Intervention de Jean-Paul Lecoq

S'il est injustifiable, cela a déjà été dit, que la CNIL – la Commission nationale de l'informatique et des libertés – n'ait pas été préalablement consultée, il convient ce matin d'entendre son avis.

Elle s'inquiète particulièrement des données PNR, un fichier expérimental composé d'informations non vérifiées, données par les voyageurs aériens aux transporteurs et que le projet de loi souhaite pérenniser et étendre à la prévention des atteintes aux intérêts fondamentaux de la nation. Il s'agit, relève la CNIL, d'« un type de traitement de grande ampleur, susceptible d'avoir une incidence majeure sur le droit au respect de la vie privée ». La CNIL, qui revendique une position de « juste conciliation », salue par ailleurs l'ajout de garde-fous, comme l'exclusion des mots de passe de la liste des éléments à déclarer par les services d'abonnement ou un droit d'accès indirect, via la CNIL, aux informations recueillies sur un citoyen. Néanmoins la CNIL souligne que ces garde-fous sont trop parcellaires : « il leur manque [… ] une composante essentielle : un contrôle indépendant et global de la gestion de ces fichiers. » En l'état, observe-t-elle, les fichiers de données constitués échapperaient à tout contrôle externe général. Elle souligne enfin un « risque collectif d'affaissement du niveau de sécurité ».

Le chiffrement, soit l'ensemble des techniques permettant de sécuriser des données pour éviter leur exploitation à des fins malveillantes, n'est pas évoqué dans le projet de loi, alors qu'il fait l'objet aux États-Unis d'importants débats entre défenseurs de « portes dérobées » – backdoors – pour permettre à des enquêteurs l'accès aux données de smartphones, et leurs opposants.

Les données des voyageurs conservées durant cinq ans, un laps de temps bien trop considérable, sont plus que vulnérables face à des hackers toujours plus efficaces et organisés.

Enfin, ces fichiers de collecte systématique et généralisée de données personnelles de passagers non soupçonnés, susceptibles d'être partagées avec les États membres et des États tiers, constituent une atteinte grave et de grande ampleur au droit au respect de la vie privée et à la protection des données personnelles, qui sont protégées par les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne et l'article 8 de la Convention européenne de droits de l'homme. Nous demandons donc la suppression de l'article 6.