samedi 1er novembre 2014

Accueil du site > Technologie > Alex Türk, CNIL : « Le STIC me pose mille fois plus de problèmes que la (...)

Alex Türk, CNIL : « Le STIC me pose mille fois plus de problèmes que la future carte d’identité électronique »

Christophe Auffray, ZDNet.fr

lundi 19 octobre 2009, sélectionné par Spyworld

logo

Contrôle des réseaux sociaux, financement de la CNIL, carte d’identité électronique, anomalies du fichier STIC, fuite de données de Swift vers les Etats-Unis : le président de la CNIL s’est exprimé sur tous ces sujets à l’occasion des Assises de la sécurité, début octobre.

ZDNet.fr - La CNIL a-t-elle les moyens d’encadrer l’exploitation des données personnelles faite par les réseaux sociaux comme Facebook ?

Alex Türk - Nous avons la capacité à faire un contrôle. Nous allons étudier les plaintes qui nous arrivent de personnes qui souhaitent se retirer du système et éprouvent pour cela des difficultés. Il est également possible d’envisager de se rendre dans ces sociétés pour y faire des contrôles, et de voir la réaction des réseaux sociaux considérés.

La question qui se posera ensuite est celle de la politique pénale qui sera menée. Je suppose qu’un certain nombre de mes collègues des CNIL européennes réfléchissent aussi à cette question. Des auditions des réseaux sociaux seront prochainement menées à Bruxelles. Nous tentons de fixer des règles, même si nous devinons que cela ne suffira vraisemblablement pas.

Quelles formes pourraient prendre les contrôles ? L’intervention du juge est-elle indispensable ?

Pour faire les contrôles, nous n’avons besoin de personne. Ils se font à notre propre initiative. L’idée est dans un premier temps de s’adresser aux représentants de ces sociétés sur le territoire français. Nous verrons ensuite s’il faut aller plus loin ou non.

Si une question touche au domaine pénal, alors nous pouvons être amenés à saisir le juge pénal. Il faut encore alors que le procureur suive.

Mais la CNIL a-t-elle les moyens de réaliser de tels contrôles ?

Nous avons fait l’année dernière 240 contrôles. Il y en aura 300 en 2009. Le service en charge des contrôles a doublé. D’ailleurs, il double quasiment chaque année. A terme, dans deux ans, ils seront 20 contrôleurs. Ces personnes bénéficient d’une habilitation spéciale du Premier ministre.

Il arrive que les personnes contrôlées s’opposent. Alors, je saisis le juge pour les y contraindre. Nous pouvons aussi les poursuivre pour délit d’entrave, ce qui est une qualification pénale. L’enjeu est d’aller vérifier que dans les fichiers les choses soient bien faites conformément à la loi. La CNIL peut selon prendre des sanctions : la mise en demeure, un avertissement.

Dans le secteur privé, l’avertissement est dix fois plus dissuasif que la sanction financière. Si vous dites à une grande banque que vous allez lui infliger 50 000 euros d’amende, cela n’a pas d’effet. En revanche, infligez un avertissement qui sera rendu public, si il y a mauvaise foi avec publication dans la presse, là vous obtenez des effets.

Est-il envisageable comme la CNIL espagnole de faire des amendes un moyen de financement pour la CNIL en France ?

Cela ne me poserait pas de problème de conscience particulier. Mais il faut être réaliste, ce serait trop faible pour nous financer. En outre, je pense que nous perdrions en légitimité à l’égard des acteurs du monde informatique en générant de la suspicion.

Les Espagnols font énormément de contrôles. Lors d’une rencontre avec mon homologue espagnol, je me suis étonné de voir la CNIL infliger des amendes de 600 000 à 700 000 euros, parfois à des PME. A tort ou à raison, je n’imagine pas en France, la CNIL s’autoriser à infliger des sanctions pouvant détruire une entreprise.

Souhaitez-vous toujours un changement du mode de financement de la CNIL ?

Il y a deux ans, j’avais proposé au Premier ministre une évolution pour essayer d’appliquer le mode anglais. Il y a une dizaine d’années, mon collègue anglais a obtenu du Premier ministre qu’au lieu du budget de l’Etat, ce soient les entreprises et collectivités locales qui assurent le financement.

Tous les acteurs utilisant des ordinateurs, en excluant les petites structures, entreprises et communes, contribuent ainsi. C’est de l’ordre de 50 livres par an en Grande-Bretagne. Avec un système analogue en France, nous aurions doublé notre budget en 4-5 ans et encore amélioré notre indépendance.

Le Premier ministre m’avait donné un accord de principe au moins sur la réflexion. Puis il m’a plus tard contacté pour m’expliquer qu’il ne serait pas possible dans le contexte actuel de faire accepter cette mesure.

