Du 24 au 26 septembre, Michel Gentot, président de la commission de l’informatique et des libertés (CNIL) et conseiller d’...tat, réunit à Paris, la 23ème conférence internationale des Commissaires à la protection des données. Idée : confronter les expériences et les réflexions des acteurs de la protection des données dans le monde, ainsi que des consommateurs et des entreprises.
Une conférence internationale peut-elle servir à rapprocher les points de vue de participants aux pratiques aussi éloignées ?
Même dans des situations aussi complexes que celles que nous connaissons aujourd’hui en matière de développement des fichiers, il y a des réponses à apporter à certains problèmes. Il y a une universalité, une généralisation de la réflexion, une mondialisation des problèmes. L’un des effets, pas trop malheureux, de cette mondialisation, c’est qu’un certain nombre de pays développent leur réflexion ou se dirigent vers des réformes de leur législation. Ils partent tous d’un constat qui s’est imposé lors de deux conférences précédentes à Venise et Hong Kong :celui de l’unification d’un monde où les libertés individuelles risquent d’être menacées.
Tous les Etats ne sont pourtant pas parvenus à ce même stade de réflexion...
On essaiera de démontrer au cours de cette conférence que durant notre vie, du suivi hospitalier à la communication électronique en passant par l’Internet, les mêmes questions se posent en en des termes voisins un peu partout. En dehors des Quinze, un certain nombre de pays ont créé des institutions semblables à la nôtre, comme au Canada, en Australie, en Argentine, au Japon. Aux Etats-Unis, c’est le législateur qui est intervenu. Des législations d’Etat et des législations fédérales y existent, comme l’institution d’une protection des mineurs, des données de santé, et aussi le Safe Harbor (1) qui, même au compte gouttes, instaure une reconnaissance des principes de protection des données personnelles. Mais cette conférence ne doit pas déboucher sur des recommandations générales, car les participants sont divers : des responsables de la protection des données, mais aussi des associations de consommateurs, de défense des citoyens, des industriels. Notre but, c’est de faire parler les gens.
Pourquoi cette ouverture sur le tiers-monde, sur le sud ?
Le Burkina-Faso, est en train de mettre en place un nouveau système de cartes d’identité. Personne ne s’était soucié de savoir si le fichier ferait l’objet d’un contrôle. On s’est inquiété du sujet dans le pays et ils vont mettre en place une loi ad hoc. Le secrétaire d’Etat aux droits de l’homme, qui est chargé de la suivre, sera présent à la conférence. L’ancien ministre de l’intérieur du Sénégal expliquera, lui, comment l’informatisation des listes électorales a posé problème et comment ils l’ont résolu. En les invitant, nous avons essayé de sortir du cercle étroit de la France, mais il ne faut pas y voir une entreprise diplomatique !
Votre préoccupation, c’est la diffusion d’un modèle français ?
Ce qui m’intéresse ce sont les principes. La loi de 1978, qui a instauré la CNIL, les a formulés de manière intelligente. À tel point qu’ils ont été repris dans la directive européenne de 1995.
Son adaptation en France n’est pas près d’intervenir
Le calendrier électoral va la retarder. Nous serons plus à l’aise pour demander de nouveaux moyens quand elle sera votée... Jusque-là, nous serons coincés....
Votre action est néanmoins très limitée : depuis sa création en 1978, la CNIL a demandé 17 fois seulement à la justice de trancher des litiges ...
Il est certain qu’il y a un grand nombre de fichiers qui ne sont pas déclarés à la CNIL. Une bonne partie des plaintes viennent de citoyens qui n’ont pas eu accès à des fichiers dans lesquels leur nom est enregistré. Notre contrôle systématique est difficile pour l’instant. Quant à saisir la justice, ce n’est pas notre but premier. Pour nous, il est plus important de discuter avec les institutions et avec les entreprises qui font l’objet de plaintes, pour les amener à rectifier leur politique de protection des données personnelles
Ne craignez-vous pas, avec les moyens limités dont vous disposez, d’être submergés par la croissance exponentielle des fichiers nominatifs ?
Avec la réforme de la loi de 1978, nous espérons être libérés de certains travaux de routine. Jusqu’à présent la législation distinguait deux cas : les fichiers publics, nécessitant un avis préalable de la commission, et les fichiers privés, simplement déclarés. Aujourd’hui la déclaration est le régime par défaut. Les fichiers qui traitent de données dites sensibles, qu’ils soient publics ou privés, devront faire l’objet d’une autorisation préalable. Nous n’aurons plus à intervenir, par exemple, sur les listes des cimetières ou sur les paies du personnel dans les collectivités locales. Nous serons plus attentifs à un nombre plus restreint de fichiers.
(1) Accord entre l’Europe et les Etats-Unis sur la protection et le transfert des données personnelles.