Loi société de l'information (LSI)
Avant-projet (31 mars 2001)Remarques d'IRIS sur
l'avis de la CNIL (12 juin 2001)
Cet avis de la CNIL, long d'une vingtaine de pages, est remarquable par son argumentation précise et sans concession à propos des quatre principales dispositions du texte de l'avant-projet de loi entrant dans son champ de compétences : conservation des données de connexion (articles 17 à 19), publicité par voie électronique (articles 25 et 26), accès aux données publiques (articles 3 à 6), accès aux archives publiques (articles 7 et 8).IRIS se félicite que la Commission souligne, comme l'a fait la CNCDH et l'association, que « sous des abords qui peuvent paraître techniques, plusieurs dispositions de ce projet touchent à des sujets qui excèdent très largement les spécificités de la technologie et qui concernent l'ensemble de nos concitoyens », et montre combien la présentation de certaines dispositions du texte ont pour effet « d'estomper le caractère inédit du dispositif retenu ». IRIS est particulièrement satisfaite de voir la CNIL rappeler salutairement qu'« une technologie de communication et d'information ne doit pas déroger aux principes fondamentaux de l'État de droit qui méritent sans doute d'être adaptés aux spécificités d'Internet mais qui ne sauraient être considérés comme caducs par le seul effet de la nouveauté technologique ».
Malgré sa grande satisfaction à la lecture de l'avis de la CNIL, IRIS regrette vivement que la Commission n'ait pas jugé utile de se pencher sur les aspects relatifs à l'usage de moyens de cryptographie (articles 41 à 58, notamment ceux concernant la « mise au clair des données chiffrées »). La CNIL se contente en effet de se féliciter, dans des considérations générales, que « le principe de la liberté d'utilisation des moyens de cryptologie, y compris lorsque ces derniers recouvrent une fonction de confidentialité, soit consacré par la future loi », là où l'analyse d'IRIS montre non seulement que ce principe n'est en fait qu'une clause de style, mais que, de surcroît, les moyens de mise au clair des données chiffrées rendent bel et bien caducs des principes fondamentaux de l'État de droit, et des garanties jusqu'ici établies dans le droit national.
- Conservation des données de connexion :
La CNIL montre tout d'abord la nécessaire distinction qui doit être opérée entre les données de connexions nécessaires à la facturation des services, et celles sans lien avec cette facturation, conservées par conséquent à des fins uniquement policières, par exception au droit commun. Elle se déclare favorable au principe de conservation des premières, pendant une durée d'un an, l'harmonisation de cette durée entre tous les opérateurs de télécommunication résultant en son alignement sur la plus courte durée actuelle imposée. Elle est également favorable au fait de soumettre leur commercialisation au consentement exprès de l'abonné. En revanche, et après avoir longuement exposé les termes du débat et ses enjeux, la CNIL se prononce pour une limitation à trois mois de la durée de conservation des données de connexion dépourvues d'utilité pour la facturation : il s'agit là de données révélant l'activité des citoyens sur Internet, « même s'ils ne créent aucun contenu accessible au public ». La CNIL estime ce délai de trois mois « parfaitement proportionné et adapté aux intérêts en cause ».- Publicité par voie électronique :
La CNIL, là encore, se livre à une analyse très poussée des enjeux de ces dispositions concernant le spam et le système d'« opt-out » avec registres d'opposition choisi par le gouvernement. La Commission montre en particulier que « soutenir que la mise en place de registres d'opposition constituerait une mesure suffisante revient à espérer qu'en évitant d'alarmer l'internaute, ce dernier n'exercera aucun des droits qui lui sont pourtant reconnus à l'égard des traitements de données personnelles le concernant ». C'est pourquoi la CNIL considère que ces registres d'opposition ne peuvent constituer qu'un « filet de sécurité » additionnel, et recommande de considérer « toute collecte de données opérée dans un espace public de l'internet sans le consentement des personnes concernées » comme « irrégulière et déloyale », tout en maintenant le principe d'opposition à une utilisation ou cession commerciale de données régulièrement collectées.- Accès aux données publiques :
Après avoir montré l'ambiguïté de la formulation adoptée pour ces articles, et en avoir exposé les enjeux du point de vue des données nominatives, la CNIL se prononce, pour ce qui est de la mise en ligne des données essentielles, pour que le projet « puisse inverser le principe (mise en ligne) et l'exception en limitant l'obligation de mise en ligne des données essentielles aux seuls actes et décisions ne revêtant pas de caractère nominatif », moyennant la détermination par décret de certaines exceptions. Par ailleurs, la CNIL fait part de sa « perplexité sur l'articulation des dispositions de l'article 3 du projet avec celles de la loi du 12 avril 2000 ».- Accès aux archives publiques :
Tout en partageant le souci de libéralisation de l'ouverture des archives, la CNIL exprime ses préoccupations vis-à-vis des risques d'atteinte à la vie privée, facilités par la numérisation. La Commission recommande donc qu'un certain nombre de garanties accompagnent cette libéralisation de l'ouverture des archives.