Séance en hémicycle du 10 février 2021 à 22h00

La séance est reprise.

L’ordre du jour appelle le débat, organisé à la demande du groupe communiste républicain citoyen et écologiste, sur le thème : « Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays. »

Dans le débat, la parole est à Mme Éliane Assassi, pour le groupe auteur de la demande.

Madame la présidente, madame la ministre, mes chers collègues, la pratique des fichiers et du fichage est ancienne, mais sa massification et sa banalisation suscitent des interrogations. C’est pourquoi nous avons demandé l’inscription de ce débat à l’ordre du jour du Sénat.

Alors que la France a longtemps été un pays où la protection du droit à la vie privée était très forte, on glisse vers une acceptation de la multiplication des fichiers, voire la certitude que celle-ci est nécessaire.

Ainsi, en octobre 2018, le rapport de l’Assemblée nationale sur les fichiers de police dénombre près de 106 fichiers « mis à la disposition des services de sécurité », contre 58 en 2009.

Face à ce mouvement effréné de création de fichiers et de récolte de données personnelles, dont la finalité et l’usage réels interrogent, nous avons souhaité l’organisation de ce débat.

En effet, nous assistons à une banalisation de l’usage gestionnaire des fichiers par l’ensemble des administrations pour rationaliser les politiques publiques, renforcer la « maîtrise des coûts », évaluer les activités des agents avec la généralisation du travail par objectifs chiffrés et radicaliser le contrôle social.

La création en 1978 du fichier Safari a entraîné la naissance de la Commission nationale de l’informatique et des libertés (CNIL), censée être un garde-fou. Les créations des fichiers Edvige, pour « exploitation documentaire et valorisation de l’information générale », et Base élèves, en 2008, ont fait l’objet d’une véritable levée de boucliers. Mais, aujourd’hui, la multiplication des fichiers, dans l’objectif de surveiller, contrôler et réprimer des populations sans réel contrôle parlementaire, se fait dans l’apathie générale.

Pire, on accumule ces données dans une logique prédictive, et non préventive. Pourtant, les fichiers sont une maltraitance, un outil de déshumanisation et d’objectivation. Les fichiers ne peuvent pas prendre en compte les singularités, les spécificités de certaines situations. En ce sens, le fichage tend à nier la complexité humaine.

Le fichier devient un outil de gestion administrative : on confie à des machines des tâches qui devraient être exécutées par des personnes avec leur conscience, leur savoir-faire, leur capacité d’appréhender des situations particulières.

Songeons par exemple au fichier Pôle emploi. Créé d’abord pour les demandeurs d’emploi, cet outil sert en réalité à traquer les chômeurs et à accélérer leur radiation. Un service aussi sensible, où l’on connaît les problématiques d’illectronisme ou les difficultés particulières, ne peut être « sous-traité » à un ordinateur.

Que dire encore de la création d’un fichier des personnes vaccinées, alors qu’un fichier du nombre de vaccins disponibles et de leur utilisation aurait permis un meilleur contrôle de la politique vaccinale de l’État ?

Ainsi, il y a une chosification des gens, mais aussi la volonté de normer les comportements. Il ne s’agit plus de poser des interdits, mais bien d’imposer un comportement, celui que l’État définira comme adéquat. À cet égard, la volonté de ficher les manifestants et les syndicalistes relève moins de la lutte contre les inégalités que de la volonté de discipliner les fractions de la population les plus « indociles ».

Car se savoir fiché ou surveillé empêche l’action, la pensée, et donc l’expression de la démocratie.

C’est dans ce cadre que la multiplication des fichiers de police et de surveillance sociale à des fins « sécuritaires » nous interpelle et nous inquiète, d’autant que ces derniers peuvent être fondés sur des critères de suspicion de culpabilité et de dangerosité incertains. Ils sont de ce fait susceptibles de violer la présomption d’innocence, le droit au respect de la vie privée et le droit à la protection des données personnelles.

Pire, ces fichiers sont souvent faux. Ainsi, par manque d’actualisation ou erreur de saisie, une personne disculpée peut continuer à être enregistrée comme « dangereuse » dans un fichier de police. Les données saisies peuvent aussi être mal enregistrées, une personne devenant auteur d’une infraction alors qu’elle en est la victime. La liste n’est pas exhaustive…

Ces erreurs peuvent difficilement être corrigées lorsqu’elles se propagent au travers d’interconnexions entre fichiers de police, cette interconnexion complexifiant le droit à la rectification.

Or, peu à peu, la sécurité a été érigée en droit en lieu et place de la sûreté. Il ne s’agit plus d’assurer la protection du citoyen, y compris contre l’État, mais de faire de la prédiction de menaces. Nous sommes bien loin du droit à la sûreté, défini par les articles II et VII de la Déclaration des droits de l’homme et du citoyen.

Pas un mois sans qu’une nouvelle idée de fichage sorte des bureaux du ministère de l’intérieur. En février dernier, c’était Gendnote, une application qui facilite la collecte de photos et d’informations sensibles – religion, politique, sexualité, prétendue origine raciale – et leur transfert dans des fichiers extérieurs tels que le TAJ (traitement d’antécédents judiciaires), qui permet la reconnaissance faciale.

Je pense aussi au détournement du fichier du Système de contrôle automatisé (SCA), qui a pour objet de conserver des informations relatives aux délits routiers et qui, depuis avril dernier, sert de base pour traquer les informations relatives au non-respect du confinement.

Que dire encore de l’utilisation illégale des drones et des possibilités de reconnaissance faciale des manifestants ?

Or cette multiplication des fichiers de police se fait dans la plus grande opacité et, surtout, brouille la séparation des pouvoirs et la répartition des compétences entre le Parlement et l’exécutif. Le constat fait en 2009 par la mission d’information présidée par Delphine Batho est toujours d’actualité : « L’exécutif, lorsqu’il entend donner une base juridique aux fichiers de police qu’il crée, peut toujours recourir soit à la voie réglementaire, sur le fondement de l’article 26 de la loi du 6 janvier 1978, soit à la voie législative. » Ainsi, rien n’interdit au Gouvernement de créer un nouveau fichier de police par décret ou arrêté et, de facto, de se soustraire au contrôle du Parlement. Nous pensons que cela doit changer.

Ainsi, en 2009, près de 27 % des fichiers n’avaient fait l’objet ni d’une autorisation légale ou réglementaire ni d’une déclaration à la CNIL. En 2011, on en recensait 80, dont 45 % restaient dépourvus de base juridique. Qu’en est-il aujourd’hui ?

Alors que la problématique est connue, c’est bien dans ce cadre que le Gouvernement a adopté plusieurs décrets pour autoriser l’identification automatique et massive des manifestants, voire la reconnaissance faciale. Cette autorisation s’est passée de tout débat démocratique, comme le souligne La Quadrature du Net.

C’est encore par voie réglementaire que, le 2 décembre dernier, trois décrets permettent d’étendre les informations recueillies par les services de police dans trois fichiers qui ont été créés sous la présidence de Nicolas Sarkozy : celui sur la prévention des atteintes à la sécurité publique (PASP), celui sur la gestion de l’information et la prévention des atteintes à la sécurité publique (Gipasp), et celui sur les enquêtes administratives liées à la sécurité publique (EASP).

Dans ces fichiers, les services de police pourront recueillir des informations sur les opinions politiques des personnes surveillées, leurs convictions philosophiques ou religieuses, leur appartenance syndicale, mais aussi certaines de leurs données de santé ainsi que leurs activités sur les réseaux sociaux, le tout pour des finalités élargies qui dépassent la sécurité publique.

Les nouveaux décrets permettent d’aller au-delà de la notion de « menace à l’ordre public », qui a fondé le PASP et le Gipasp.

Le Groupe d’information et de soutien des immigrés (Gisti) nous alerte : « Le champ des personnes susceptibles d’être concernées est ainsi très large. Ce faisant, il conduit à stigmatiser la liberté d’opinion, l’action syndicale, le fait d’être adhérent à un syndicat, qui laisserait à penser qu’être adhérent d’un syndicat pourrait être associé d’une manière ou d’une autre à des impératifs de sécurité intérieure, de sûreté de l’État, de lutte contre le terrorisme et les violences urbaines. » En 2011, une personne sur dix était fichée. Qu’en est-il aujourd’hui ? Qu’en sera-t-il demain ?

Pire, et c’est une nouveauté, les fichiers pourront aussi concerner des personnes morales ou des « groupements ». On imagine qu’il s’agira d’associations, de groupes Facebook, de squats, de ZAD ou même de manifestations.

Enfin, il y a une extension du domaine de la fiche.

Jusqu’à présent, les fiches du PASP et du Gipasp ne pouvaient lister l’entourage des « personnes dangereuses » que de façon succincte, sur la fiche principale de ladite personne. Désormais, si la police le juge nécessaire, chaque membre de l’entourage pourra avoir une fiche presque aussi complète que celle des personnes dangereuses, y compris lorsqu’il s’agit d’enfants de moins de 13 ans.

En 1983, Mireille Delmas-Marty écrivait : « L’État autoritaire n’est pas nouveau, ce qui est nouveau, peut-être, c’est sa façon d’être autoritaire, d’une autorité grise et pénétrante qui envahit chaque repli de la vie, autorité indolore et invisible et pourtant confusément acceptée. » Pour reprendre ses mots, ne laissons pas l’exigence de sécurité briser le rêve de liberté !

