Blog Données personnelles

Rester attentif à la tentation de la surveillance

Les législations protectrices des données personnelles sont nées d’un mouvement de défiance à l’égard de l’Etat à une époque où la puissance informatique lui appartenait. On sait les évolutions intervenues depuis lors et le changement de paradigme introduit par Internet. Les capacités développées par les GAFAM ont déplacé les craintes de cette surveillance avec pour point d’orgue le scandale Cambridge Analytica. Mais force est de constater que l’Etat reprend la main et n’a rien à envier aux méthodes de surveillance précitées. Plusieurs exemples récents l’illustrent.

Le traitement inédit prévu à l’article 154 de la loi de finances pour 2020, qui autorise le fisc à collecter massivement des données publiques en ligne pour lutter contre la fraude, a passé le cap du contrôle de constitutionnalité ce 27 décembre 2019, malgré trois recours émanant de plus de 60 députés et sénateurs, l’avis défavorable du Conseil d’Etat (qui y voyait un cavalier législatif), et les réserves importantes de la CNIL.

En effet, bien que l’objectif de lutte contre la fraude et l’évasion fiscales soit légitime (rappelons qu’il s’agit d’un objectif de valeur constitutionnelle), le dispositif soulève tout de même d’importants enjeux en matière de protection des données à caractère personnel (sans parler des atteintes au droit au respect de la vie privée et à la liberté d’expression et de communication), particulièrement en matière de proportionnalité des données collectées, puisque comme l’avait rappelé la CNIL, la mise en œuvre de ce dispositif repose sur « une collecte générale préalable de données relatives à l’ensemble des personnes rendant accessibles des contenus sur les plateformes en ligne visées, en vue de cibler des actions ultérieures de contrôle lorsque le traitement de ces données aura fait apparaître un doute, et non sur une logique de traitement ciblé de données lorsqu’un doute ou des suspicions de commission d’une infraction préexistent ».

Il s’agit d’une étape supplémentaire dans l’intrusion dans la vie privée des citoyens. L’article 242 bis du CGI, tel que modifié par la loi anti-fraude de 2018, imposait déjà aux plateformes de mise en relation d’envoyer à l’administration fiscale un récapitulatif des transactions commerciales réalisées par leurs utilisateurs. Désormais, le fisc pourra directement aller se servir à la source.

Et même si le Conseil constitutionnel a considéré que le dispositif était assorti de garanties appropriées (collecte limitée aux contenus rendus publics par les utilisateurs et librement accessibles sur les réseaux sociaux et autres marketplaces, exclusion de la reconnaissance faciale et des décisions entièrement automatisées, etc.), l’expérimentation, prévue pour une durée de 3 ans, devra faire l’objet d’une analyse d’impact dont les résultats seront transmis à la CNIL, ainsi que d’une évaluation intermédiaire à mi-parcours.

Il faudra cependant attendre le décret d’application pour en connaître les modalités précises de mise en œuvre. La CNIL sera notamment particulièrement attentive aux modalités d’information des personnes concernées, puisque comme elle le soulève, « la seule circonstance que les données soient accessibles sur internet, et que les personnes aient éventuellement conscience qu’un potentiel risque d’aspiration de leurs données existe, ne suffit pas pour que les administrations qui souhaitent les exploiter soient exonérées de l’obligation de collecter ces données de manière loyale et licite ». Or cette obligation impose d’informer les personnes de la collecte et du traitement de leurs données, conformément à l’article 14 du RGPD (collecte indirecte). Comment cette information sera-t-elle faite ? Les plateformes seront-elles sollicitées ? La plupart des conditions générales d’utilisation des plateformes rappellent aux utilisateurs que les contenus publics peuvent être vus par les tiers. D’un point de vue du RGPD, il nous semble que les plateformes ne sont pas tenues de fournir une information spécifique à ce sujet dans le cadre de leur politique de confidentialité, puisque le fisc pourrait être considéré comme un tiers autorisé, et non un « destinataire » au sens de l’article 4(8) du RGPD dans la mesure où les données sont collectées « dans le cadre d’une mission d’enquête particulière », ce d’autant qu’il procèdera lui-même à la collecte des données publiques, sans en faire la demande aux plateformes (qui devront néanmoins permettre techniquement la collecte des données par des moyens automatisés sur leur site, qui sont généralement protégés contre l’aspiration de données).

Il nous semble qu’il conviendra également de préciser la notion de « contenus librement accessibles », en lien avec la question du caractère public ou privé des comptes des réseaux sociaux sur laquelle la jurisprudence a eu l’occasion de se prononcer à plusieurs reprises dans le cadre de contentieux du droit du travail. L’application des critères ainsi dégagés (paramétrage du compte et nombre de personnes agrées) pourrait en effet laisser très peu de marge de manœuvre au fisc.

A la même période, le gouvernement a crée, par arrêté du 16 décembre 2019, le « Service national des données de voyage » (SNDV), rattaché à la police nationale. L’objectif est d’étendre à l’ensemble des moyens de transport (aérien, maritime et terrestre) le suivi des passagers qui est déjà en vigueur dans l’aviation via le système API-PNR (pour lequel la CNIL avait déjà émis certaines réserves), et ce pour des finalités extrêmement larges (prévention, recherche, constatation et poursuite des infractions pénales, exécution des condamnations pénales, lutte contre le terrorisme, etc.).

La CNIL a confirmé ne pas avoir été consultée sur le sujet pour le moment. S’il est vrai que l’arrêté ne crée pas de traitement de données soumis à l’avis motivé de la CNIL en vertu de l’article 31 de la loi informatique et libertés, on peut regretter que le gouvernement n’ait pas sollicité l’autorité sur ce sujet important, comme l’y autorise pourtant l’article 8, e) de la loi. Toutefois, dans la mesure où le SNDV a vocation à proposer la mise en œuvre de dispositifs de collecte et de traitement des données de voyage, et de les superviser (pour en assurer la conformité et la proportionnalité), il ne sera plus possible d’échapper au contrôle de la CNIL à ce moment-là.

Enfin, l’annonce, fin 2019, par le secrétaire d’Etat au Numérique, Cédric O, du projet du gouvernement d’expérimenter la reconnaissance faciale en temps réel sur les images de vidéosurveillance pendant une période de 6 mois à 1 an, appelle la plus grande vigilance. L’objet de cette expérimentation, qui devrait être conduite sous la supervision de la société civile et des chercheurs, sera d’obtenir des « retours sur les différents cas d’usage et sur la performance réelle de cette technologie, ainsi que sur les questions qui se posent ». Devrait s’en suivre un débat public sur l’opportunité de recourir à cette technologie et de sacrifier encore un peu plus nos libertés individuelles sur l’autel sécuritaire. Certains y voient une dérive dangereuse digne d’un scénario de Black Mirror, à l’instar de ce qui se passe aujourd’hui en Chine, dont le système national de réputation des citoyens ou « crédit social », annoncé pour 2020, devrait bientôt être complètement opérationnel. La CNIL elle-même a alerté sur les risques soulevés par cette technologie (données biométriques particulièrement sensibles, technologie omniprésente, risques de défaillance et impact sur les choix de société) et la nécessité de ne pas franchir certaines « lignes rouges » pour respecter la vie privée des citoyens (voir son rapport de novembre 2019). Il faudra donc rester attentif sur ces sujets pour éviter toute « méconnaissance facile » des libertés individuelles …