Il ne s'agit pas dans les lignes qui suivent de commenter des travaux qui n'ont pas été rendus publics à ce jour, mais uniquement de présenter quelques remarques sur les raisons qui peuvent conduire à envisager certains changements dans la législation et, par conséquent, dans le rôle de la Cnil.

L'évaluation des lois, d'une manière générale, est souhaitable. Après quinze ans d'activités, il n'est certainement pas inutile d'établir un bilan de l'activité de la Cnil ; la Commission peut être fière d'un bilan largement positif dans la prise de conscience des dangers que l'automatisation des traitements d'informations nominatives est susceptible de faire peser sur la vie privée. La loi de 1978, à l'époque, avait été présentée, à raison de son objet, comme ayant un certain caractère expérimental. On est, dès lors, fondé aujourd'hui, indépendamment des contraintes communautaires, à évaluer le dispositif et à rechercher comment adapter l'institution de contrôle.

Encore faut-il, bien sûr, rester fidèle à l'objectif fixé par l'art. 1 de la loi : "L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques". Espérons que le débat qui s'ouvre et que le travail mené par le gouvernement et le parlement iront dans ce sens ; ne négligeons pas qu'en tout état de cause un verrou constitutionnel existe : le Conseil constitutionnel n'a-t-il pas laissé entendre dans une décision du 20 janvier 1993 que certaines dérogations à la loi de 1978, dans la mesure où elles toucheraient à des dispositions protectrices des libertés individuelles, seraient de nature à porter atteinte à un "principe fondamental reconnu par les lois de la République", le principe de la liberté individuelle ? Une mise en cause législative de ce principe pourrait être déclarée inconstitutionnelle.

Changer la Cnil, pourquoi pas ? La réflexion à cet égard pourrait être menée dans trois directions.

L'élargissement considérable du domaine d'intervention de la Cnil pourrait conduire à des contrôles qui s'exerceraient davantage a posteriori

Au départ, la Cnil avait compétence sur des fichiers automatisés que l'on pouvait avoir l'ambition à la fois de dénombrer et de suivre dans leurs transformations. Le contrôle des flux d'informations nominatives sur les autoroutes électroniques se pose dans des termes aujourd'hui complètement renouvelés. Que penser des 429 822 traitements enregistrés par la commission de 1978 au 31 décembre 1995 ? Bouteille à moitié vide ou à moitié pleine ?

L'informatique s'est banalisée avec la généralisation des micro-ordinateurs que l'on trouve désormais partout dans les administrations et les entreprises mais aussi dans les familles, les écoles, les lieux de convivialité. Le traitement automatisé est aujourd'hui la règle. En outre, le fichier localisé et identifié est maintenant relié à des réseaux qui peuvent disséminer dans le monde entier les données qu'il contient. Enfin, la numérisation des données et l'irruption du multimédia, traitant le texte mais aussi l'image et le son, pourraient accroître considérablement le champ de compétence de la commission ; à ce sujet, le débat amorcé à l'occasion de la législation sur la vidéosurveillance devra être repris à la lumière des réflexions communautaires.

Comment celle-ci peut-elle encore jouer son rôle face à la multiplication incessante de traitements de données de toutes sortes circulant sur l'ensemble de la planète ? ll lui est demandé des compétences dans des domaines techniques variés (texte, images et sons), dans des secteurs d'activité de plus en plus larges, public et privés, et sur un rayon géographique qui enjambe constamment les frontières des Etats ; l'enjeu est devenu planétaire. Le risque n'est-il pas alors de donner raison à l'adage selon lequel "qui trop embrasse mal étreint" ?

Dans le respect des grands principes de protection des données (exigence de loyauté dans la collecte et le traitement des données, exactitude de celles-ci, finalité du traitement en rapport avec les données collectées, publicité des traitements, droit d'accès, sécurité), on peut penser que la Cnil devrait réorienter son activité davantage vers des contrôles a posteriori. On observera, d'ailleurs, que la directive va dans ce sens. La déclaration de traitement y est la règle mais des exonérations et des simplifications sont envisagées, l'examen préalable du projet de traitement ne devant intervenir que dans des cas "très restreints" si apparaissent "des risques particuliers".

La définition des traitements soumis à formalités préalables constitue un enjeu fort de la transposition ; le législateur devrait fixer des critères précis ; faut-il également donner à la Cnil un certain pouvoir d'évocation ? L'important est qu'aucun traitement ne reste "hors droit" ; si les traitements publics portant sur des questions de "souveraineté" (défense, sécurité publique, sûreté de l'Etat) sont hors du champ de compétences de la directive, il n'en reste pas moins que, même s'ils peuvent toucher à la "raison d'Etat", ils devraient continuer à être placés sous le contrôle de la Cnil, comme l'avait voulu le législateur en 1978. La directive penche très nettement pour des pouvoirs de contrôle a posteriori des autorités de contrôle : pouvoirs d'investigation, "pouvoirs effectifs d'intervention", pouvoir d'ester en justice.

