Observations préliminaires du Rapporteur spécial des Nations Unies sur le droit à la vie privée sur sa visite en France du 13 au 17 novembre 2017

17 novembre 2017

Introduction

La première visite officielle du Rapporteur spécial des Nations unies sur la vie privée, M. Joseph Cannataci, a eu lieu à Paris du 13 au 17 novembre 2017. Elle s’est articulée autour de cinq priorités: la surveillance et la sureté ; une meilleure compréhension du droit à la vie privée ; les données personnelles dans les grandes sociétés ; les méga-données (" big data ") et les données ouvertes (" open data ") ; et enfin, les données relatives à la santé. Le Rapporteur spécial indique dans ce document ses principales observations lors de cette visite.

Calendrier du rapport 

Cette visite d’une semaine a permis au Rapporteur spécial d’établir des contacts avec plusieurs acteurs et d’identifier les grandes lignes des sujets explorés en matière de droit à la vie privée.

Il est espéré que cette visite ne sera qu’un début d’échanges de points de vue qui se prolongera lors des mois prochains et il est prévu que le rapport final sera finalisé en 2018 pour être traduit dans les langues officielles des Nations Unies pour être finalement présenté au Conseil des Droits de l’Homme en mars 2019.

Interlocuteurs

Lors de cette mission, le Rapporteur spécial a eu l’occasion de rencontrer et de dialoguer avec :

• La Délégation aux affaires européennes et internationales des ministères sociaux, avec la Délégation à la stratégie des systèmes d’information de santé, et la Direction des affaires juridiques.
• Le Conseil d’Etat
• La Commission nationale de l’informatique et de libertés (CNIL)
• La Direction Générale des entreprises du service de l’économie numérique
• L’observatoire des Libertés et du numérique, ainsi que de Syndicat de la magistrature, La quadrature du Net, la Ligue des droits de l’Homme, CECIL.
• Le Ministère de la Justice (Directeur des affaires civiles et du Sceau et la Cheffe de Service ainsi que la délégation aux affaires européennes et internationales)
• La Direction Générale du trésor
• Le ministère de l’Intérieur
• La Commission nationale de contrôle des techniques de renseignement (CNCTR)
• Le ministère des affaires étrangères
• Les services de renseignement
• La Commission nationale consultative des Droits de l’homme (CNCDH)
• Amnesty International

Remerciements

Le Rapporteur spécial des Nations Unies sur le droit à la vie privée remercie le gouvernement français d'avoir organisé sa visite en France au cours de cette semaine. La visite s’est très bien passée: nous avons été accueillis avec une extrême courtoisie et nos questions ont été accueillies avec des réponses directes et bien fondées.

Mise en contexte 

Le mandat du Rapporteur spécial a été créé en 2015 à la suite des révélations d’Edward Snowden et des préoccupations publiques et internationales selon lesquelles les agences de renseignement d'un certain nombre d'États enfreignent la vie privée des citoyens par des mesures de surveillance qui se sont ni proportionnées ni nécessaires dans une société démocratique. En conséquence, le mandat est particulièrement sensible aux activités, aux procédures opérationnelles et aux mécanismes de surveillance des agences de renseignement. Cela se traduit par la nécessité de rencontrer ces agences afin de pouvoir discuter avec elles des pratiques existantes, bonnes ou mauvaises, mais aussi d’échanger en matière d’expérience internationale comparative, d’explorer les voies possible d’un renforcement de la protection de la vie privée entre autres nombreuses questions pertinentes à leur mission et à celle du Rapporteur spécial. Dans tous les pays où le Rapporteur spécial s'est rendu jusqu’à présent et a demandé à rencontrer les services de renseignement de ces pays (que la visite soit officielle ou non), les représentants et parfois même les directeurs des services de renseignement concernés l’ont rencontré pour des discussions cordiales, franches et ouvertes. Ces entretiens ont permis au Rapporteur spécial d'identifier les meilleures pratiques et les mesures susceptibles d'aider les services de renseignement et autres services de sécurité à remplir leur mission de protection de la sécurité dans la société tout en respectant la protection de la vie privée.

Pendant sa visite en France, le Rapporteur spécial a eu l’opportunité de rencontrer la direction des services des renseignements français et les échanges avec ces interlocuteurs ont été très productifs aboutissant à une compréhension approfondie des besoins des services de renseignements et des opportunités pour mieux protéger la vie privée.

La surveillance et la sécurité

Une partie considérable de la visite a été dévolue à la question de la surveillance et de la sécurité.