Mme le président. La parole est à M. Max Brisson.

Madame la présidente, madame la ministre, mes chers collègues, le sujet de ce débat choisi par nos collègues sénateurs communistes n’est pas dû au hasard, nous l’avons compris.

Il trouve sa source dans la parution au Journal officiel, le 4 décembre 2020, de trois décrets modifiant le code de la sécurité intérieure au sujet de trois fichiers de sécurité publique.

Naturellement, nous n’ignorons pas que ces décrets ont suscité de fortes inquiétudes de la part de plusieurs associations de défense des libertés, qui redoutent, pour résumer, qu’une nouvelle étape ne soit franchie en matière de surveillance de masse de nos concitoyens.

À cet égard, je souhaiterais ce soir que nous tentions collectivement de prendre un peu de recul sur cette question, d’autant que l’essor des fichiers n’est pas un phénomène qu’il serait raisonnable de qualifier de récent.

Rappelons-nous du « bertillonnage », qui, au XIXe siècle, s’est largement développé afin de rationaliser les techniques policières d’identification, notamment par la constitution de vastes fichiers contenant des données corporelles de nombreuses catégories d’individus : délinquants, criminels, vagabonds, individus soupçonnés d’espionnage ou anarchistes.

Il ne nous apparaît dès lors pas incongru que les progrès technologiques changent le visage de ces fichiers de sécurité publique.

En premier lieu, ces décrets de décembre dernier procèdent en réalité à une modification du cadre légal afin de prendre en compte l’évolution de pratiques déjà employées par nos différentes forces de sécurité intérieure.

Ce nouveau cadre juridique était nécessaire, c’est indiscutable, mais il traduit en creux un besoin opérationnel avéré.

S’il fallait le rappeler, ces fichiers ont notamment pour finalité la protection des intérêts fondamentaux de la Nation. Or, nous ne pouvons pas nous permettre d’être naïfs : la menace terroriste demeure élevée dans notre pays.

En second lieu, le rapporteur public du Conseil d’État a estimé, le 23 décembre 2020, que lesdits fichiers « ne portaient pas une atteinte disproportionnée à la liberté d’opinion, de conscience et de religion, ou à la liberté syndicale », en raison de la limitation, par le pouvoir réglementaire, de la collecte et de l’accès aux données concernées « au strict nécessaire pour la prévention des atteintes à la sécurité publique ou à la sûreté de l’État ».

Dès lors, mes chers collègues, je crains que certains d’entre nous ne prennent pour de la peur ce qui n’est rien d’autre qu’une angoisse. Si la peur porte sur un objet déterminé, l’angoisse est une inquiétude vague. « L’angoisse est la réalité de la liberté, parce qu’elle en est le possible », écrivait Kierkegaard dans Le C oncept d ’ angoisse en 1844. Aussi, plutôt que de nourrir une crainte démesurée chez les Français, notre rôle, en tant que parlementaires, est de montrer le chemin vers une plus grande confiance dans nos forces de sécurité et dans leur professionnalisme.

L’extension du contenu de ces fichiers ne peut être envisagée a priori comme la porte ouverte à des dérives, qui, si elles se produisent parfois, sont isolées, condamnables et dûment sanctionnées par notre loi pénale.

Une telle conception ne rendrait pas justice au dévouement, à la déontologie et à l’éthique de nos fonctionnaires, policiers et gendarmes.

La confiance ne nous interdit pas, bien sûr, de nous interroger.

Ainsi, concernant le fichier des enquêtes administratives liées à la sécurité publique, qui facilite la réalisation d’enquêtes administratives lors du recrutement d’agents publics à des postes sensibles, le Gouvernement avait répondu à une question écrite de Mme la députée Duriez en 2010 que les données enregistrées dans ce fichier étaient entourées de « garanties renforcées ».

Le ministre de l’intérieur expliquait ainsi que « dans les domaines politique, philosophique, religieux ou syndical, ce sont non pas les opinions des personnes, mais leurs seules activités qui peuvent donner lieu à enregistrement, et ce uniquement dans les cas où leur comportement pourrait porter atteinte à la sécurité publique ou s’avérer incompatible avec les fonctions auxquelles elles postulent ».

Ce n’est désormais plus le cas. La collecte ainsi autorisée peut se révéler plus attentatoire aux libertés qu’elle ne l’était auparavant. Se pose donc la question suivante : en matière de collecte, les agents candidats à un recrutement qui n’ont pas le statut de fonctionnaire bénéficient-ils des mêmes garanties que les titulaires ?

Par ailleurs, qu’en est-il exactement de l’interconnexion, autrement dit du rapprochement ou de la mise en relation de ces fichiers avec une ou plusieurs autres bases de données ? En effet, l’interconnexion n’est pas sans incidence en termes d’atteintes à la vie privée, de droit à l’oubli ou encore de présomption d’innocence.

Enfin, l’un des enjeux qui doit être au cœur de nos préoccupations est la quête d’une rigueur toujours plus exigeante dans le recueil et la conservation des données engrangées. La fiabilité des fichiers est un gage fondamental de confiance entre l’État et ses administrés.

Aussi, quels moyens le Gouvernement met-il en œuvre pour s’assurer de l’exactitude des informations que l’administration rassemble ?

Quels contrôles permettent, le cas échéant, de prévenir ou de corriger des erreurs de saisie, dont les conséquences peuvent être lourdes pour nos concitoyens ?

Telles sont, pour les sénatrices et les sénateurs du groupe Les Républicains, les questions qui se posent, madame la ministre, et auxquelles nous vous remercions de bien vouloir répondre.

La parole est à M. Pierre-Jean Verzelen.

Madame la présidente, madame la ministre, mes chers collègues, je remercie les élus du groupe communiste républicain citoyen et écologiste d’avoir demandé l’inscription de ce débat à l’ordre du jour de nos travaux.

Je souscris totalement à l’intitulé du débat : « Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays. » On peut légitimement s’interroger sur les garde-fous et les limites qu’il faut poser pour protéger les libertés fondamentales des citoyens. Pour autant, je ne suis pas certain que nous donnions le même sens à cet intitulé, que nous parlions des mêmes fichiers et que nous visions, en la matière, les mêmes objectifs.

Mon collègue l’a rappelé, le 4 décembre dernier, trois décrets ont été publiés afin d’étendre les possibilités policières en matière de fichage. Sont concernés le fichier de prévention des atteintes à la sécurité publique, le ficher de gestion de l’information et de prévention des atteintes à la sécurité publique, le fichier des enquêtes administratives liées à la sécurité publique, ce dernier étant utilisé pour réaliser les enquêtes administratives préalables à certains recrutements dans la fonction publique.

Ces décrets ont été publiés à la demande de la CNIL. Reconnaissons qu’il s’agissait là de régulariser des pratiques et des fichiers qui existaient déjà…

Désormais, les termes : « activités politiques ou religieuses » seront remplacés par les termes : « opinions politiques » et « convictions philosophiques et religieuses ». Pourront être ajoutées des « données de santé révélant une dangerosité particulière, des troubles psychologiques ou psychiatriques », des « comportements et habitudes de vie », des « déplacements », des « pratiques sportives » ou encore des « activités sur les réseaux sociaux ».

Le Conseil d’État, la plus haute juridiction administrative du pays, a rendu un avis positif en amont et il a confirmé sa position quand il a été saisi par des organisations syndicales après la publication des décrets.

Il s’agit ici de permettre aux gendarmes, aux policiers, aux services secrets, bref à tous ceux qui ont en charge la sécurité des Français, d’avoir accès à des informations les plus précises possible sur des personnes susceptibles de « mettre en péril les institutions de la République ou de porter atteinte à l’intégrité du territoire ». Il serait d’ailleurs intéressant, madame la ministre, que vous nous précisiez le nombre de personnes concernées en France à ce jour.

Le rôle d’un État est de maintenir l’ordre public, de protéger les citoyens et, au maximum, d’empêcher le pire.

Je ne rappellerai pas ici que nous sommes en ce moment exposés au terrorisme islamique, aux fanatiques en tous genres et aux extrémistes. Or, bien souvent, nous souffrons non pas d’un excès d’informations, mais d’un défaut de renseignements sur ces personnes.

Tout à fait !

Par ailleurs, puisque nous faisons un état des lieux des fichiers, j’aimerais connaître ceux que Google, Facebook, Instagram et Amazon ont constitués avec nos données de simples utilisateurs de leurs réseaux sociaux. Pour le coup, il me semble utile, pour ne pas dire indispensable, de connaître l’étendue des données qu’ils détiennent, de savoir comment ils les stockent, combien de temps, à qui ils les vendent, de quelle façon et sur le fondement de quels principes. J’ajoute que, en matière de sécurité intérieure, nous pourrions en attendre beaucoup plus de la part de ces groupes.

Tel est, à mon sens, l’enjeu essentiel pour notre société du vivre ensemble. La question est de savoir si le politique est en mesure de réguler et de contrôler l’action des Gafam et s’il s’en donne les moyens.

Ne perdons pas de temps et prenons ce sujet à bras-le-corps.

La parole est à M. Paul Toussaint Parigi.

Madame la présidente, madame la ministre, mes chers collègues, en France, comme dans les autres pays du monde, la lutte contre la crise sanitaire a entraîné une limitation des libertés publiques d’une ampleur inconnue hors période de guerre.

