Intervention de Hélène Lipietz

Dans le même temps, les empreintes digitales sont devenues un moyen de contrôler non pas le délinquant, mais l’accès à certaines cantines scolaires.

Le site internet qui permet la délivrance d’un extrait de casier judiciaire n’a prévu aucun contrôle du destinataire : la seule protection de cette donnée personnelle est l’indication – certes, à trois endroits différents du site – que « la loi interdit de faire délivrer votre bulletin à une tierce personne ». Mes chers collègues, je vous invite à le constater par vous-mêmes en vous connectant à ce site, comme je l’ai fait hier !

Le fichier génétique est au cœur même de l’intime. Initialement prévu pour les délinquants sexuels, il a été progressivement étendu à la délinquance aux biens, y compris pour les faucheurs volontaires. Or la comparaison génétique amène à y trouver une personne non fichée mais dont l’un des parents l’est, ce qui, sur trois générations, voire sur deux, étendra le champ des personnes fichées à toute la société !

Des entreprises internationales – acteurs aujourd’hui incontournables – imposent à la planète des conditions juridiques d’utilisation des données personnelles des plus douteuses, mais parfaitement légitimes au regard des normes en vigueur outre-Atlantique.

On le voit, la définition même de « donnée à caractère personnel » n’est la même ni d’une époque à l’autre, ni d’une personne à l’autre, ni d’un organisme public à l’autre, ni d’un continent à l’autre.

De plus, les données personnelles individuelles peuvent se révéler des « données personnelles sociales », nécessaires à la collectivité sans que l’identification de la personne soit pour autant requise. Ainsi, si les données médicales sont des données personnelles, elles deviennent des « données personnelles sociales » lorsqu’il s’agit de les exploiter dans l’intérêt de la société. En Suède, par exemple, toutes les données médicales sont rendues anonymes puis centralisées pour l’étude automatique des cohortes, afin d’en tirer des indications permettant une meilleure prévention, une meilleure qualité des soins ainsi qu’une meilleure utilisation des capacités médicales. La société entière – donc chacun en particulier – bénéficie de cette utilisation collective des données anonymisées de chacun.

En France, la collecte de telles données nécessite la bonne volonté des médecins, ce qui la rend moins systématique et moins exhaustive. Il est vrai que, depuis le douloureux souvenir du « fichier des Juifs », retrouvé quarante ans plus tard, la société française a totalement bloqué sa réflexion sur l’utilisation des informations personnelles sociales collectées – quand bien même elles seraient anonymisées –, notamment les données liées à l’origine ethnique.

Ce scrupule, les multinationales ou d’autres pays ne l’ont pas actuellement. En effet, ces données personnelles individuelles ou sociales sont aussi des données économiques lucratives. Aujourd’hui, notre vie privée intéresse les marchands de tout poil, les assureurs, les banques et autres services privés, qui peuvent ainsi mieux cibler leur offre de services – et mieux nous prendre dans leurs filets –, sans compter les services secrets, au nom d’une veille antiterroriste généralisée.

En réalité, le problème est double. D’une part, comment protéger les citoyens, parfois contre eux-mêmes ? D’autre part, comment utiliser les données individuelles dans un but collectif ?

Si la publication des données collectivisées et anonymisées, de manière large, gratuite et sans aucune possibilité de rétro-information individuelle, est une nécessité citoyenne, il n’empêche qu’il faut restreindre à tout prix l’accès aux données personnelles, les réserver aux services régaliens et aux usages indispensables pour l’intérêt de la personne. C’est le porteur de données qui doit être le seul et unique bénéficiaire des données le concernant.

En ce qui concerne les données sociales, l’enjeu est de couper le cordon ombilical entre la donnée personnelle et la collectivisation de ces données, sans aucune possibilité de retour en arrière.

Ce double défi passe d’abord et avant tout par la prévention, et donc par l’éducation à l’usage d’Internet. Nous devons apprendre et apprendre à nos enfants à rester maîtres de nos données.

La CNIL, en partenariat avec ses équivalents européens, pourrait jouer le rôle de gendarme, dans un cadre européen et dans le respect des exigences républicaines actuelles. Cela dit, face à la course technologique, est-elle en mesure de jouer ce rôle aujourd'hui de la même manière qu’en 1978 ? A-t-elle les moyens humains de faire face au poids économique de nos données ? Ne pourrait-on pas penser à la faire évoluer pour lui permettre de mieux répondre à ces nouveaux enjeux ?

Ne faut-il pas aussi criminaliser ceux qui veulent faire de nos vies une nouvelle marchandise et, surtout, augmenter de manière dissuasive le montant des amendes qui leur sont infligées ? Nous ne pouvons faire l’économie de cette réflexion.