Les interlocuteurs du Rapporteur spécial lui ont expliqué que la France n’avait pas véritablement de cadre législatif régulant les services de renseignement avant 1991. A cette date, une loi a été établie pour réguler les écoutes téléphoniques. Dans les décennies qui ont suivi, le progrès technologique a entraîné de nouvelles occasions de surveillance. C’est avec la loi du 24 juillet 2015 que la France a pu établir un cadre légal permettant aux services de renseignement d’utiliser des techniques de surveillance de manière strictement régulée. En examinant la législation française en cette matière de manière plus détaillée, le Rapporteur spécial a pu noter avec satisfaction que la France a pris plusieurs initiatives qu’il considère comme étant de bonnes pratiques susceptibles de servir de modèle ou de sources d’inspiration aux niveaux européen et même global Tout d’abord, il a pu apprécier lors de ces diverses rencontres, notamment celle avec la Commission nationale de contrôle des techniques de renseignement (CNCTR), les exigences d’autorisations préalables imposées par cette dernière à chaque service spécialisé requérant des techniques de surveillance. Cette autorisation est prévue par la loi du 24 juillet 2015.

En outre, le Rapporteur spécial note avec satisfaction la pratique adoptée par la CNCTR à la suite de la demande du gouvernement français, à titre expérimental, d’appliquer le même système d’autorisations préalables aux instances de surveillance internationale (telle que prévue par la loi du 30 novembre 2015). Ainsi, ce système d’autorisations a priori émis par la CNCTR est appliqué de facto puisqu’il n’est pas, à l’heure actuelle, imposé par la loi. Ce faisant, la France a créé des conditions d’un meilleur respect du droit universel à la vie privée.

Le Rapporteur spécial a noté que cette pratique de facto pourrait devenir une mesure de jure en cas de révision de la loi.

Le Rapporteur spécial a également pris note des commentaires et des préoccupations émis par plusieurs interlocuteurs selon lesquels l’autorisation préalable fournie par la CNCTR a seulement une valeur d’avis, sur demande du Premier ministre au moment de prendre des mesures de surveillance. On peut aisément comprendre le souci de rendre l’avis de la CNCTR contraignant pour chaque requête de surveillance. Le Rapporteur spécial a cependant noté qu’en pratique, le Cabinet du Premier ministre ne s’est jamais opposé à l’avis de la CNCTR. En outre, il tient compte du fait qu’en cas d’avis défavorable entre la CNCTR et le Premier ministre, la loi française contient aussi la possibilité, voire l’obligation dans des cas déterminés, d’un recours devant le Conseil d’Etat.

Le Rapporteur spécial retient également un troisième élément essentiel du droit français depuis 2015 : l’accès absolu à la CNCTR à tous les fichiers tenus par les services de renseignement. Ceci permet le contrôle ex post de toute mesure de surveillance et de suivi des conditions imposées au préalable par la CNCTR sur un cas particulier.

Le Rapporteur spécial a examiné avec beaucoup d’intérêt l’expérimentation actuelle menée par la CNCTR en ce qui concerne l’utilisation des algorithmes permettant une analyse des meta-données sans que celle-ci puisse donner accès au flux ou au contenu des données originelles mais seulement au résultat choisi par l’algorithme. Dans ce cas-là, si les services de renseignements veulent accéder aux données de bases soulevées par algorithme, ils doivent demander l’accord ad hoc de la CNCRT. 

Le Rapporteur spécial a aussi noté avec satisfaction les développements importants quant à la création de moyens de recours à la disposition des citoyens dans le cadre du système de contentieux administratif. En effet, la création d’une formation spécialisée de cinq juges du Conseil d’Etat habilités à avoir un accès complet aux fichiers des services de renseignement et à les examiner dans le cadre de leur responsabilité de contrôle est une nouvelle étape établie en 2015 qui donne aux citoyens une voie potentielle de recours en cas de collectes illégales de leurs données.

Lors de ces discussions, le Rapporteur spécial a aussi observé les efforts de la France en vue de la préparation et de la détermination de l’ensemble des mesures relatives à l’adoption du Règlement général sur la protection des données, préconisé par l’Union européenne, qui entrera en vigueur le 25 mai 2018.

Le Rapporteur spécial attend donc de voir les résultats pratiques de ces efforts législatifs visant à mettre en œuvre les dernières législations européennes en la matière. Le gouvernement français a confirmé son intention d’être l’Etat le plus protecteur possible et le Rapporteur spécial a bon espoir que la législation française pourra être utilisée comme modèle non seulement pour les Etats européens, mais aussi pour tous les autres Etats membres.