D'une manière générale, la méthode doit évoluer. On peut attendre de la Cnil à la fois qu'elle continue à préciser les règles de conduite en la matière et qu'elle procède davantage à des investigations sur pièces et sur place. Sur le premier point, les grands principes de protection étant réaffirmés, il est essentiel que Cnil contribue à en préciser le sens pour les différents secteurs d'activités ; elle le fait déjà, par ses études et ses concertations ; qu'on pense aux demandes de conseils qu'elle reçoit ou à son soutien à l'élaboration de codes de conduite, comme cela a déjà été le cas pour le secteur du marketing ; des audits pourraient porter, au-delà du traitement, sur des schémas d'informatisation d'organismes publics ou privés ; ces audits seraient menés en collaboration avec les correspondants de la Cnil ; ceux-ci existent d'ores et déjà dans les ministères ; l'institution pourrait être étendue aux entreprises comme l'envisage la directive à partir de l'expérience allemande.

En outre, la Cnil pourrait davantage s'orienter vers des contrôles a posteriori qui seraient à la fois ponctuels, en cas de plainte notamment, et sectoriels dans le cadre d'une stratégie de contrôle qu'elle définirait elle-même. Ces investigations permettraient de régler des questions à l'amiable mais également de faire davantage jouer le dispositif pénal prévu en 1978 et aujourd'hui intégré dans le nouveau code pénal. Faut-il renforcer ses pouvoirs d'investigation, la doter de pouvoirs de sanctions, lui donner la possibilité d'ester en justice ? Ces questions méritent débat.

La Cnil peut utilement remplir une fonction essentielle de "veille" pour alerter les pouvoirs publics et l'opinion ; il s'agit notamment, comme le dit déjà la réglementation, de "proposer toutes mesures de nature à adapter la protection des libertés à l'évolution des procédés et techniques informatiques". La Cnil, par exemple, a su attirer l'attention sur des questions comme les systèmes de vidéosurveillance ou encore la gestion des informations personnelles issues de la voix et de l'image (cf. son ouvrage récent : Voix, image et protection des données personnelles, 1996, La Documentation française). L'organe de contrôle est bien alors dans sa fonction d'"organe de la conscience sociale face à l'emploi de l'informatique" pour reprendre l'expression du rapport Tricot. Moins de gestion et de procédures de détail, plus d'analyses globales, de mises en évidence des dangers, de définitions de règles de conduite, sans exclure la compétence du juge pénal.

La balance entre les intérêts en présence doit s'opérer sous le contrôle du juge et du Parlement

Les législations de protection des données personnelles tirent leur origine de cette peur de "la fin de la vie privée" qu'a suscitée le développement de l'informatique avec en France le fameux projet Safari. L'inquiétude subsiste mais le champ des menaces a évolué : aujourd'hui à l'heure des autoroutes de l'information, on cherche à se prémunir contre une "société de surveillance" (D. Hurley : Propriété et vie privée dans l'espace cybernétique, L'Observateur de l'Ocde, 1995, n° 196 ; Aftel : Le droit du multimédia, sous la direction de Pierre Huet, avec le concours de Herbert Maisl, Jérôme Huet et André Lucas, Ed. du téléphone, 1996, p. 181). Mais, d'autres intérêts sont en cause, principalement des intérêts publics et des intérêts économiques. Tout est affaire d'arbitrage. La directive communautaire en est une illustration dans plusieurs de ses dispositions : possibilité de se dispenser de l'accord de la personne pour traiter des données nominatives (art. 7), possibilité de déroger à l'interdiction du traitement de données sensibles (art. 8), exceptions aux principes protecteurs pour raison d'Etat (art. 13) ; c'est d'ailleurs, sur ce point de la multiplicité des dérogations facultatives et même obligatoires, que le projet de directive avait été critiqué à l'origine par certains dont notamment la Cnil. Les organes de contrôle privilégient la défense de la vie privée en tentant d'opérer des arbitrages avec ces autres intérêts en présence mais, en principe, sous le contrôle, en dernier ressort, du juge et du Parlement.

Il faudrait porter une appréciation sur le bienfondé des arbitrages opérés par la Cnil ; sont-ils toujours équilibrés ? On a pu s'interroger sur ses "excès de scrupule" (Jean-Marie Delarue, Revue française d'administration publique, 1994, n° 72, p. 637 ). Cette démonstration a été tentée à propos de la diffusion des données du recensement : la solution adoptée par la Cnil aurait conduit à "ignorer les précautions déjà existantes en matière statistique, particulièrement pour le recensement général de la population"; également, à "mettre un frein fâcheux aux nécessités de l'action sociale de l'Etat". Les administrations font souvent valoir que des cloisonnements de fichiers administratifs sont coûteux en termes de gestion et d'efficacité et qu'ils alourdissent les formalités pour les citoyens. Des entreprises se plaignent également, de leur côté, de ne pouvoir commercialiser, comme elles le souhaiteraient certains fichiers, ni de se doter des instruments pour mieux connaître leur clientèle.

