Regulation authorities : EFF and CNIL

Discussion

Plus récemment, l’EFF se penche évidemment sur les effets néfastes sur la liberté d’expression sur le net de la politique anti-terroriste des autorités US, et plus généralement, recense toute décision affectant cette liberté, qu’elle soit judiciaire ou qu’elle émane d’une entreprise.

L’EFF prodigue donc du conseil juridique auprès des particuliers, soutient les actions en justice des individus, promeut les logiciels et les actions de décryptage, émet des « recommandations » à titre privé auprès des services fédéraux (commissions diverses), tente d’effectuer des actions de lobbying, dialogue avec les auxiliaires de justice, les médias, les associations, les universités, le public (conférences). Elle organise des réunions régulières, émet une lettre bi-hebdomadaire, et relaie de nombreuses autres initiatives allant dans le sens d’une plus grande liberté d’action sur le net.

L’état est donc perçu, aux USA, comme la menace principale qui pèse sur les droits des individus sur le net, et les citoyens américains ont donc ressenti le besoin de s’organiser au sein de la nébuleuse EFF pour défendre leurs droits, de façon par conséquent privée et par le jeu d’un activité de lobbying et de médiatisation ; en France, l’état a été perçu, dès 1978, précisément comme l’entité qui devait protéger ces mêmes-droits de l’individu sur internet. D’où, à l’inverse des USA, une réglementation légale précise et un organe étatique de protection, la Commission Nationale Informatique et Libertés (CNIL).

La Commission Informatique et Libertés (CNIL) :

Origine : On s’est ému dès la fin des années 80 devant les risques d’atteinte à la vie privée, aux libertés individuelles, au secret des affaires, par les possibilités de fichage et de traitement des données à caractère personnel. Cette inquiétude est venue, à l’origine, de l’intention des autorités publiques de procéder à des fichages de la population française à partie du numéro d’inscription à la Sécurité sociale. Le mode de régulation français étant essentiellement législatif et réglementaire, c’est donc une loi qui est venue organiser la communication électronique, et non une initiative privée, en 1978. Cette loi énonce quelques catégories de données (dites « sensibles », telles que la religion, l’origine, les opinions…) qui ne peuvent être informatisée (sauf exceptions…), et réglemente le traitement des autres.

La loi de 1978 s’inscrit dans une panoplie législative variée qui permet à chaque citoyen d’agir en justice si sa vie privée est menacée (ouverture des mails, vidéosurveillance… loi de 1970 sur la vie privée, loi de 1991 sur les écoutes téléphoniques, loi de 1995 sur la vidéosurveillance), mais cette loi crée en plus, un organisme administratif, qu’on a voulu indépendant de l’état : la CNIL.

Cette Commission est composée de 17 membres choisis parmi les représentants parlementaires et les personnes reconnues compétentes en matière informatique ; ses rôles sont multiples, et il apparaît tout de suite que, compte tenu de son origine légale, et des compétences que lui reconnaît la loi de 1978 (dite « Informatique et Libertés »), cette Commission jouit d’une marge de manœuvre supérieure à celle de l’EFF.

Prérogatives : la CNIL émet des réglementations concernant les procédures à suivre dans l’établissement d’un fichier comportant des données nominatives (nom, adresse, e-mail, renseignements divers, adresse IP, etc…) et rend des décisions individuelles en cas de plainte d’un citoyen envers un organisme (étatique ou privé) qui exploiterait ce type de donnée de façon illégale. La CNIL garantit encore le libre exercice des citoyens des droits que leur reconnaît la loi de 1978 à l’égard de tout traitement automatisé : un droit d’accès aux informations, et un droit de rectification des renseignements en question. La CNIL exerce enfin des activités de conseil auprès des administrations et des entreprises, afin que celles-ci restent dans la légalité. On peut rapprocher cette dernière activité de celle de l’EFF, encore qu’on doive souligner que l’EFF se prononce sur l’opportunité de telle ou telle initiative d’une entreprise dans le domaine digital, alors que la CNIL se borne à se prononcer sur la régularité du traitement de données nominatives envisagé par l’entreprise. Ici encore, la marge de manœuvre de la CNIL est encadrée strictement par la loi.

Le champ d’action de cette commission semble donc plus restreint que celui de l’EFF, puisqu’il ne vise que l’établissement et le traitement des données informatiques relatives à la personne. Mais la définition d’une « donnée à caractère personnel » est assez large pour prendre en compte bien des sujets que l’EFF s’estime habilitée à traiter, et comme précisé plus haut, d’autres dispositifs légaux interviennent aussi dans la protection des droits de la personne face aux nouvelles technologies.

Néanmoins un projet de loi français, qui doit adapter en France une directive européenne traitant du même sujet, complique singulièrement le régime légal de la loi de 1978, et de telles complications normatives ne sont évidemment pas pour clarifier les droits dont dispose l’individu, ce qui est à l’opposé de ce que tente d’accomplir l’EFF aux USA.

On constate donc que deux philosophies différentes aboutissent à deux systèmes de protection différents. Aux USA s’exprime avant tout un principe de liberté absolue sur le net, et l’organisation privée EFF, regroupant des individus sensibilisés au problème, vise à se battre point par point chaque fois qu’elle le peut, en justice et dans les médias, contre les atteintes que l’état fédéral, les états fédérés ou les entreprises, seraient tentés d’apporter à cette liberté de principe. C’est donc régulièrement que l’EFF intervient dans les procès américains, et donne son interprétation du Digital Millenium Act.

En France, l’idée qui domine est plus celle d’une responsabilité des intervenants (état ou entreprises), et celle d’une protection de certaines catégories d’informations par principe. Le dispositif qui en découle est donc d’origine législative et de nature administrative, mais en tous cas, il est le fait de l’état lui-même, ce qui apparaîtra éminemment suspect aux yeux des américains. La loi énonce quelques catégories de données (dites « sensibles », telles que la religion, l’origine, les opinions…) qui ne peuvent être traitées, et réglemente le traitement des autres. Plus généralement, l’article 9 du Code civil permet à chaque citoyen d’agir en justice si sa vie privée est menacée (ouverture des mails, vidéosurveillance…).

Ces différences sont encore une fois représentatives des conceptions françaises et américaines : l’individu américain estime être le plus à même de défendre ses propres droits, et la forme d’action privilégiée est le regroupement en groupes de pressions. En France, l’individu estime être tributaire de l’état, et c’est à celui-ci qu’il demande de légiférer afin de protéger les mêmes enjeux. Difficile de dire quel système est le plus efficace sans émettre de jugement de valeur forcément partial, au minimum constate-t-on que dans les deux pays un contre-pouvoir s'est avéré nécessaire face aux prérogatives des entités publique et privées, et que les principes démocratiques qui y ont cours ont permis l'émergeance de ces contre-pouvoirs.