Au nom de la sécurité individuelle et collective, sous prétexte de renforcer les moyens de la police, sur fond de dégradation du climat social et de lutte antiterroriste, un déploiement inédit de mesures sécuritaires, attentatoires aux libertés individuelles et aux libertés publiques, s’est greffé au régime de sécurité sanitaire. En somme, on a assisté à un glissement insidieux vers la confiscation des libertés fondamentales de chacun d’entre nous.

Or ce contexte inédit et exorbitant du droit commun nécessitait précisément qu’une attention vigilante soit portée à l’équilibre subtil des piliers de la démocratie, à la juste proportionnalité entre sécurité des citoyens et garantie des libertés fondamentales, comme préalable à l’exercice républicain.

Si votre intention initiale était de protéger la démocratie, les nouveaux contours de l’exercice du pouvoir dessinent un paysage ambivalent, sorte de panoptique géant, où nos libertés sont gravement menacées.

Pis, l’emballement des réponses sécuritaires, en muselant les libertés individuelles, nourrit le jeu de ceux qui souhaitent saper les fondements mêmes de la démocratie.

Sous couvert de lutter contre le terrorisme, au nom de la sécurité publique, vous avez pris, le 2 décembre dernier, trois décrets élargissant largement les possibilités de fichage et de collecte d’informations. Désormais, tous les acteurs du monde économique, associatif et syndical peuvent figurer dans ces fichiers.

Il est désormais autorisé de collecter, à l’insu des personnes, des données sur leur parcours professionnel, leurs habitudes de vie, leurs déplacements, leurs pratiques sportives et leur santé psychiatrique. De telles collectes d’informations constituent une intrusion inédite dans la vie privée.

Comble de la surveillance, vous autorisez désormais des pratiques autrefois illégales : pourront désormais figurer dans ces fichiers « les opinions politiques » et les « convictions philosophiques et religieuses » et non plus seulement les « activités » politiques ou religieuses.

Une digue importante vient de céder : d’une logique de fichage des activités, on passe à celle d’un recensement des opinions, chacun pouvant être fiché à raison de ses convictions. C’est un acte politique gravissime, pourfendeur de nos libertés fondamentales.

Madame la ministre, comment ne pas voir que de tels fichiers légalisent l’intrusion policière dans l’ordre du politique comme dans celui de l’intime, qu’ils entretiennent la confusion entre militantisme, déviance, voire délinquance ?

En se nourrissant de catégories floues, comme l’a d’ailleurs dénoncé la CNIL, ces fichiers ouvrent un vaste champ d’application et visent, autant le dire, toute la population !

Ces fichiers, madame la ministre, mêleront un peu plus l’ordinaire et l’exception, sous couvert de recenser, sur le fondement de présomptions arbitraires, ceux qui sont susceptibles de porter atteinte à l’ordre public.

Toutes ces mesures préfigurent une société gouvernée par la peur, dans laquelle les citoyens seraient privés du droit de penser, de contester, et dont les vies seraient exposées sans limites à la surveillance des forces de l’ordre.

« La liberté est le droit de faire ce que les lois permettent », écrivait Montesquieu. Considérer que des opinions puissent représenter un danger en elles-mêmes constitue une rupture dans la manière de penser la sûreté de l’État et – ne nous y trompons pas – préfigure l’avènement d’une société de contrôle. Comment, dès lors, ne pas s’opposer à cet arbitraire du fichage, qui fait le terreau du totalitarisme ?

Assurer à tous la liberté dans une nation libre, chasser l’arbitraire, faire affirmer et sanctionner cette liberté par une justice libre, telle est l’idée, madame la ministre, que nous nous faisons de la démocratie.

Si notre groupe soutient les mesures d’ordre public visant à protéger les citoyens, en accord avec les principes républicains de liberté, d’égalité et de fraternité, il est des principes intangibles trop durement acquis auxquels nous refusons de déroger. Dans un pays qui se prétend attaché à la séparation des pouvoirs et à l’État de droit, il est des actes contre lesquels nous devons collectivement nous élever, au nom de nos histoires particulières, de notre histoire à tous, parce que le ferment de notre liberté est celui de notre humanité.

Madame la ministre, la protection des citoyens ne peut pas se faire au détriment des libertés publiques. Or vous mettez en œuvre les moyens de notre futur asservissement, en les offrant à quiconque voudrait demain faire basculer la démocratie.

Michel Foucault écrivait en 1975, dans Surveiller et punir, que le simple fait de se savoir surveillé entraînait une forme d’obéissance. Dès lors qu’elles sont fichées, les opinions servent à contrôler la population pour la conduire vers une forme de docilité, donnant de facto à l’État le monopole de la surveillance légitime.

Il faut conclure, cher collègue !

M. Paul Toussaint Parigi. Aussi, madame la ministre, nous vous demandons d’abroger ces décrets, car les véritables partisans de l’ordre ont toujours été les plus grands défenseurs de la liberté. Nous voulons croire que vous en faites encore partie.

La parole est à Mme Nicole Duranton.

Madame la présidente, madame la ministre, mes chers collègues, l’article II de la Déclaration des droits de l’homme et du citoyen de 1789 préfigurait la protection de la vie privée, laquelle a ensuite été affirmée en 1948 dans l’article 12 de la Déclaration universelle des droits de l’homme. En droit français, l’article 9 du code civil, introduit par la loi du 17 juillet 1970, dispose : « Toute personne a droit au respect de sa vie privée. » L’article 7 de la Charte des droits fondamentaux de l’Union européenne garantit ce même droit.

M. le ministre de l’intérieur, Gérald Darmanin, a été auditionné le 12 janvier par la commission des lois au sujet de trois décrets pris le 2 décembre 2020, lesquels avaient suscité une polémique. C’est dans ce contexte que nos collègues du groupe CRCE ont demandé l’inscription de ce débat à l’ordre du jour de nos travaux.

Ces trois décrets concernent trois grands fichiers : d’une part, le fichier des enquêtes administratives liées à la sécurité publique, qui relève de la direction générale de la police nationale (DGPN) et de la préfecture de police de Paris et est utilisé pour contrôler la fiabilité des autorités accédant aux sites sensibles de l’État ; d’autre part, les fichiers de prévention des atteintes à la sécurité publique, pour la police, et de gestion de l’information et prévention des atteintes à la sécurité publique, pour la gendarmerie. Dans ces deux derniers fichiers sont conservées les identités d’individus dont l’activité peut porter atteinte à la sûreté de l’État, intéresser l’ordre public ou être en lien avec des faits de violence collective. Contrairement à nombre de fichiers de souveraineté, ces fichiers ont été publiés, ce qui garantit l’information des citoyens et des parlementaires.

Ces trois fichiers ont été élaborés entre 2009 et 2011, suivant les recommandations d’experts, puis contrôlés sur leur principe par la Commission nationale de l’informatique et des libertés en 2017 et en 2018. La CNIL définit un fichier comme « un traitement de données qui s’organise dans un ensemble stable et structuré ». La loi du 20 juin 2018 relative à la protection des données personnelles, qui met en œuvre le règlement général sur la protection des données (RGPD), a permis d’encadrer cette démarche. Le Conseil d’État a émis un avis favorable.

Ce contrôle a priori a permis de valider ces trois fichiers. Qu’en est-il du contrôle a posteriori ?

Plusieurs associations et syndicats ont demandé au Conseil d’État de suspendre l’exécution de ces décrets modifiant des dispositions du code de la sécurité intérieure. Le Conseil d’État a rejeté l’ensemble des recours, qui portaient sur la conservation et le traitement de données relatives « à des opinions politiques, des convictions philosophiques, religieuses ou à une appartenance syndicale ». Le Conseil d’État a considéré que « la collecte et l’accès aux données sont limités au strict nécessaire, et ne portent pas une atteinte disproportionnée à la liberté d’opinion, de conscience et de religion ou à la liberté syndicale. »

Le Conseil d’État, parce qu’il garantit la légalité des décrets, est le protecteur des droits du citoyen et un pilier central de notre République. Nous devons respecter sa décision.

De plus, la CNIL vérifie chaque année, en contrôle continu, que les données figurant dans les différents fichiers correspondent bien à la finalité de ces derniers.

Je rappelle également que ces décrets n’ont pas créé ces fichiers, qui existaient déjà. Il s’agissait seulement de préciser les catégories, en tirant les conséquences de délibérations de la CNIL.

Resituons enfin leur ampleur : les trois fichiers concernent 60 000 personnes, contre 19 millions pour le fichier de traitement d’antécédents judiciaires, par exemple.

D’autres fichiers permettent la collecte de données : le fichier des titres électroniques sécurisés (TES) ; le fichier des personnes recherchées (FPR) ; le casier judiciaire ; les fichiers de la sécurité sociale, de la caisse d’allocations familiales ; Startrac, la base de données de Tracfin ; Legato, traitement de données de la Légion étrangère ; l’Outil de centralisation et de traitement opérationnel des procédures et des utilisateurs de signatures (Octopus) ; et bien d’autres.

Nous avons tous en tête l’abandon en 2008 du projet Edvige. Il est en effet important de ne pas centraliser toutes les données et d’avoir des fichiers distincts et spécifiques, pour chaque type de situation. Cette diversité des fichiers et l’encadrement du recoupement entre eux garantissent le respect des libertés individuelles. Chaque service de sécurité publique a le droit d’accéder à certains fichiers, mais pas à d’autres. Quand ils peuvent accéder à un fichier, c’est seulement pour un objectif précis.