On a pu montrer que la nécessaire "balance des risques", en la matière, reposait principalement sur " la classique et non moins difficile dialectique des "principes-exceptions" (Nathalie Mallet-Poujol : Informatique et libertés : quel second souffle ?, DIT 94/1) : le principe de la protection de la vie privée est posé mais il est assorti de dérogations ; tout est alors question de mesure car celles-ci ne doivent pas vider le principe de sa substance. Cette opération de mise en balance des risques ne peut être totalement discrétionnaire de la part de la Cnil ; elle doit être argumentée et soumise à évaluation. A chacun de prendre ses responsabilités et d'assumer son rôle ; à cet égard, la législation française peut certainement être améliorée.

Le Parlement a toujours la possibilité de ne pas suivre la position de la Cnil, sous le contrôle du Conseil constitutionnel. C'est ce qui s'est passé avec les dispositions de la loi du 21 janvier 1995 en matière de vidéosurveillance ; le Conseil constitutionnel les a jugées dans l'ensemble conforme à la constitution sans y voir d'atteintes au principe de la liberté individuelle, restant ainsi en deçà de la recommandation de la Cnil. C'est la Cour suprême qui opère, en dernier lieu, la balance entre les libertés en présence et la Cnil doit donc se conformer à sa jurisprudence.

A côté des interrogations sur les catégories de traitements devant toujours faire l'objet de contrôles préalables, il faut également se pencher sur la portée des avis de la Cnil, surtout qu'ils pourront à l'avenir concerner des traitements sensibles dans le secteur privé comme dans les administrations. A l'heure actuelle, deux procédures sont utilisées pour le secteur public. La première permet de passer outre à un avis défavorable de la Cnil par décret pris après avis conforme du Conseil d'Etat ; la seconde prévoit un avis conforme de la Cnil lorsque, pour des motifs d'intérêt public, un traitement de données faisant apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales ou encore les moeurs des personnes est envisagé.

La seconde procédure est rare dans notre droit puisqu'elle fait de la Cnil le véritable coauteur des décrets instituant ces traitements de données sensibles aux ministères de la Défense ou de l'lntérieur. Elle est lourde et l'on peut imaginer que le gouvernement souhaitera s'en affranchir. Dans ces domaines où la "raison d'Etat" est en arrièreplan, un contrôle fiable extérieur est certainement indispensable.

La première procédure a donné lieu jusqu'à présent à une curieuse pratique : la Cnil n'émet pas, le plus souvent, d'avis défavorables mais rend des avis favorables assortis de réserves ; I'administration est alors placée dans une position délicate pour exprimer expressément son désaccord et pour faire jouer la procédure qui lui permet de demander ensuite un avis au Conseil d'Etat afin de passer par-dessus celui de la Cnil. Le Conseil d'Etat, dans un arrêt du 26 juillet 1996, à la requête de l'association des utilisateurs de données publiques, économiques et sociales, s'est efforcé d'apporter un peu de rigueur dans l'analyse de ces procédures. Pour la haute assemblée, face à un avis de la Cnil comportant des réserves, l'administration est placée devant une alternative : soit elle fait siennes les réserves de la Commission en les intégrant dans le texte de création du traitement, soit elle entend les écarter et alors elle doit susciter un avis conforme du Conseil d'Etat. Une clarification est souhaitable dans les rôles respectifs de la Cnil et de l'administration, chacun prenant ses responsabilités. La Cnil doit pouvoir exprimer son désaccord publiquement, le gouvernement confirmer sa position en en appelant à une instance tierce : le Conseil d'Etat dans le cadre de l'art. 15 ou le Parlement sous réserve d'éventuels contentieux.

Les enjeux sont très forts. Ils le sont, en particulier, pour tous les projets conduisant à des interconnexions, souvent en recourant au numéro de sécurité sociale. La Cnil est extrêmement stricte sur ces questions, n'oubliant pas que le projet Safari est à l'origine de la loi. L'administration invoque la nécessité d'opérer des décloisonnements de fichiers pour être plus efficace dans la mise en oeuvre de politiques publiques ou pour faciliter les démarches administratives par des "guichets uniques". La situation des années 70 a beaucoup évolué. Le rapport Tricot, en 1975, remarquait que "s'il est vrai qu'il faut abattre des barrières, il en est aussi d'utiles et de nécessaires". Un débat général sur cette question serait fort intéressant. Il ne serait pas non plus inutile de connaître l'état de l'opinion aujourd'hui en la matière.

