Vers une nouvelle loi Informatique et Libertés

Le débat organisé le mercredi 8 décembre 1999 a porté sur la refonte de la Loi Informatique et Libertés de 1978 suite à la directive européenne du 24 octobre 1995 qui doit être transposée en droit français. Cette transposition s'inscrit pour le gouvernement comme un élément important dans la législation qu'il entend faire voter pour promouvoir la société de l'information. La discussion a été introduite par Louise Cadoux, membre honoraire du Conseil d'État, ancienne membre de la CNIL, René Padieu statisticien et président de la commission de déontologie de la Société de statistiques et Pierre Suesser, médecin appartenant au Collectif pour les droits des citoyens face à l'informatisation de la vie sociale.

Le débat au niveau des instances gouvernementales

Louise Cadoux a d'abord rappelé le retard pris au niveau gouvernemental avec le calendrier fixé par la Commission européenne. La directive aurait du être transposée dans la loi française avant le 24 octobre 1998. Un avant-projet de loi a été publié par les services du Ministère de la Justice en décembre 1997 et le projet de loi qui sera soumis au parlement aurait du être rendu public en septembre de cette année. Il n'est pas encore paru. La loi devrait cependant être débattue au parlement au cours du premier semestre 2000.

Il semblerait que la discussion achoppe sur plusieurs points :

La composition de la CNIL. Dans l'avant-projet de loi, on a affaibli la représentation des juristes (Conseil d'État) au profit de celle des parlementaires. L'intercollectif demande en outre une représentation de la société civile à définir.
La directive encourage la création de code de conduite professionnels. Mais quel sera le statut des entreprises qui décideront de ne pas les signer ? Seront-elles, comme pour les conventions collectives soumises à des règles de droit normatif dérivées de ces codes appliqués par une partie seulement des professionnels ?
Le gouvernement veut créer un organisme de "co-régulation" au titre de la société de l'information qui regrouperait la CNIL, le CSA, l'ART ouvert à une représentation des professionnels. Une partie des pouvoirs de la CNIL seront-ils transférés à cet organisme de "co-régulation" ?
Où placer la frontière entre les traitements soumis à simple déclaration ( voire dispensés) et ceux soumis à autorisation ? Sept critères ont été retenus dans la directive pour définir les traitements soumis à autorisation. Il semble que le gouvernement veuille réduire leur nombre.

Plusieurs questions importantes opposent l'Europe et les États-Unis dans ce domaine clef pour les échanges électroniques :

Le droit d'accès aux données personnelles
La notion de "protection adéquate" prévue par le directive, c'est à dire le fait qu'un pays tiers où une entreprise veut transférer des données doit offrir une protection similaire à celle en vigueur en Europe.
droit applicable sur Internet : droit du pays du vendeur ou droit du pays du consommateur ?

Pour conclure, Louise Cadoux a insisté sur deux problèmes auxquels nous serons confrontés dans les années qui viennent et qui entreront en contradiction avec les principes énoncés dans la directive :

le développement du négoce des données personnelles. Déjà aux États-Unis, 50 à 60 entreprises ne font que de la vente de données personnelles avec des retours sur investissement de près de 50%
L'après PC verra se multiplier les appareils simples reliés au Net (domotique) avec un OS simplifié et peu de ressources en local. Les données seront stockées sur des "mégabases" implantées n'importe où sur le réseau.

Le point de vue des chercheurs

René Padieu a défendu le point de vue des statisticiens et des chercheurs (économistes, historiens, sociologues, épidémiologistes ...) qui utilisent bien évidemment des données personnelles, mais dont les traitements en général ne peuvent causer de torts aux particuliers car ils portent sur des agglomérats de données dont ils cherchent à extraire des lois et des analyses de portée générale.

La Loi Informatique et Libertés n'avait pas prévu de cas particuliers pour les travaux statistiques et leur a donc créé des difficultés. Progressivement, la CNIL a dégagé un principe de finalité en accord avec la Convention européenne de 1981 qui prévoyait des dérogations pour les travaux statistiques et la recherche. Mais cette Convention n'est pas entrée dans le droit français et par exemple, l'utilisation des fichiers fiscaux interdit par la Loi de 1978 ne fut autorisée qu'en 1986 à des fins statistiques.