En outre, de nombreux fichiers sont constitués par les entreprises privées, notamment les banques, les compagnies d’assurances et, depuis quelques années, les Gafam. Ces fichiers contiennent des informations bien plus détaillées, et souvent plus personnelles, que les fichiers publics. Nous devons donc y être particulièrement attentifs et en assurer le contrôle effectif.

Face à ces nouveaux outils, il est bien sûr essentiel d’étendre le domaine du droit et de créer des outils permettant le respect de la vie privée. L’amélioration des démarches de consultation, de rectification et de suppression des données, notamment, grâce à la mise à disposition de lettres types, contribue à cette dynamique. La vice-présidente de la Commission européenne et commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté, avait posé le 30 novembre 2010 le droit à l’oubli comme l’une des « valeurs » et comme un « droit fondamental » de l’Europe.

Toutefois, je veux le redire ici, pour en revenir aux trois fichiers dont je parlais, il s’agit non pas d’étiqueter des personnes selon leurs opinions religieuses, syndicales ou politiques, mais d’identifier les liens entre les individus ayant commis des actions violentes. Disposer de fichiers qualifiés et détaillés est essentiel pour que les outils de renseignement et de sûreté fonctionnent et pour garantir la sécurité publique.

Je pense en tout cas, et je conclurai ainsi, que nous devons, lors de débats sur les fichiers, faire preuve de vigilance sur les traitements visés, mais aussi d’une certaine nuance dans nos propos et dans nos analyses, au regard des garanties strictes prévues par notre droit et de notre niveau technique en la matière.

La parole est à Mme Maryse Carrère.

Madame la présidente, madame la ministre, mes chers collègues, pour commencer, je tiens à remercier nos collègues du groupe CRCE de nous permettre de nous interroger aujourd’hui sur les libertés individuelles et sur la protection de la vie privée de nos concitoyens dans le cadre du fichage. C’est d’autant plus important que la France est plongée dans un état d’urgence – et donc d’exception – quasi permanent depuis la nuit du 13 novembre 2015.

Loin de moi l’idée de remettre en cause les raisons pour lesquelles ces lois ont été votées, puis prorogées, tant la folie terroriste qui nous a frappés méritait une réponse forte, mais il est à mon sens nécessaire d’interpeller sur la vigilance, l’exigence dont nous devons faire preuve à l’égard de ces régimes, qui sont, hélas ! devenus la norme.

Concernant le régime d’état d’urgence mis en place en 2015, s’il a pris fin en 2017, force est de constater que nombre de ses dispositions sont entrées dans le droit commun.

Eh oui !

Il en résulte une hausse des prérogatives dévolues au juge administratif, au détriment du juge judiciaire, que ce soit en termes de liberté surveillée ou en cas de fermeture de lieux de culte.

Si le procédé à l’avantage de la rapidité d’exécution, il représente aussi une perte de garanties pour les justiciables, qu’il ne faut pas minorer.

À ces mesures, que nous avons consacrées dans la loi renforçant la sécurité intérieure et la lutte contre le terrorisme, dite loi SILT, puis prorogées en octobre dernier, est venu s’ajouter ce que personne n’aurait imaginé il y a encore un an : un état d’urgence sanitaire. Celui-ci n’a que peu de choses en commun avec celui de 2015. Il est beaucoup plus sensible, car c’est l’ensemble de la population qui voit ses libertés restreintes, qu’il s’agisse de la liberté d’aller et venir, de la liberté de réunion ou même de la liberté d’entreprendre.

C’est toute une vie qui est chamboulée depuis près d’un an, au rythme des confinements, des couvre-feux et, hélas ! des fermetures administratives. À l’instar des dispositifs antiterroristes, ces mesures ont conduit à un renforcement du pouvoir du juge administratif au détriment de celui du juge judiciaire. Ce sont des mesures exceptionnelles comme les audiences à huis clos pour les justiciables, le recours aux ordonnances ou encore l’obligation de placement à l’isolement.

Les enjeux, ce sont nos données personnelles et la vulnérabilité de nos concitoyens face à de nouvelles formes d’intrusion dans leur vie privée et de fichage.

À titre d’exemple, j’évoquerai l’application StopCovid, rebaptisée TousAntiCovid, qui a connu des débuts mitigés et dont l’utilisation se révèle délicate : elle était en effet peu intuitive à ses débuts, nécessitait d’être redémarrée à chaque utilisation, était, et reste, très peu téléchargée et utilisée. Ensuite, contrairement à ce qui nous avait été annoncé, elle collectait plus de données que prévu. Je vous épargnerai les remarques sur son incompatibilité avec les systèmes choisis par nos voisins européens.

Oui, madame la ministre, la version TousAntiCovid a apporté de la lisibilité et éteint certains doutes. Mais voilà, le projet de modification du décret du 29 mai 2020 vient jeter de nouvelles zones d’ombre sur cette application.

Il deviendrait ainsi possible de scanner des QR codes pour entrer dans des lieux clos. Or on ne sait rien de ce futur système, des lieux qui seraient concernés, encore moins de la manière dont seraient conservées les données.

Effectivement !

Il est par ailleurs prévu de lancer une collecte de données de manière anonyme pour, selon l’avis du Comité de contrôle et de liaison covid-19, connaître les « données de navigation de l’utilisateur, le temps d’activation moyen du Bluetooth dans la journée, le temps d’ouverture moyen de l’application, le nombre de contacts scorés, le nombre de contacts croisés ». Tout cela sans que l’on sache ni pourquoi, ni comment, ni même dans quel but…

Il y a là de quoi laisser quelque peu perplexe, d’autant plus que ce projet de décret supprime également la limite de temps à l’obligation de publication du rapport sur l’application TousAntiCovid.

Aujourd’hui, des millions de données circulent chaque jour dans notre pays, des millions d’informations sont collectées sur chacun d’entre nous.

Madame la ministre, vous connaissez l’attachement du groupe du RDSE aux libertés, mais aussi son sens des responsabilités lorsqu’il y va de la sécurité de notre pays. Je me permets donc de vous alerter sur le fait que toute abdication de liberté, si on veut qu’elle soit consentie, doit être limitée dans le temps. Aussi, nous formons le vœu que, à la sortie de cet état d’urgence sanitaire, nous n’intégrions pas, ou peu, de mesures exceptionnelles dans notre droit commun afin de ne pas fragiliser notre État de droit. Chaque citoyen doit pouvoir savoir où il est fiché et quelles données le concernant sont connues des services de l’État ou d’autres.

La parole est à Mme Cathy Apourceau-Poly.

Madame la présidente, madame la ministre, mes chers collègues, à la suite d’Éliane Assassi, j’interviendrai sur les dangers d’un fichage massif des organisations syndicales, des syndicalistes et des militants et d’un fichage politique de l’ensemble de nos concitoyens.

Je rappelle la place primordiale des syndicats et du mouvement social dans une démocratie digne de ce nom, au moment où la France est considérée comme une « démocratie défaillante ». Ce rappel est essentiel au moment où il est toujours plus difficile de manifester, d’exprimer des revendications pour plus de justice sociale.

Pourtant la mission des syndicalistes est la défense des intérêts individuels et collectifs des salariés. Ils combattent la violence des délocalisations, des fermetures d’entreprises et de plans qui n’ont de sociaux que le nom. Ils dénoncent les privatisations et l’abandon à la finance de biens publics et de fleurons industriels. Ils luttent contre les licenciements indus, pour la préservation des retraites et de notre système de protection sociale, tout en accompagnant des milliers de salariés dans la détresse.

Pourtant, plusieurs d’entre eux ont été condamnés à des amendes et des peines de prison à la suite d’actions menées dans le cadre de leurs fonctions syndicales. Ils l’ont été pour s’être opposés à la politique de casse de leur entreprise.

Ces condamnations injustes ne suffisent pas au Gouvernement, qui permet aujourd’hui le fichage des syndicalistes, au même titre que celui de dangereux délinquants. Il s’agit maintenant de stigmatiser la liberté d’opinion et l’action syndicale.

Comment justifier que le simple fait d’être adhérent à un syndicat puisse, d’une manière ou d’une autre, porter atteinte à la sécurité intérieure, à la sûreté de l’État, qu’elle puisse nuire à la lutte contre le terrorisme ou encore, selon les termes des derniers décrets, porter atteinte à l’intégrité du territoire ou aux institutions de la République ? Comment justifier que le droit à résister, à revendiquer, à agir puisse être considéré comme criminel ?

J’évoquerai un autre point : la protection des données de santé de nos concitoyens. Aujourd’hui, ces données sont particulièrement convoitées et sont devenues un enjeu majeur. Elles sont par définition particulièrement sensibles, parce qu’elles concernent la santé de la personne, mais aussi parce qu’elles peuvent révéler sa condition sociale ou d’autres particularités personnelles.

Pire, ces données pourraient être utilisées à des fins de discrimination : refus d’attribution d’un prêt bancaire, d’accès à un emploi, refus de couverture sociale complémentaire, par exemple en cas de maladie grave.

Or la loi relative à l’organisation et à la transformation du système de santé, dite Ma Santé 2022, prévoit la création d’une plateforme visant à centraliser l’ensemble des données de santé de millions de personnes, malgré les risques incontestables que présente une telle centralisation.

Ces données, qui étaient considérées comme des informations purement médicales dont l’usage était limité aux professionnels de santé ou aux services médico-administratifs, sortent du cadre strict du cabinet du médecin, de l’établissement de santé, pour relever d’un usage plus collectif.

En effet, le choix de confier à Microsoft l’hébergement de données permettant de suivre le parcours de santé de 67 millions de personnes sur près de douze années suscite des interrogations, même si le ministre annonçait il y a peu que cet hébergement ne durerait que deux ans, à la suite des recours intentés par différentes organisations devant le Conseil d’État.

Ce qui s’impose fortement à notre attention, c’est la justification du choix initial. Pourquoi avoir choisi Microsoft alors même que le Conseil d’État soulignait « qu’il ne peut être totalement exclu que les autorités américaines, dans le cadre de programmes de surveillance et de renseignement, demandent à Microsoft […] l’accès à certaines données » ?

En outre, l’anonymat du patient n’est pas toujours garanti, ce qui peut encourager des acteurs tiers, tels que des employeurs, des assureurs ou des organismes bancaires, à tenter d’accéder à ces données dans l’objectif de réaliser des profits.

Comment croire que deux ans ne seront pas suffisants pour que les données, pourtant couvertes par le secret médical, soient bradées ou accaparées par des intérêts commerciaux ou politiques ?

Enfin, l’accord national interprofessionnel de 2013 a généralisé les complémentaires santé obligatoires dans les entreprises et ouvert aux assureurs privés l’accès aux fichiers des données de santé des salariés. Les données des réseaux de santé gérés par les complémentaires ne sont pas protégées, ce qui fait peser des risques élevés sur le respect de la vie privée.

L’existence des fichiers dans la société a conduit, en 1905, à la démission du gouvernement d’Émile Combes à la suite de l’affaire des fiches, dans lesquelles étaient justement recensées les opinions politiques, syndicales et religieuses des officiers.

La généralisation des fichiers dans la société et ses conséquences sur le respect des libertés individuelles sont des faits nouveaux qui exigent selon nous transparence et démocratie.

La parole est à M. Loïc Hervé.

Madame le président, madame la ministre, mes chers collègues, jamais en temps de paix nous n’aurons autant porté atteinte à nos libertés publiques les plus essentielles, comme la liberté d’aller et de venir ou la liberté du commerce et de l’industrie. « Pour la bonne cause », me direz-vous, car comme le rappelle le Premier ministre : « Il y a une pandémie qui touche la France. »

Dans cette période d’état d’urgence sanitaire, alors que nos préoccupations sont toutes orientées vers la gestion de la crise pandémique et de ses conséquences économiques et sociales, nous devons, mes chers collègues, toujours avoir à cœur de préserver les acquis démocratiques que notre histoire politique et notre doctrine juridique nous ont légués.

Selon une étude récente de The Economist, les libertés démocratiques ont reflué dans près de 70 % des pays du monde en 2020. Ce chiffre élevé amène à se poser de nombreuses interrogations, surtout quand la France se retrouve dans la catégorie des « démocraties défaillantes ».

C’est pourquoi je rends grâce au groupe CRCE de nous permettre de réfléchir ensemble ce soir à ces questions essentielles et de ne pas nous laisser emporter par le plus grave de tous les risques, celui des accommodements raisonnables, pis, celui de l’accoutumance.

Quand le numérique envahit les rapports sociaux à une vitesse incroyable, avec des acteurs privés aussi puissants que des États, se pose toujours avec une grande acuité la question de savoir comment toujours mieux protéger les libertés publiques et la vie privée, quand il faut au même moment lutter contre le terrorisme ou un virus.

Légiférons-nous dans le bon sens et avec bon sens lorsque, lors de l’examen du projet de loi de finances pour 2019, nous avons voté, au Parlement, une disposition donnant la capacité à l’administration fiscale d’aller chaluter des données qui ne sont pas moins personnelles au motif qu’elles sont publiques ? Cette tendance préoccupante, très préoccupante, nous touche nous aussi, législateurs, motivés que nous sommes parfois par le désir d’avoir une administration plus efficace, qui prévient mieux les crimes, les délits et la fraude.

Mais que faisons-nous de la vie privée ? Comment préservons-nous ce droit essentiel qui est chahuté dans ses fondements mêmes par les évolutions sociologiques ?

Je voudrais vous rappeler ce qu’est la protection de la vie privée, affirmée en 1948 par la Déclaration universelle des droits de l’homme, réaffirmée en droit français à l’article 9 du code civil disposant que : « Chacun a droit au respect de sa vie privée. » En 1999, plusieurs décisions du Conseil constitutionnel sont venues étendre cette protection.

Évoquer le respect des libertés publiques et de la vie privée, mes chers collègues, nous amène naturellement à nous saisir de la question de l’utilisation des fichiers et de la collecte de données, qui soulève aujourd’hui de multiples interrogations juridiques. Au sens de la loi Informatique et libertés du 6 janvier 1978, ces fichiers constituent des traitements automatisés de données personnelles et font l’objet d’une réglementation spécifique.

Même si l’intitulé de notre débat est bien plus large, je concentrerai mon propos sur les fichiers de police et de renseignement. Catégorie à part entière au sein des fichiers administratifs, ils restent spécifiques quant à leur finalité, qui est de participer au maintien de l’ordre public. Cette spécificité les situe ainsi à la frontière entre la répression et la prévention. D’une part, ils sont chargés de collecter des données pour prévenir des atteintes à l’ordre public, quand, d’autre part, ils peuvent être la source de l’action répressive de l’État.

Nos concitoyens et, plus largement, les acteurs du débat public dans notre pays n’ont malheureusement commencé à s’intéresser à ces fichiers et à leur finalité, en particulier celle des fameuses « fiches S », qu’à la suite des attentats terroristes survenus depuis 2015. L’utilisation efficace de ces fichiers a souvent permis une réaction rapide dans la recherche des auteurs tout en facilitant l’action répressive, mais a entraîné un débat sur la capacité de l’autorité publique à les utiliser de façon préventive.

Ces outils de traitement de données utilisés dans le cadre du maintien de l’ordre ne sont pas sans contrôle. Notre pays dispose aujourd’hui d’un corpus juridique solide qui encadre strictement l’utilisation de ces fichiers depuis une quarantaine d’années.

Ayant la chance d’y siéger depuis six ans et d’y entamer un deuxième mandat depuis quelques jours, il m’est impossible de ne pas évoquer le rôle crucial de la Commission nationale de l’informatique et des libertés en la matière. En effet, ces fichiers de police font l’objet d’un contrôle préalable par la CNIL se traduisant par la formulation d’un avis motivé et publié sur l’ensemble des projets de création de ces fichiers.

Madame la ministre, à l’occasion du débat de ce soir au Sénat, je me dois aussi d’insister sur le rôle incontournable du Parlement, alors que le pouvoir exécutif continue de disposer de pouvoirs élargis, y compris le pouvoir de légiférer par ordonnance dans de très nombreux domaines.

Je ne voudrais pas être inutilement polémique, mais nous allons étudier le mois prochain la proposition de loi relative à la sécurité globale. Ce texte a été écrit sans étude d’impact et sans avis du Conseil d’État. Il sera l’objet d’une première, puisque, pour la première fois depuis que la loi l’y a autorisé, en 2018, le président de la commission des lois du Sénat a saisi la CNIL d’une demande d’avis sur l’ensemble du texte, et cet avis vient de nous être rendu.

Pour la CNIL, le cadre juridique de ce texte, qui contient plusieurs dispositions intéressant directement la protection des données personnelles au travers, en particulier, de la modification du cadre juridique applicable en matière de vidéo et de la réglementation des caméras aéroportées, autrement dit les drones, n’est en l’état pas suffisamment protecteur de la vie privée et des données personnelles. Il faudra être attentif à cela lors de nos discussions, et j’y veillerai personnellement en tant que corapporteur du texte.

Le débat d’aujourd’hui nous donne l’occasion d’évoquer la décision rendue par le Conseil d’État le 4 janvier dernier. Saisie en référé par plusieurs organisations syndicales en raison d’un risque de surveillance de masse, la plus haute juridiction administrative du pays est venue valider trois décrets autorisant les forces de l’ordre à ficher les « opinions politiques », les « convictions philosophiques et religieuses » et « l’appartenance syndicale » avant le recrutement de fonctionnaires sur des postes sensibles. Désormais, pourront être recensées les données de toute personne soupçonnée d’activités terroristes ou susceptible « de porter atteinte à l’intégrité du territoire ou des institutions de la République ». La terminologie retenue reprend d’ailleurs celle du RGPD et de la loi que nous avions débattue et votée ici.

Notons que ces décrets avaient en amont fait l’objet d’une consultation de la CNIL, qui avait donné son accord à l’application de ces décrets destinés notamment à lutter contre le terrorisme.

Mes chers collègues, force est de constater que, dans la période que nous vivons, sur à peu près tous les sujets, nous observons un recul des libertés publiques, alors qu’elles sont toujours garanties par la Constitution. Plus que jamais, le rôle des magistrats judiciaires et administratifs ou l’existence d’autorités administratives indépendantes comme la CNIL constituent une force, une vigie pour nos libertés.

Et sachez, madame la ministre, que pour protéger les libertés publiques et la vie privée, nous serons toujours au rendez-vous : c’est le devoir et c’est l’honneur du Sénat.