Un écosystème évolué pour les secteurs publics et privés

Au cours de ses rencontres, le Rapporteur spécial a pu constater que la France a été également innovatrice en insérant des sauvegardes relatives au droit à la vie privée qui n’existaient pas auparavant. Ainsi, outre le contrôle exercé par la CNCTR, s’ajoute un écosystème riche et complexe élaboré au cours des quatre dernières décennies par la Commission nationale de l’informatique et des libertés (CNIL). La CNIL est complémentaire des fonctions de la CNCTR et complète l’arsenal de contrôle de la plupart des activités dans les secteurs public et privé. Même dans le secteur de la surveillance, la CNIL a des fonctions d’interface à la disposition des citoyens.

Le rôle de a CNIL est apprécié dans plusieurs domaines, comme par exemple, les dernières recherches publiées par celle-ci en 2017 concernant les " villes intelligentes " dont le sujet est depuis longtemps un champ de recherche et d’activités pour le mandat du Rapporteur spécial.

Les données personnelles en matière de santé

Le Rapporteur spécial relève que le cadre juridique (notamment au travers de la loi Touraine) est clairement défini et approfondi en matière de protection de données dans ce domaine. Il observe également et encourage la CNIL à continuer à exercer son rôle de contrôle et de système obligatoire d’autorisations. En effet, sans celles-ci, le traitement des données ne peut s’effectuer.

Le Rapporteur spécial appuie également les efforts en cours pour améliorer l’information des personnes visant à garantir leur consentement informé et conscient.

Le Rapporteur spécial note que les données ne pourront pas être réutilisées pour une autre finalité que celle initialement et strictement définie. A cause des risques de ré-identification présentés par le jumelage des techniques de données ouvertes et des méga-données (open data et de big data) le Rapporteur spécial conseille de ne pas publier de données médicales parmi des programmes de open data sauf dans le cas où des sauvegardes importantes sont garanties.

Le Rapporteur spécial s’interroge également sur la question de l’acceptation par le citoyen de livrer ses données au secteur privé. Il n’y a en effet pas de réglementation dans ce domaine et c’est une des préoccupations sur laquelle la France devra se pencher.

La vie privée et la fin de l’état d’urgence

Le Rapporteur spécial a pris bonne note et partage des inquiétudes de la société civile et des défenseurs des droits de l’homme concernant l’impact de l’état d’urgence décrété en France depuis presque deux ans (novembre 2015-ocotbre 2017) sur la vie privée. Il note également les préoccupations concernant les changements dans le droit français sensés mettre fin à l’état d’urgence. A plusieurs reprises, le Rapporteur spécial a eu l’occasion de discuter avec la société civile et les défenseurs des droits de la signification véritable de l’introduction le 31 octobre 2017 dans le droit commun de plusieurs mesures qui semblent être transposées directement de celles établissant l’état d’urgence. Entre autres, il a pris bonne note de l’extension des finalités justifiant des mesures intrusives qui est introduite par cette loi et l’absence de clarté quant aux raisons d’être de cette loi, et en particulier les doutes exprimés sur l’utilité de cette loi étant donné que le droit pénal français dispose déjà d’un système compréhensif pour lutter contre le " terrorisme ".

Le Rapporteur spécial va examiner de manière approfondie les implications de la loi du 31 octobre 2017 pour mieux comprendre le bien fondé et l’utilité des nouvelles mesures introduites par cette loi, par rapport aux dispositions du droit existant préalablement.

Le rôle du Conseil d’Etat

Une particularité du système français apprécié par le Rapporteur spécial est le rôle renforcé du Conseil d’Etat. La contribution de conseillers d’Etat dans le système du droit en France est généralement appréciée en ce qui concerne leur intégrité et leur impartialité mais surtout pour s’assurer du respect des nouvelles lois et de la transposition de la directive européenne sur la protection des données dans le secteur pénal. Ainsi, la France dispose d’un système de contrôle de qualité supplémentaire grâce à cette institution sensée jouer un rôle important dans l’examen de projets de loi avant qu’ils soient discutés et adoptés par l’assemblée parlementaire.

Le Rapporteur spécial attend le résultat de l’examen par le Conseil d’Etat de l’ensemble de mesures proposées par le gouvernement français pour préparer la France à l’entrée en vigueur de la RGPD et la transposition de la nouvelle législation sur la protection des données dans le secteur de police.