Intervention de Marlène Schiappa

Mesdames, messieurs les sénateurs, je me réjouis de la tenue de ce débat et de pouvoir participer à vos échanges très riches sur ce sujet fondamental du respect des libertés publiques, de la protection de la vie privée et du nécessaire état des lieux des fichiers dans notre pays.

Avant de réagir à vos propos et, je l’espère, d’apporter des réponses aux questions et aux observations qui ont été formulées ce soir, je voudrais partager avec vous quelques éléments.

Dans la décennie passée, nous avons connu trois mouvements majeurs en matière de fichiers de sécurité en apparence contradictoires, mais que nous avons voulu et, je l’espère, su concilier. Premièrement, un contexte sécuritaire qui s’est globalement tendu, avec une menace terroriste désormais structurante. Deuxièmement, des évolutions techniques et technologiques qui ouvrent de nouvelles potentialités de traitement des données. Troisièmement, un droit des données qui n’a cessé de s’étoffer et de se préciser, avec notamment l’entrée en vigueur dans notre droit du règlement général sur la protection des données de 2018, via sa transcription dans la loi Informatique et libertés que vous connaissez bien.

C’est de ce triple mouvement qu’est issue la situation que nous connaissons aujourd’hui. Elle se caractérise, me semble-t-il, par de nouveaux besoins des services de sécurité en termes d’accès aux fichiers, d’interconnexion, de fiabilisation des identités des personnes inscrites, d’exigence accrue de transparence et de précision, cela a été mentionné à plusieurs reprises, sur chacun des fichiers, sur leurs finalités, leurs modalités de fonctionnement, les mesures prises pour s’assurer que ne sont collectées et conservées que les seules données strictement nécessaires.

J’observe une forme d’exigence contradictoire à l’égard de l’État, cela a été dit également. Les Français, et c’est heureux, sont de plus en plus sensibilisés aux enjeux de leurs données et du traitement qui peut en être fait. Ils sont aussi parfois méfiants envers des fichiers mis en œuvre par l’État et singulièrement par le ministère de l’intérieur.

Dans le même temps, il me semble que les Français attendent aussi des policiers et des gendarmes qu’ils puissent anticiper, prévenir les menaces, agir, détecter dès que possible les individus potentiellement dangereux, travail quotidien pour lequel le recours aux fichiers est bien souvent, chacun le comprend, indispensable.

À cet égard, la demande croissante d’enquêtes administratives sur des personnes exerçant des métiers sensibles de la sécurité, mais aussi de l’enseignement, de la santé et des services publics est révélatrice.

Dans ce contexte, nous avons fait le choix, en France, de conserver un régime de fichiers de sécurité très protecteur. En effet, alors que le RGPD et la directive Police-Justice de 2018 régissant les fichiers dont nous débattons ce soir ont inauguré un vrai changement de paradigme, notamment en supprimant le régime de déclaration d’autorisation des fichiers, nous avons fait le choix de maintenir un régime d’autorisation pour les fichiers de sécurité.

Cela signifie que tout traitement de données à caractère personnel qui intéresse la sûreté de l’État, la défense ou la sécurité publique, ou qui a pour objet la prévention, la recherche, la constatation et la poursuite des infractions pénales, l’exécution des condamnations et des mesures de sûreté, doit être autorisé par un acte réglementaire pris après un avis de la CNIL.

Parmi ces traitements, ceux qui portent sur des données dites sensibles – je pense aux données biométriques – sont particulièrement encadrés, puisqu’ils doivent être systématiquement autorisés par décret en Conseil d’État, pris après avis de la CNIL. D’ailleurs, les décrets qui ont été évoqués apportent des actualisations sémantiques sur ces questions, je tiens à le préciser.

Chacun des fichiers du ministère de l’intérieur doit donc respecter les dispositions cardinales du droit des données personnelles. Ces données doivent être collectées et traitées de manière loyale et licite – c’est le principe de légalité ; elles doivent être collectées pour des finalités déterminées, explicites et légitimes – c’est le principe de finalité ; le responsable d’un traitement ne peut enregistrer ou utiliser des informations sur des personnes physiques que dans un but précis, légal et légitime ; elles doivent être adéquates, pertinentes, non excessives au regard des finalités recherchées - c’est le principe de proportionnalité et de pertinence.

Les informations enregistrées doivent donc être strictement nécessaires au regard de la finalité donnée et connue du fichier. Elles doivent être exactes, évidemment, et tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, puissent être effacées ou rectifiées, et ce sans tarder.

Elles doivent enfin être conservées sous une forme qui permette l’identification des personnes concernées pendant une durée n’excédant pas ce qui est nécessaire au regard des finalités de traitement.

Monsieur le sénateur Yves Bouloux, les droits des personnes concernées doivent également être respectés : droit d’accès, droit de rectification, droit d’effacement et droit de saisir la CNIL gratuitement.

Concrètement, chaque fois que le ministère de l’intérieur envisage de créer ou, le plus souvent, de modifier un traitement de données à caractère personnel, il doit d’abord prouver à la CNIL, puis au Conseil d’État, que le traitement envisagé respecte tous ces grands principes. J’ajoute que deux parlementaires sont membres de la CNIL, …