Mme le président. La parole est à M. Jérôme Durain.

Madame la présidente, madame la ministre, chers collègues, je tiens d’abord à remercier le groupe CRCE pour ce débat sur le nécessaire état des lieux des fichiers de notre pays. Respect des libertés publiques, protection de la vie privée, voilà les principes qui orientent notre discussion de ce soir. Ce sont des principes largement partagés, à droite comme à gauche, car tout le monde sait que le Sénat est une institution profondément attachée à la défense des libertés publiques.

Le groupe Socialiste, Écologiste et Républicain avait d’ailleurs demandé l’audition du ministre de l’intérieur par la commission des lois sur les fichiers de police dès le 11 décembre dernier. Le président de la commission, François-Noël Buffet, et nous l’en remercions, avait donné une suite favorable à cette demande, ce qui nous a permis d’entendre le ministre le 12 janvier, je vais avoir l’occasion d’y revenir.

Comme citoyens, nous sommes tous fichés de gré ou de force. S’il peut être de bon ton de s’opposer au principe même du fichage, il faut rappeler que nous nous fichons souvent volontairement. Qui, ici, n’a pas adhéré à un parti politique, créé son compte Google, demandé sa carte de sécurité sociale ? Personne, évidemment ! Il faut d’ailleurs reconnaître que nous sommes tous bien moins regardants avec les fichiers détenus par des tiers privés qu’avec les fichiers détenus par l’État. Cela s’explique : rares sont les entreprises à avoir pris le contrôle de pays, créé leur propre police et enfermé des gens selon leurs convictions personnelles. A contrario, il n’est pas rare que des États dépassent le cadre qu’ils s’étaient fixé ; il n’est pas rare que des États aient des polices et des prisons à leur disposition.

Cela ne signifie pas que l’on doive s’opposer au principe du fichage par les États. Le maintien de l’ordre public, l’accès de tous aux soins, la lutte contre le terrorisme sont des justifications que l’on ne peut nier. Mais c’est ce nécessaire antagonisme entre les besoins de l’État et la défense par les individus des libertés publiques qui fait l’honneur de nos démocraties.

Très bien !

Le ministre de l’intérieur doit accepter que les citoyens soient réticents au fichage et les citoyens doivent accepter que l’État satisfasse son besoin d’outils pour la protection de la société.

Si je me permets ces rappels, c’est parce que, lors de l’audition de M. Darmanin en janvier, j’avais indiqué, et vous me pardonnerez cette citation : « Ces fichiers semblent de nature à entretenir un climat qui n’est pas sain, en donnant le sentiment de contrevenir aux libertés publiques. » M. Darmanin m’avait répondu, légèrement courroucé : « Je ne peux pas laisser dire que les décrets contreviennent aux libertés publiques. » Au-delà de la joute oratoire, je tiens à dire au Gouvernement qu’il a l’obligation de laisser dire aux parlementaires tout ce qu’ils veulent.

Très bien !

Pour ma part, j’ai été étonné, dans sa réponse d’alors, par l’interprétation que le ministre a faite de l’avis de la CNIL.

Ainsi, M. Darmanin a déclaré devant la commission des lois : « [Les fichiers] ont été validés par le Conseil d’État et la CNIL en amont, et de nouveau par le Conseil d’État en aval. Ils sont d’autant plus respectueux des libertés publiques qu’ils ont été conçus à la demande de la CNIL. »

Il se trouve que la commission des lois a aussi auditionné la présidente de la CNIL, Mme Marie-Laure Denis, la semaine dernière. Cette dernière a déclaré – cela figure au compte rendu de la commission des lois – : « Une évolution sémantique a eu lieu : on est passé d’activités politiques, religieuses, philosophiques et syndicales, à des “opinions politiques”, des “convictions philosophiques et religieuses” et “l’appartenance syndicale”. La CNIL n’a pas été consultée sur cette modification sémantique, car les textes ont évolué depuis notre avis. Je rappelle que la CNIL n’autorise pas ou ne refuse pas les textes sur lesquels elle émet un avis ; celui-ci vise à éclairer le pouvoir réglementaire ou le législateur et il appartient au juge administratif de se prononcer sur la légalité des actes réglementaires. En l’espèce, le Conseil d’État s’est prononcé en référé, sans déceler de doutes sérieux sur la légalité du texte, mais il aura très certainement à se prononcer au fond. En tout cas, le collège de la CNIL ne s’est pas prononcé sur l’évolution sémantique. »

Exactement !

M. Jérôme Durain. Le Gouvernement souhaite-t-il répondre à cette déclaration de la présidente de la CNIL ? Quoi qu’il en soit, on le voit, et nous remercions le groupe CRCE, il faut débattre de ces questions relatives aux fichiers. Ma collègue Annie le Houerou abordera d’autres aspects liés aux fichiers de santé, tout aussi importants, qui intéressent également fortement les Français.

La parole est à M. Yves Bouloux.

Madame la présidente, madame la ministre, mes chers collègues, la conciliation entre le droit de l’individu et le droit de la société, entre l’ordre public et la liberté, n’est pas un problème récent. En droit français, l’article 9 du code civil dispose : « Chacun a droit au respect de sa vie privée. »

À l’origine de cette demande de débat, on retrouve les trois décrets du 2 décembre 2020 et la tribune publiée le 17 décembre dernier dans le quotidien Libération : « Extension des fichiers de renseignement : un nouveau danger pour nos libertés. » Cette tribune, signée par de nombreux élus de gauche et écologistes, dénonçait l’atteinte à la démocratie et le mépris du Parlement.

S’il s’agissait bien d’une compétence réglementaire et non législative, l’élaboration de ces décrets aurait toutefois pu donner lieu à une consultation du Parlement, ou à tout le moins à une communication. Au lieu de cela, les parlementaires en ont appris l’existence par voie de presse, après leur publication. Une telle manière de procéder est incompréhensible.

Elle l’est d’autant plus lorsque l’on se souvient des débats suscités par le décret Edvige en juin 2008. Ce décret créait un fichier recensant les personnes « ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif ». Il fut finalement retiré au mois de novembre suivant.

Ce manque de transparence nourrit malheureusement les suspicions envers l’État de droit. Aujourd’hui, via les réseaux sociaux, tout le monde est fiché par des Big Brother privés, sans rien y trouver à redire. Le constat est sans appel : pour les Français, il est aujourd’hui plus facile de s’inscrire sur Facebook ou Instagram que de télécharger l’application TousAntiCovid.

Cette défiance à l’égard de l’État mérite notre attention. Avec la menace terroriste, l’État est de plus en plus incapable de garantir la sécurité sans entraver la liberté. Si le fichage étatique effraye, c’est en raison des conséquences que l’État pourrait en tirer, mais le fichage est parfois nécessaire et certains fichiers ne seront jamais contestés. On peut citer pour exemple le fichier des auteurs d’infractions sexuelles ou violentes, ou encore celui sur les agréments des assistantes maternelles, dont la création vient d’être annoncée. La sécurité ne figure pas au nombre des libertés, mais elle est bien l’une des conditions de leur exercice.

Pourquoi ces récents décrets alarment-ils ? Parce qu’ils s’inscrivent dans une logique de prévention des risques. Il s’agit d’un fichage d’opinions, de convictions et non de comportements répréhensibles.

Ces décrets prévoient en effet la création de fichiers de police pouvant contenir des données relatives « à des opinions politiques, des convictions philosophiques, religieuses ou une appartenance syndicale », ainsi que des données « de santé révélant une dangerosité particulière ». Le premier est le fichier EASP, pour « enquêtes administratives liées à la sécurité publique », utilisé avant le recrutement de fonctionnaires sur des postes sensibles. Il s’agit d’éviter de recruter des personnes potentiellement dangereuses ou radicalisées.

Les deux autres fichiers sont le PASP, pour « prévention des atteintes à la sécurité publique », et le Gipasp, pour « gestion de l’information et prévention des atteintes à la sécurité publique ». L’un, le PASP, est géré par la police, l’autre, le Gipasp, par les gendarmes. Ils traitent tous les deux des informations liées aux atteintes à la sécurité de l’État. Il s’agit de faciliter les enquêtes de la police ou de la gendarmerie.

Soumis pour avis à la Commission nationale de l’informatique et des libertés, ils font l’objet de recours contentieux.

Le 4 janvier dernier, le Conseil d’État a jugé qu’il n’y avait pas lieu de prononcer leur suspension. Selon le juge des référés, la collecte de ces données dans les traitements litigieux n’entraîne pas d’atteinte grave et manifestement illégale au droit au respect de la vie privée ou à la liberté d’opinion.

Deux arguments ont retenu son attention. D’une part, seules les activités « susceptibles de porter atteinte à la sécurité publique ou à la sûreté de l’État » pourront donner lieu à l’enregistrement de données. D’autre part, il sera interdit de sélectionner dans le traitement une catégorie particulière de personnes à partir des seules données sensibles.

Jusqu’au jugement au fond de ces affaires, ces fichiers sont donc légaux. Mais tout ce qui est légal est-il souhaitable ?

La question que l’on peut légitimement se poser est la suivante : en quoi le fait de ficher des opinions, y compris philosophiques, peut-il garantir la bonne tenue d’une manifestation ? Élargir le fichage, c’est considérer que des opinions puissent représenter un danger en elles-mêmes. Cela représente une rupture importante et inquiétante dans la manière de penser la sûreté de l’État.