Où en est le projet de carte d’identité électronique ?

Le ministre de l’Intérieur m’a fait savoir que le dossier revenait à la surface. D’après ce qu’il a été dit, il devrait passer avant la fin de l’année. Il va donc y avoir un important débat sur cette question puisque cela pose certains problèmes, dont le premier est de savoir si la carte d’identité reposera ou non sur une base de données centrale.

Je crois comprendre que le ministère souhaiterait lui donner une tournure davantage orientée sur les services que cela n’était le cas auparavant. Le danger serait qu’il y ait trop d’accès et qu’on débouche sur un usage anormal du fichier. Ce sont des enjeux qui devraient donc être discutés début décembre.

Pour parler très franchement, le STIC (système de traitement des infractions constatées, ndlr) me pose mille fois plus de problèmes que la future carte d’identité. Or, il existe depuis des années, et 30 millions de personnes y figurent.

Justement, que fait la CNIL concernant des fichiers comme le STIC ?

Dès l’origine, la CNIL a donné son point de vue. Ensuite, nous faisons deux types de contrôles. Il y a 6 mois, nous avons effectué un contrôle global. Un an de travail pour trois personnes, ingénieurs et juristes.

Le rapport a été rendu et était très dur. Nous avons relevé deux grands types d’anomalies. Le premier chez les procureurs qui ne corrigent pas les données du STIC, alors même qu’ils apprennent qu’une personne a été relaxée ou fait l’objet d’un classement sans suite.

Le second point, c’est le fait que dans les commissariats de police, on ne respectait pas suffisamment les règles de mot de passe, d’habilitation et de traçage. J’ai revu les ministres tout récemment, Intérieur et Justice, pour leur dire que nous referions un contrôle dans les prochains mois et qu’ils avaient donc tout intérêt à régler ces questions.

Qu’attendez-vous comme résultats ?

L’objectif c’est d’obliger les fonctionnaires de police à respecter les règles. En ce qui concerne les procureurs, cela risque d’être plus long. Il faut en effet régler les questions matérielles, dont les moyens humains insuffisants.

Il faut quoi qu’il en soit régler le sujet du STIC. L’enjeu est colossal. Cela veut dire qu’aujourd’hui, vous avez des centaines de milliers de personnes qui sont dans le fichier de manière non justifiée. Et elles n’en sortent pas, notamment les classements sans suite. Or on compte 340 000 classements sans suite chaque année.

Quel autre contrôle en la matière mettez-vous en place ?

Tous les jours, des voitures avec des hauts magistrats membres de la CNIL se rendent dans les différentes dépendances du ministère de l’Intérieur pour faire des contrôles de droit d’accès à la demande des citoyens. Si vous considérez que vous pouvez être dans le STIC et souhaitez en être retiré, vous pouvez saisir la CNIL qui envoie ses magistrats.

A quel stade en est le dossier du réseau SWIFT et de ses données financières captées par les Etats-Unis ?

Il y a trois ans nous avions appris que les autorités américaines avaient demandé à accéder aux informations passant sur ce grand système de transactions bancaires. Après le 11 septembre, les Etats-Unis ont demandé à disposer des données intra-européennes. Les Etats de l’Union européenne ont dit oui car il s’agissait de détecter les possibles circuits de financement du terrorisme.

Et puis la presse américaine s’est fait l’écho de modifications. Nous avons alors constaté que les autorités américaines récupéraient beaucoup de données et qu’il n’était pas exclu qu’elles les transmettent à d’autres organisations.

Les CNIL européennes ont obtenu la nomination d’une personnalité chargée au nom de l’Union européenne d’aller vérifier aux Etats-Unis le processus et l’usage des données. Nous avons aussi obtenu que soit créé un troisième centre en Suisse afin que les données intra-européennes ne transitent plus par les Etats-Unis.

Les Etats-Unis n’ont donc plus accès à ces données ?

Il y a quelques semaines nous avons appris deux choses : les Américains ont fait savoir qu’ils voulaient accéder au centre basé en Suisse, ce qui évidemment remet tout en cause.

Deuxièmement, la personnalité nommée par l’UE, le juge Bruguière, auditionné à Bruxelles, a considéré que les opérations étaient correctement traitées par les Etats-Unis. Mais son rapport était classifié par les autorités américaines. Le contrôlé avait classifié le rapport du contrôleur. Ce n’est pas possible.

Après avoir contacté le Premier ministre, les commissions compétentes, Bruxelles, le juge Bruguière m’a rappelé pour me remettre une synthèse du rapport. Le document complet est également à disposition de diverses autorités.

Les propos ont été recueillis à l’occasion d’une conférence de presse qui s’est tenue le 9 octobre durant les Assises de la sécurité à Monaco.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :