Les citoyens sont-ils plus conscients de l'importance de protéger leurs données personnelles ? Au moins sont-ils plus nombreux à s'adresser à la Commission nationale de l'informatique et des libertés (Cnil). Pour l'année 2015, cette dernière a enregistré 7 908 plaintes, soit 36% de plus qu'en 2014, depuis la demande de ne plus figurer dans un fichier commercial jusqu'à celle de ne plus être démarché par téléphone par un candidat à une élection. Signe des temps : les demandes d'accès aux fichiers de police, de gendarmerie et de renseignement par l'intermédiaire de la Commission – le «droit d'accès indirect» – ont, elles aussi, augmenté (5 890, soit +12%).
Ce vendredi, le gendarme de la vie privée présentait son rapport d'activité 2015 et son «plan stratégique» pour les trois ans à venir. Occasion d'apprendre comment l'activité de la Cnil a été impactée par le contexte né des attentats du 13 novembre : elle indique avoir reçu, ces derniers mois, «près de 155 demandes de droit d'accès indirect liées au contexte de l'état d'urgence (perquisitions administratives, assignations à résidence, retraits de badges aéroportuaires ou de cartes professionnelles)». Demandes qui concernent notamment le fichier des antécédents judiciaires, ou ceux des services de renseignement, lesquels, dans les faits, restent particulièrement difficiles d'accès.
«Un élément vital de notre sécurité»
Occasion, aussi, de rappeler que pour la seule année 2015, la Cnil a rendu des avis sur pas moins de 14 textes – projets de loi et décrets d'application – en lien avec la lutte contre le terrorisme ou le renseignement. Avec plus ou moins de succès. «Nous n'avons pas été entendus sur la demande que nous avons faite d'avoir un contrôle sur les fichiers de renseignement», regrette Isabelle Falque-Pierrotin. Et le rapport pointe le passage «d'une surveillance individuelle ciblée à l'identification de personnes considérées comme "à surveiller"», qui implique la «collecte généralisée et indifférenciée d'un volume important de données». Notamment via les fameuses «boîtes noires», destinées aux opérateurs et aux hébergeurs, prévues par la loi adoptée en juillet.
Au passage, la Commission a profité de la parution de son rapport pour prendre position sur la question, âprement discutée, du chiffrement des communications et des données. Et son point de vue rejoint celui de nombre d'associations de défense des libertés publiques et d'experts en cybersécurité : «Dans un contexte de numérisation croissante de nos sociétés et d'accroissement exponentiel des cybermenaces», la cryptographie est un «élément vital de notre sécurité», et un moyen de «protéger l'exercice des libertés individuelles». Quant aux «portes dérobées», les backdoors, qui garantiraient aux autorités l'accès aux données, elles présentent «un risque collectif» et n'empêcheraient pas «des personnes malveillantes de continuer à utiliser des solutions de chiffrement à titre individuel». «Il existe de nombreux moyens d'accéder aux données» dans le cadre d'enquêtes, a rappelé Isabelle Falque-Pierrotin.
A lire aussi Cryptographie: la justice cherche la clé
Anticiper le règlement européen
Quant à l'encadrement de l'usage des données personnelles par les acteurs privés, l'étagère est aussi chargée. Notamment au rayon européen, avec la préparation du nouvel accord sur les transferts de données depuis l'Europe vers les Etats-Unis, le «Privacy Shield», qui fait déjà grincer des dents du côté des associations de défense des libertés en ligne, et sur lequel les Cnil européennes doivent se prononcer le 13 avril. Autre gros dossier, le règlement européen sur les données personnelles, qui devrait entrer en vigueur à l'horizon 2018 et qu'il s'agit d'anticiper.
Un texte qui renforcera d'ailleurs sensiblement les pouvoirs de sanction de la Commission et de ses homologues européennes, puisqu'elles pourront prononcer des amendes allant jusqu'à 4% du chiffre d'affaires annuel d'une entreprise qui ne respecterait pas ses obligations (en France, pour l'heure, le montant maximal est de 150 000 euros). De ce point de vue, en 2015, la Cnil a tapé moins fort : trois sanctions financières, contre huit l'année précédente. Mais ses mises en demeure sont plus nombreuses, passées de 62 à 93. Et depuis le début de l'année, elle a successivement mis en demeure Facebook de collecter «loyalement» les données des internautes, et prononcé une amende de 100 000 euros à l'encontre de Google.