En 2009, Robert Badinter déplorait déjà le recours presque obsessionnel à des fichiers, et s’interrogeait sur cette dérive inquiétante consistant à passer « d’une justice de liberté à une justice de sûreté ». Un tel changement de doctrine ne peut être accepté que si l’on peut s’assurer de son utilisation et de son effectivité.

Pourra-t-on s’assurer que les personnes fichées seront pleinement informées et pourront exercer leur droit de rectification ? Quelles conséquences légales seront tirées de ces fichiers ? Pourront-ils justifier une arrestation ou un non-recrutement ?

Mme le président. La parole est à Mme Annie Le Houerou.

Madame la présidente, madame la ministre, chers collègues, la pandémie mondiale de la covid-19 a vu émerger la prolifération de virus d’un autre type : les virus informatiques. Les établissements de santé, les laboratoires de diagnostic ou de recherche sont régulièrement victimes de piratages. Les données de santé sont très prisées ; récupérées, elles sont revendues à prix d’or.

À titre d’exemple, la société Moderna a été touchée par une cyberattaque en juillet dernier ; AstraZeneca en a été victime en novembre. Plus récemment, en janvier, l’Agence européenne du médicament confirme qu’une version falsifiée des fichiers volés chez Pfizer a bien été partagée sur le dark web.

La CNIL a publié en janvier un avis sur plusieurs mesures mises en place par le Gouvernement dans le cadre de la crise sanitaire. Cet avis a mis en évidence plusieurs manquements dans la gestion des données personnelles, notamment sur leur durée de conservation et leur sécurité dans le logiciel de contact tracing. Pour la CNIL, bien que prévu par une circulaire, ce processus de tracing entraîne une dispersion des données dans les messageries. De plus, ces informations, en partie stockées sur des serveurs, sont conservées trop longtemps, faisant fi du règlement général sur la protection des données personnelles.

S’agissant de l’application StopCovid, devenue TousAntiCovid en octobre 2020, la CNIL avait estimé que le dispositif était conforme au RGPD. En revanche, elle estimait que l’application ne pouvait être déployée que si son utilité pour la gestion de la crise était suffisamment avérée et si certaines garanties étaient apportées. Son utilisation devait être temporaire et les données devaient être conservées pendant une durée limitée. Insidieusement, TousAntiCovid tend vers les mêmes travers, sans vigilance particulière sur la durée et sur les conditions de stockage des informations personnelles.

Les appels à la vigilance sont nombreux. En janvier 2021, Christian Babusiaux, l’ancien président de l’Institut des données de santé, appelait le Gouvernement à rompre au plus vite le contrat conclu avec Microsoft pour la construction d’un grand entrepôt d’hébergement des données de santé. Les doutes sur les garanties offertes par le droit américain font craindre pour la sécurité des données de santé des Français, avec un risque d’exploitation abusive de ces dernières. Si le Gouvernement s’est engagé à retirer l’hébergement de ces données à Microsoft d’ici à deux ans, ce délai est trop long au regard des risques d’exploitation des données à d’autres fins que celles pour lesquelles elles ont été communiquées.

Enfin, en décembre, le Gouvernement avait présenté un projet de loi instituant un régime pérenne de gestion des urgences sanitaires. L’article 1er de ce texte prévoyait de subordonner le déplacement des personnes et l’exercice de certaines activités à la présentation d’un test de dépistage ou au suivi d’un traitement préventif, y compris la vaccination - en d’autres termes, la mise en place d’un passeport sanitaire.

Ça fait parler…

Si le projet de loi a depuis été retiré et son examen renvoyé après la sortie de la crise, une telle mesure doit être envisagée avec la plus grande prudence. Nous veillerons au respect des libertés individuelles, le Parlement est garant de cette protection, en s’appuyant sur les avis de la CNIL.

Dans son avis, la CNIL rappelle ainsi que les données de santé sont protégées par le secret médical et ne doivent être traitées que par des personnes habilitées et soumises au secret professionnel.

Vous l’aurez compris, madame la ministre, la protection des données personnelles est un enjeu majeur, a fortiori les données personnelles de santé ; elles doivent être strictement protégées pour garantir la liberté de chacun. Ces données statistiques destinées à une exploitation collective pour la recherche ou l’industrie sont particulièrement convoitées et font l’objet d’espionnage industriel ou de sabotage malveillant. Il est de votre responsabilité et de celle du Gouvernement de les protéger efficacement, de veiller à ce que leur utilisation ne soit pas dévoyée, de garantir notre indépendance nationale en la matière. Protéger ces données, c’est protéger les Français, mais aussi nos entreprises.

Veuillez conclure, chère collègue.

Mme Annie Le Houerou. Le groupe Socialiste, Écologiste et Républicain sera particulièrement vigilant quant à la création de fichiers dans notre pays, en particulier ceux liés à l’utilisation des données de santé, qui tendent à se généraliser : je pense notamment au dossier médical partagé.

La parole est à Mme la ministre déléguée.

Mesdames, messieurs les sénateurs, je me réjouis de la tenue de ce débat et de pouvoir participer à vos échanges très riches sur ce sujet fondamental du respect des libertés publiques, de la protection de la vie privée et du nécessaire état des lieux des fichiers dans notre pays.

Avant de réagir à vos propos et, je l’espère, d’apporter des réponses aux questions et aux observations qui ont été formulées ce soir, je voudrais partager avec vous quelques éléments.

Dans la décennie passée, nous avons connu trois mouvements majeurs en matière de fichiers de sécurité en apparence contradictoires, mais que nous avons voulu et, je l’espère, su concilier. Premièrement, un contexte sécuritaire qui s’est globalement tendu, avec une menace terroriste désormais structurante. Deuxièmement, des évolutions techniques et technologiques qui ouvrent de nouvelles potentialités de traitement des données. Troisièmement, un droit des données qui n’a cessé de s’étoffer et de se préciser, avec notamment l’entrée en vigueur dans notre droit du règlement général sur la protection des données de 2018, via sa transcription dans la loi Informatique et libertés que vous connaissez bien.

C’est de ce triple mouvement qu’est issue la situation que nous connaissons aujourd’hui. Elle se caractérise, me semble-t-il, par de nouveaux besoins des services de sécurité en termes d’accès aux fichiers, d’interconnexion, de fiabilisation des identités des personnes inscrites, d’exigence accrue de transparence et de précision, cela a été mentionné à plusieurs reprises, sur chacun des fichiers, sur leurs finalités, leurs modalités de fonctionnement, les mesures prises pour s’assurer que ne sont collectées et conservées que les seules données strictement nécessaires.

J’observe une forme d’exigence contradictoire à l’égard de l’État, cela a été dit également. Les Français, et c’est heureux, sont de plus en plus sensibilisés aux enjeux de leurs données et du traitement qui peut en être fait. Ils sont aussi parfois méfiants envers des fichiers mis en œuvre par l’État et singulièrement par le ministère de l’intérieur.

Dans le même temps, il me semble que les Français attendent aussi des policiers et des gendarmes qu’ils puissent anticiper, prévenir les menaces, agir, détecter dès que possible les individus potentiellement dangereux, travail quotidien pour lequel le recours aux fichiers est bien souvent, chacun le comprend, indispensable.

À cet égard, la demande croissante d’enquêtes administratives sur des personnes exerçant des métiers sensibles de la sécurité, mais aussi de l’enseignement, de la santé et des services publics est révélatrice.

Dans ce contexte, nous avons fait le choix, en France, de conserver un régime de fichiers de sécurité très protecteur. En effet, alors que le RGPD et la directive Police-Justice de 2018 régissant les fichiers dont nous débattons ce soir ont inauguré un vrai changement de paradigme, notamment en supprimant le régime de déclaration d’autorisation des fichiers, nous avons fait le choix de maintenir un régime d’autorisation pour les fichiers de sécurité.

Cela signifie que tout traitement de données à caractère personnel qui intéresse la sûreté de l’État, la défense ou la sécurité publique, ou qui a pour objet la prévention, la recherche, la constatation et la poursuite des infractions pénales, l’exécution des condamnations et des mesures de sûreté, doit être autorisé par un acte réglementaire pris après un avis de la CNIL.

Parmi ces traitements, ceux qui portent sur des données dites sensibles – je pense aux données biométriques – sont particulièrement encadrés, puisqu’ils doivent être systématiquement autorisés par décret en Conseil d’État, pris après avis de la CNIL. D’ailleurs, les décrets qui ont été évoqués apportent des actualisations sémantiques sur ces questions, je tiens à le préciser.

Chacun des fichiers du ministère de l’intérieur doit donc respecter les dispositions cardinales du droit des données personnelles. Ces données doivent être collectées et traitées de manière loyale et licite – c’est le principe de légalité ; elles doivent être collectées pour des finalités déterminées, explicites et légitimes – c’est le principe de finalité ; le responsable d’un traitement ne peut enregistrer ou utiliser des informations sur des personnes physiques que dans un but précis, légal et légitime ; elles doivent être adéquates, pertinentes, non excessives au regard des finalités recherchées - c’est le principe de proportionnalité et de pertinence.

Les informations enregistrées doivent donc être strictement nécessaires au regard de la finalité donnée et connue du fichier. Elles doivent être exactes, évidemment, et tenues à jour. Toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, puissent être effacées ou rectifiées, et ce sans tarder.

