La CNIL a déclaré vendredi dernier qu'elle serait « très vigilante sur la rédaction des décrets d'application » de la loi de programmation militaire, parue au Journal Officiel la semaine dernière après sa promulgation par le Président de la République française. Ces décrets pourraient en effet fournir des précisions sur les modalités de mise en oeuvre de la loi. Ils devront lui être soumis, pointe la Commission nationale de l'Informatique et des Libertés. Elle estime par ailleurs qu'un débat public serait nécessaire sur « la mise en place d'une « société de surveillance », compte tenu des inquiétudes que suscite l'article 20 de la loi avec, en toile de fond, les scandales déclenchés par la mise à jour du programme de surveillance Prism conduit par la NSA (l'agence de sécurité américaine).

Un texte qui laisse la place à interprétation


Le texte de la loi de programmation militaire, qui a été adopté définitivement par le Sénat le 10 décembre, est décrié par de nombreux acteurs de l'Internet, dont la Quadrature du cercle et l'Afdel, en raison de son article 20 portant sur l'accès administratif aux données de connexion. A l'instar d'autres organisations, la CNIL déplore elle aussi que le texte adopté « semble autoriser un accès aux données de contenu et pas uniquement aux données de connexion ». Des « informations ou documents », tel qu'on peut le lire dans l'article 20, qui pourront être réclamés « par les agents dûment habilités des services relevant des ministres chargés de la sécurité intérieur, de la défense, de l'économie et du budget ».

La Quadrature du Net a de son côté dénoncé la « dérive du politique vers la surveillance généralisée » en regrettant vivement l'absence de saisine du Conseil Constitutionnel. A la suite de l'adoption du texte, elle avait pointé le fait que le terme « documents » n'était pas suffisamment défini, ce qui risquait « d'étendre l'application de la loi à d'autres éléments non cités ». L'organisation de défense des droits et libertés des citoyens sur Internet qui demandait alors aux parlementaires de saisir le Conseil Constitutionnel, avait notamment fait remarquer que l'article 20 ne garantissait pas « l'effacement de données récoltées inutilement dans le cadre d'une enquête ».  De même, elle pointait le fait que la loi ne prévoyait pas de mécanismes pour contester judiciairement la légalité du recueil de données. La CNCIS (Commission nationale de contrôle des interceptions de sécurité) disposera bien d'un accès à ce dispositif, mais son avis n'interviendra qu'a posteriori, en cas de manquements, avait-elle souligné.

La CNIL n'a pas été saisie pour l'article 20

L'Afdel, association française des éditeurs de logiciels, a pour sa part lancé un groupe de travail expert sur ces questions, animé par sa Commission Cyber-sécurité. Cette dernière fera aussi appel à des compétences extérieures afin d'élaborer des propositions « de nature juridique » pour pouvoir faire évoluer dès que possible l'article 20 de la loi de programmation militaire « en faveur de davantage de confiance numérique », a indiqué l'Afdel.

En novembre, la CNIL avait déploré ne pas avoir été saisie en temps utile par le Gouvernement des dispositions de l'article 13, devenu article 20 dans le texte définitif. En juillet 2013, elle avait bien été saisie en urgence mais uniquement sur des dispositions relatives aux articles 8 à 12 du projet de loi de programmation militaire. Elle souhaite à l'avenir être systématiquement consultée pour tous les textes législatifs ou réglementaires concernant les données personnelles.