Nous le savons tous désormais, le 25 mai dernier le RGPD (Règlement Général pour la Protection des Données personnelles) est entré en vigueur. Ce cadre européen de protection des données renforce un peu plus les obligations qui pèsent sur tout un chacun quant au respect des données, et par extension de la vie privée, des personnes. Mais alors, qu’en est-il lorsque ce droit à la vie privée se heurte à des nécessités de sécurité ?
Cette question est particulièrement d’actualité et peut se résumer à « jusqu’où l’Etat peut-il s’immiscer et surveiller nos vies au nom de la sécurité publique ? » Il n’y a malheureusement pas de réponse tranchée à la question et la solution ne peut venir que d’un délicat équilibre à trouver entre intérêt privé et intérêt collectif.
Tout d’abord, il convient de noter que l’article 2 du RGPD exclut de son champ d’action les traitements effectués par les autorités compétentes dans un but de sécurité publique. En effet, si l’esprit de l’Europe est la coopération et la défense commune, les prérogatives de l’Union sont strictement encadrées et les prérogatives régaliennes des Etats sont en dehors de son champ de compétence. Ainsi, la sécurité nationale est exclue du champ d’action du RGPD.
Cependant, là où la législation européenne ne s’applique pas, le corpus législatif des Etats membres prend le relai. L’encadrement des traitements liés à la sécurité publique, traité par les autorités compétentes, est prévu par la Loi informatique et liberté. Celle-ci prévoit un contrôle de la part de la CNIL afin de contrebalancer le nécessaire secret entourant ce traitement.
Concrètement, cela veut dire que les traitements des données personnelles des citoyens dans le cadre de la sécurité nationale n’ont pas à répondre aux obligations de transparence ou à une demande au titre du droit d’accès. C’est notamment le cas concernant le fameux Fichier « S » dont nous avons tant entendu parler ces dernières années.
Cependant, la mise en place du fichier FPR (Fichier des Personnes Recherchées), dont fait partie le fichier S, a été contrôlée par la CNIL. Celle-ci s’est assurée que le dispositif législatif entourant la mise en place du FPR apportait des garanties suffisantes pour protéger les données personnelles des personnes au regard des finalités de ce fichier.
Les personnes morales qui contribuent à la réalisation de ce fichier en signalant les personnes radicalisées n’auront donc pas à intégrer ce traitement à leur registre. Cependant, ces personnes auront vraisemblablement l’obligation de bien documenter et de sécuriser ce traitement comme n’importe quel autre. Ces traitements ne pourront être publics mais ils pourront sans doute être contrôlés comme n’importe quel autre par la CNIL
Parmi les garanties que présente ce fichier, il faut évoquer la possibilité d’avoir un droit d’accès indirect sur ce fichier. Au regard des finalités de ce fichier, il n’est bien évidemment pas possible d’exercer un droit d’accès direct ; cependant il nous est possible de demander à la CNIL un accès indirect à nos données contenues dans ce fichier. Ce droit d’accès indirect nous permet de contrôler le bien fondé du traitement dont nous faisons l’objet (si il existe), mais nous ne pouvons pas avoir accès à la totalité des informations que l’Etat détient sur nous. Il s’agit là d’un compromis pour tenter de concilier sécurité publique et droit des personnes.