Elles doivent enfin être conservées sous une forme qui permette l’identification des personnes concernées pendant une durée n’excédant pas ce qui est nécessaire au regard des finalités de traitement.

Monsieur le sénateur Yves Bouloux, les droits des personnes concernées doivent également être respectés : droit d’accès, droit de rectification, droit d’effacement et droit de saisir la CNIL gratuitement.

Concrètement, chaque fois que le ministère de l’intérieur envisage de créer ou, le plus souvent, de modifier un traitement de données à caractère personnel, il doit d’abord prouver à la CNIL, puis au Conseil d’État, que le traitement envisagé respecte tous ces grands principes. J’ajoute que deux parlementaires sont membres de la CNIL, …

Quatre !

… ce qui permet d’exercer un contrôle.

Pour ce faire, le ministère doit notamment réaliser une analyse d’impact relative à la protection des données dans laquelle il expose très précisément ce qu’il veut faire et quelles dispositions à la fois juridiques et organisationnelles il prendra pour assurer que seules les données nécessaires pour atteindre la finalité recherchée soient collectées, dans le respect du motif légitime.

Il doit ensuite assurer un droit à l’information, le droit d’accès que j’évoquais, même dans le champ de la directive Police-Justice.

Une fois validé par la CNIL et par le Conseil d’État, le fichier fait également l’objet de contrôles constants, et ce tout au long de sa durée de vie : contrôle qualité obligatoire en interne, au regard des exigences qui pèsent sur chaque responsable de traitement ; contrôle externe par la CNIL, qui mène aussi régulièrement des contrôles sur les traitements de données de la police et de la gendarmerie ; contrôle du juge, en l’occurrence le Conseil d’État, saisi de nombreux recours contentieux.

Dans ce contexte juridique en pleine mutation, les auteurs du rapport d’information de la commission des lois de l’Assemblée nationale consacré aux fichiers de sécurité intérieure, en 2018, saluaient la diffusion, au sein de la police, comme de la gendarmerie, d’une véritable culture des libertés individuelles. Notre enjeu, aujourd’hui et demain, est bien là : respecter pleinement un droit exigeant, un droit protecteur des données et des libertés publiques, tout en donnant aux services les moyens d’agir et en leur permettant d’être pertinents et réactifs.

Je voudrais préciser que nous parlons là de 65 000 personnes, c’est-à-dire bien moins que le rapport de un sur onze évoqué voilà quelques instants. C’est fondamental : le ministre de l’intérieur l’avait évoqué lors de sa récente audition. À cet égard, s’il a déclaré à cette occasion que la CNIL avait « validé » le décret, c’était par facilité de langage, pour s’approprier un vocabulaire que les commentateurs utilisent couramment.

Pourquoi avoir changé la précédente rédaction, qui parlait d’« activités politiques, religieuses, syndicales » pour leur préférer les termes « opinions politiques », « convictions philosophiques et religieuses » et « appartenance syndicale » ?

Je n’élude pas la question, qui est importante. Il s’agit d’une demande du Conseil d’État : lorsqu’il a examiné le projet de décret, le Conseil a demandé au Gouvernement, dont ce n’était pas l’objectif initial, de procéder à une évolution terminologique pour mieux tenir compte de la rédaction actuelle de la loi Informatique et libertés qui désigne les données sensibles. J’espère ainsi apporter une réponse aux interrogations du sénateur Jérôme Durain.

Jusqu’à présent, il était précisé, par exception à l’interdiction de collecter des données sensibles, qu’il était possible de réunir dans ces fichiers des données concernant les « activités » politiques, religieuses, syndicales. La traduction française du RGPD ayant retenu, pour qualifier les données sensibles, les termes « opinions », « convictions » et « appartenance », le Conseil d’État a tout simplement souhaité s’aligner sur cette rédaction.

Ces éléments peuvent être importants pour contextualiser la menace. Savoir qu’un individu adhère, par exemple, à des thèses antispécistes est important pour contextualiser des faits de dégradation de commerces ou de sites de production alimentaires auxquels il incite à participer.

De même, le militantisme n’est évidemment pas, en soi, une donnée intéressant les services au regard d’un engagement syndical. En revanche, il est important de savoir si un individu radicalisé est représentant du personnel de l’entreprise : dans ce cas, il peut jouir d’une influence plus forte auprès de ses collègues pour les inciter, par exemple, à rejoindre des idéologies prônant la violence, voire à passer à l’acte.

L’examen du Conseil d’État intervenant après l’examen de la CNIL, il me semble normal que celle-ci ne se soit pas prononcée sur cette évolution.

Les décrets précisent explicitement qu’aucune recherche dans les fichiers ne peut être réalisée à partir de ces données sensibles.

Le Gouvernement ne permet pas le fichage des syndicalistes. Appartenir à un syndicat n’est jamais une raison justifiant un fichage.

Est-il possible de recourir à la reconnaissance faciale dans ces fichiers ? Je tiens à répondre clairement à cette question : comme la CNIL l’indique dans son communiqué du 11 décembre dernier, aucun dispositif de reconnaissance faciale n’est prévu et aucun dispositif de requêtage par photographie n’est possible.

De la même manière, les enfants de moins de 13 ans ne peuvent être fichés, et c’est heureux. Un membre du Conseil d’État, chargé de la vérification, remet chaque année un rapport sur ce sujet. J’espère avoir ainsi répondu à l’interpellation de Mme la sénatrice Assassi.

Il n’y a pas non plus d’interconnexion automatique entre les différents fichiers. Il peut y avoir des rapprochements manuels, mais rien n’est automatisé. Monsieur le sénateur Max Brisson, il n’existe aucune interconnexion entre des fichiers ayant des buts différents.

Je voudrais également préciser que toutes les personnes du monde politique ou syndical ne peuvent être fichées. Il me semble qu’une certaine confusion a pu s’installer avec le projet Edvige, envisagé en 2008, qui n’a jamais vu le jour. Monsieur le sénateur Paul Parigi, seules les personnes représentant une menace grave pour la sécurité peuvent être fichées et non l’ensemble des acteurs du champ syndical, politique ou même économique.

Comme l’a très justement souligné Mme la sénatrice Nicole Duranton, les fichiers et les données que nous offrons tous les jours à Google ou à différents acteurs numériques sont bien plus sensibles, bien plus personnels et bien moins contrôlés.

Je voudrais enfin préciser que des personnes morales peuvent, à l’évidence, représenter une menace pour la sécurité publique. C’est d’ailleurs l’objet du projet de loi confortant le respect des principes de la République qui arrivera bientôt en discussion au Sénat. Je pense aux associations violentes, aux groupements de fait, aux gangs, aux groupes criminels et aux groupes sectaires. Dans ce cas, le fichage se fait au travers des individus qui les composent. Elles ne figureront donc pas comme élément d’évaluation de la menace que représente une personne. Toutefois, le fait qu’un individu participe, par exemple, aux réunions d’un groupe néonazi constitue en soi une information, un élément d’appréciation de sa potentielle dangerosité.

De même, il peut être important de signaler qu’une personne présentant une menace fait partie d’une association ou d’un groupement quelconque pour déterminer, par exemple, son potentiel cercle d’influence, ses relations, ses tentatives d’entrisme ou de déstabilisation. En matière de lutte contre le terrorisme islamiste, il est absolument fondamental de pouvoir disposer de ces informations, très précieuses pour les forces de sécurité intérieure.

Par ailleurs, mesdames les sénatrices Carrère et Apourceau-Poly, en ce qui concerne l’application TousAntiCovid, je tiens à préciser que les données de santé sont gérées et traitées exclusivement via le ministère de la santé. Elles ne servent pas au ministère de l’intérieur. Il s’agit de données du plus haut niveau de sensibilité et de sécurité. Elles font l’objet de mesures de sécurité très particulières pour s’assurer que nul ne puisse y accéder et s’en servir. Il me semble important de le préciser au regard de la période de pandémie que nous traversons. Ces données ne sont en aucune façon utilisées par le ministère de l’intérieur.

Mesdames les sénatrices, messieurs les sénateurs, soyez-en certains, le Gouvernement partage votre attachement fondamental aux libertés publiques et partage également votre attachement à l’efficacité des services de renseignement des forces de sécurité intérieure pour mieux nous protéger, tout en respectant nos libertés publiques fondamentales, qui font la grandeur de la démocratie.

Nous voilà rassurés !

Nous en avons terminé avec le débat sur le thème : « Respect des libertés publiques, protection de la vie privée : un nécessaire état des lieux des fichiers dans notre pays. »

Voici quel sera l’ordre du jour de la prochaine séance publique, précédemment fixée au mardi 16 février 2021 :

À quatorze heures trente et le soir :

Projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, habilitant le Gouvernement à prendre les mesures relevant du domaine de la loi nécessaires pour assurer la conformité du droit interne aux principes du code mondial antidopage et renforcer l’efficacité de la lutte contre le dopage (texte n° 198, 2020-2021) ;

Projet de loi, adopté par l’Assemblée nationale après engagement de la procédure accélérée, ratifiant diverses ordonnances prises sur le fondement de l’article 11 de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19 (texte de la commission n° 330, 2020-2021) ;

Proposition de loi, adoptée par l’Assemblée nationale après engagement de la procédure accélérée, relative à la réforme du courtage de l’assurance et du courtage en opérations de banque et en services de paiement (texte de la commission n° 332, 2020-2021).

Personne ne demande la parole ?…

La séance est levée.