En fait, on peut estimer après coup que la déontologie des chercheurs protégeait le secret des données personnelles mais il y eut quelques incompréhensions entre les chercheurs en sciences humaines et les partisans de la Loi de 1978 qui progressivement furent levées par des échanges entre statisticiens et juristes. Mais il reste le problème de fond des traitements connexes ou dérivés des travaux d'ordre purement statistique. Deux exemples :

Le marketing direct : on utilise les résultats d'une enquête présentée comme d'ordre purement statistique pour faire de la vente directe. Il y a nécessité de distinguer parmi les utilisateurs des bases de données ainsi construites.
Les profils statistiques sur une zone ou une personne permettent de cibler des démarchages et des campagnes commerciales.

Pour René Padieu, la directive facilitera les choses sur plusieurs points :

Elle fait disparaître la frontière entre traitements publics et privés. Il est en effet parfois difficile de séparer les objectifs privés et publics (par exemple, enquête sur des médicaments)
Elle introduit la notion de finalité compatible : des données prévues à d'autres fins peuvent être utilisées par la recherche sous contrôle de finalité.
Les codes professionnels encouragés par la directive sont des incitations à "un bon comportement" de la part des acteurs. Mais reste dans l'ombre, le problème de l'adhésion (plus ou moins obligatoire) à ces codes et celui des sanctions éventuelles en cas de manquement à ceux-ci.

L'informatisation dans le secteur social et médico-social

Pierre Suesser, médecin dans un service de PMI et membre du Collectif pour les droits des citoyens face à l'informatisation de la vie sociale nous a expliqué que l'on assiste à la montée en charge des dispositifs d'informatisation de l'action sociale à travers l'installation dans les centres sociaux de bases de données sociales nominatives (par exemple ANIS) sous forme de progiciels intégrés utilisés pour des finalités diverses et une gestion de problématique complexe. Le but est de créer un dossier unique informatisé pour les informations concernant les personnes accueillies par différents services sociaux.

Des habilitations sélectives existent pour accéder aux informations, mais le risque que les mots de passe prévus deviennent des secrets de polichinelle est non négligeable. Mais surtout, ces progiciels tendent à stéréotyper les références professionnelles et à nier la complexité des personnes par l'emploi obligatoire d'items subjectifs.

La motivation première des élus départementaux était une meilleure gestion des fonds publics alloués à l'action sociale par la connaissance statistique des besoins des populations. Mais à partir de ces statistiques, on crée des profils par zone et par quartier, d'où une véritable cartographie de l'exclusion sociale ; ce qui n'est pas sans conséquences : les quartiers ainsi désignés sont abandonnés par les classes moyennes et supérieures et on se dirige vers la fin d'une certaine mixité sociale.

L'utilisation des statistiques est délicat dans le domaine de la santé. Le codage des pathologies (tel qu'il est prévu dans la carte de santé Vitale II) est difficile dans certaines disciplines (psychiatrie, pédiatrie, médecine générale ...).

Les données du PMSI ( données de séjours hospitaliers anonymisées) servant à mesurer la productivité des services afin d'allouer d'une manière optimale les budgets de fonctionnement ont été détournées de leur fonction par la presse pour dresser un classement de qualité des hôpitaux (enquête du mensuel Sciences et Avenir). Un article paru en octobre 1999 dans La Recherche montre les erreurs commises dans l'analyse et les biais introduits par ce choix de données dont la finalité initiale était différente.

Le débat

Dans la suite de l'exposé de Pierre Suesser, Daniel Naulleau pose le problème de l'équipement des cabinets médicaux en matériel informatique par certains laboratoires pharmaceutiques en échange du droit d'accès à une partie des données (sans doute anonymisées) concernant les traitements suivis par les patients à leur insu. Pour Félix Paoletti, on est dans la même problématique qu'ANIS. Une étude statistique nécessite la construction d'un modèle de la réalité que l'on veut analyser et bien évidemment ce n'est pas le cas quand on utilise des données non prévues pour cela.

René Padieu revient sur l'intérêt des codes de déontologie professionnels qui ont un impact éducatif pour la majorité des gens qui les respectent. Au contraire, Myriem Marzouki s'interroge sur ce que signifie un code de déontologie pour une entreprise dont le but reste avant tout de faire des bénéfices. Elle critique notamment le fait que ceux-ci pourraient servir de justification à la présence des représentants du business dans un organisme de régulation d'Internet au sein duquel la CNIL serait isolée.

Enfin, Guy Lacroix, prenant l'exemple des fichiers fiscaux se demande si la CNIL a encore les moyens d'affronter la complexité des nouvelles technologies. Pour Pierre Suesser, la CNIL a été sensible à la mobilisation autour du dossier d'ANIS et est revenue sur une première délibération.

Jacques Vétois