Publié le 27 mai 2021 par : Mme Forteza, Mme Bagarry, Mme Cariou, Mme Gaillot, M. Julien-Laferrière, M. Orphelin, M. Taché, M. Villani.
Le IV de l’article 19 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est ainsi modifié :
1° Après le mot : « traitement », la fin est ainsi rédigée : « est soumis aux modalités de contrôles prévues au second alinéa du présent IV. » ;
2° Il est ajouté un alinéa ainsi rédigé :
« La conformité de ces traitements est contrôlée, en coopération avec la Commission nationale de contrôle des techniques de renseignement, par un ou plusieurs membres de la Commission nationale de l’informatique et des libertés désignés par le président parmi les membres appartenant ou ayant appartenu au Conseil d’État, à la Cour de cassation ou à la Cour des comptes. Le contrôle est effectué dans des conditions permettant d’en assurer la confidentialité. Les conclusions du contrôle sont remises au seul ministre compétent. Les conditions de mise en œuvre de cette procédure sont précisées par décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés. »
En l’état du droit, les pouvoirs de contrôle général des fichiers reconnus à la CNIL ne s’appliquent pas à certains traitements intéressant la sûreté de l’État (IV de l’article 19 de la loi de 1978). Treize fichiers, parmi lesquels « CRISTINA », « BIOPEX » ou « SIREX » sont aujourd’hui concernés.
Il n’existe donc, à l’heure actuelle, aucun contrôle en aval de ces fichiers, permettant de garantir qu’ils sont mis en œuvre dans le respect de la protection des données personnelles et des textes applicables en la matière, auxquels ils sont pourtant soumis.
Il est impossible, par exemple, de savoir s’ils respectent effectivement les prescriptions fixées par les textes réglementaires qui les créent (finalités, catégories de données, durée de conservation). Le seul contrôle dont ils font l’objet est celui réalisé par la Commission nationale de contrôle des techniques de renseignement (CNCTR) lorsqu’elle émet un avis préalablement à la mise en œuvre d’une technique de renseignement susceptible d’alimenter ces fichiers.
Dans sa délibération en date du 8 avril 2021, la CNIL a d’ailleurs renouvelé son souhait de voir ses pouvoirs de contrôle élargis, au motif que les fichiers des services de renseignement sont soumis à la loi Informatique et Libertés mais que leurs conditions de mise en œuvre effectives ne font l’objet d’aucun contrôle de sa part.
Compte tenu des quantités de données qui abondent les fichiers de renseignement, il est en effet indispensable de renforcer le contrôle de leur mise en œuvre. Tel est l’objet du présent amendement, qui vise à aménager les conditions dans lesquelles ces fichiers peuvent être contrôlés, de manière globale et a posteriori, en confiant cette compétence à la CNIL, selon des modalités adaptées.
Ces contrôles viseraient à s’assurer du respect de la protection des données personnelles et, en aucun cas, à contrôler l’activité des services spécialisés. En pratique, ils ne viseraient pas à apprécier la pertinence et la réalité de telle ou telle information contenue dans le fichier, mais les conditions de mise en œuvre globale du fichier au regard de la loi « Informatique et libertés » : catégories de données collectées, durée de conservation, destinataires de ces données, mesures de sécurité apportées au traitement ou encore éventuels interconnexions et transferts de données entre fichiers...
Ces contrôles seraient réalisés en coopération avec la CNCTR et ne pourraient être effectués que par des membres de la CNIL chargés du « droit d’accès indirect », qui ont une connaissance des services et des fichiers concernés. Ces magistrats ou anciens magistrats du Conseil d’État, de la Cour de cassation ou de la Cour des comptes seraient, le cas échéant, accompagnés des seuls agents du service des contrôles de la CNIL habilités « secret défense ». Leur déroulement serait conforme aux dispositions de l’instruction générale interministérielle n° 1 300 sur la protection du secret de la défense nationale, qui traite notamment de la collecte, de la conservation et de l’échange des données classifiées. Les conclusions de ces contrôles seraient exclusivement communiquées au ministre responsable du traitement ayant fait l’objet du contrôle selon des modalités sécurisées.
Aucun commentaire n'a encore été formulé sur cet amendement.