Le débat qui va s'ouvrir devait contribuer à mettre davantage la Cnil en phase avec le corps social

La Cnil est la première institution à avoir été qualifiée expressément d'"autorité administrative indépendante". Un statut original lui a été attribué par sa composition et ses pouvoirs, le seul contrôle dont elle relève étant celui du juge. Elle est cependant une institution de l'Etat, dénuée de personnalité morale, créée par le législateur qui peut modifier ses pouvoirs dans le respect du principe de liberté individuelle précédemment évoqué.

Les avis sont très partagés, de manière générale, sur cette formule de l'autorité administrative indépendante reprise, depuis lors, à plusieurs occasions. Pour certains, ces "sages" n'auraient ni "la légitimité démocratique d'un parlement élu au suffrage universel et d'un gouvernement qui en procède lui aussi", ni "la légitimité du juge à l'indépendance traditionnellement reconnue et sanctionnée constitutionnellement", ni celle de l'administration classique "appliquant des règles impersonnelles et soumises au pouvoir politique" (voir le débat dans André Vitalis : L'apport à la démocratie des autorités de régulation indépendante, Rev. europ. des sciences sociales, 1993, n° 97 ; également dans Claude Albert Colliard et Gérard Timsit : Les autorités administratives indépendantes, 1988). On leur reconnaît, en tout cas, pour le moins, une influence morale. Mais, certains reprochent à ces autorités d'être souvent moins sensibles aux intérêts de l'individu qu'à ceux de l'Etat ou des divers pouvoirs ; elles seraient "un masque des pouvoirs", des écrans procurant de "grands bénéfices symboliques" sans influencer réellement le cours des événements.

Cette analyse est-elle applicable à la Cnil ? Il serait quelque peu contradictoire de la critiquer à la fois pour une conception trop exclusive de la vie privée et pour une recherche continuelle de consensus. On doit reconnaître que, sur de nombreux sujets, la Cnil a su afficher une position, poser les questions, susciter le débat, tenter le compromis entre des intérêts contradictoires (cf. des dossiers comme la carte d'identité infalsifiable, les registres médicaux et la recherche, la vidéosurveillance, les mailings...). Aux autres institutions, gouvernement et parlement, ensuite de prendre leurs responsabilités dans le cadre du jeu institutionnel classique. Il est bon que, parfois, des oppositions s'affichent, compromis ne signifiant pas consensus mou. Dans ce jeu institutionnel, du tact et de l'habileté sont requis.

A l'heure actuelle, la lacune essentielle du système vient de l'absence véritable de débat social. Où sont les grands débats qu'avaient suscités l'affaire Safari et le rapport Tricot ou le rapport Nora-Minc ? De même, se souvient-on de la semaine "Informatique et société" qui, en 1979, avait comporté cinq journées de débat public fort riches ? La perception des dangers de l'informatique est peut-être moins aiguë et plus diffuse qu'elle a pu l'être dans les années 70 ; I'outil s'est banalisé, la Cnil fait partie du paysage, de manière un peu routinière. N'est-elle pas aujourd'hui quelque peu isolée ? Est-elle suffisamment en contact avec les médias, les associations, les partis politiques, les syndicats, les citoyens ? Ceux-ci exercent-ils leur droit d'accès et s'intéressent-ils aux systèmes qui se mettent en place ? Sans doute, les moyens dont dispose la Cnil sontils insuffisants. Le rapport Tricot estimait, déjà en 1975, que la Cnil ne devait pas être "purement parisienne" et qu'elle devrait disposer de délégations régionales ; cette remarque garde toute son actualité.

Le moment est particulièrement bien venu avec à la fois la transposition de la directive et les interrogations sur Internet et le multimédia pour ouvrir un grand débat social ; la modification de la loi de 1978 et l'évolution du rôle de la Cnil en sont un élément essentiel. Quel équilibre notre société veut-elle assurer entre la défense de la vie privée et celle des intérêts économiques et publics ? Comment situer la défense de la vie privée à la fois par rapport au marché et à l'Etat dans un contexte de flux internationaux de données ? Quel consensus social peut-on établir sur ce sujet aujourd'hui ? Avec les autoroutes de l'information, nous abordons une nouvelle étape. La Cnil est certainement consciente qu'elle doit être désormais encore davantage en phase avec l'international et avec le corps social. Ni gadget, ni alibi, ni frein abusif, la Cnil doit se transformer. Souhaitons que les projets gouvernementaux et que le débat qui va s'amorcer ne conduisent pas à l'affaiblir mais à mieux identifier son rôle éminent dans cette société de l'information en émergence.