnel de santé pour que les données relatives à l’Exonération du Ticket Modérateur soient accessibles". Le tout sans trace d’étude indépendante quelconque. Preuve sera faite ensuite que le problème technique est vraiment sérieux dans le système Vitale (2).
Sur les questions de lutte contre le piratage dans la musique, la CNIL n’a pas fait non plus preuve de volonté d’action en faveur des citoyens. Depuis près de trois ans, certaines sociétés privées font pression sur le gouvernement et les élus pour pouvoir se substituer à la police et à la justice sur internet. La CNIL, après avoir dérapé, a enfin pris ses responsabilités mais le collectif EUCD et la Ligue ODEBI ont montré le double-jeu passif de la CNIL sur ce dossier (3) et les conséquences que cela a entraîné dans la rédaction du projet de loi Dadvsi débattu en décembre 2005 au Parlement.
Autre exemple, la loi de lutte contre le terrorisme (version 2005), en attente de validation par le Conseil Constitutionnel. L’avis du 10 octobre rendu par la CNIL préconise notamment, sur l’article visant à la "consultation de fichiers administratifs détenus par le ministère de l’intérieur".
Verbatim : "L’article 12 du projet de loi prévoit la possibilité pour « les agents individuellement habilités" (...) d’accéder à certains fichiers administratifs existants. (...) Si la Commission ne conteste pas la légitimité des finalités exposées, elle considère toutefois que l’accès permanent, au bénéfice de services de police et de gendarmerie, au contenu de fichiers à vocation administrative recensant une grande partie de la population française et des personnes étrangères séjournant ou souhaitant séjourner sur le territoire national doit s’entourer de garanties particulières" (4).
Garanties "particluières" seulement... La CNIL poursuit : "En ce sens, la Commission prend acte des précisions apportées par le ministère de l’intérieur selon lesquelles les accès aux différents traitements seront limités à de simples consultations, sans extraction de données et sans interconnexion avec d’autres fichiers. Elle demande en conséquence que ces précisions, substantielles, soient portées dans l’article 12 du projet de loi."
Dans la loi présentée au Parlement le 25 octobre, l’article (devenu article 8), ne contient nullement les précisions demandées par la commission (5). Que fait la police de la CNIL ?
La CNIL a aussi montré ses limites en autorisant les assureurs - complémentaires santé Mutualité française, AXA (2004), Groupama et Swiss Life (en 2005) à constituer des fichiers de prescriptions des assurés sociaux, sous réserve d’une soi-disante "anonymisation". (6)
En dans le cadre des nouveaux fichiers d’infraction sur lesquels la CNIL lâche prise, citons enfin un exemple qui concerne un multirécidiviste des sélections BBA : le pass Navigo (RATP et SNCF). Verbatim document de la CNIL de décembre 2004 :
"Lors de sa séance du 9 décembre, (...) la Commission a autorisé, en assortissant néanmoins sa décision de conditions spécifiques supplémentaires, la SNCF à étendre la mise en œuvre des traitements relatifs à la gestion des données de validation du passe « Navigo ». Ce traitement a notamment pour finalité de détecter la contrefaçon éventuelle des titres de transport et, de manière générale, la fraude technologique. *C’est uniquement dans ce cadre du traitement de détection de la fraude que les données de validation, contenant des informations relatives aux déplacements des personnes, sont associées au numéro de carte, seul élément renvoyant indirectement à l’identité d’un usager*, les données utilisées dans le cadre des autres traitements faisant l’objet d’une anonymisation." (7)
On pourrait également citer le procès de ces étudiants (nominés au prix Voltaire) qui sont poursuivis pour avoir détruit deux bornes biométriques illégalement installées dans un lycée (nominé au prix Orwell), et pour lequel l’un des anciens présidents de la CNIL a pris partie, la CNIL actuelle s’illustrant pour sa part en ne s’exprimant aucunement.