Fermer

  • AgoraVox sur Twitter
  • RSS
  • Agoravox TV
  • Agoravox Mobile

Accueil du site > Actualités > Citoyenneté > Edvige : quelles sécurités pour les données sensibles ?

Edvige : quelles sécurités pour les données sensibles ?

 Créé en 1991 (1), le fichier des RG (2) est devenu Edvige (3) le 1er juillet dernier (4).

Ce changement de dénomination et de refonte du fichier est la conséquence directe de la fusion des RG et de la DST au sein de deux nouvelles entités : la Direction centrale du renseignement intérieur (DCRI) et la Direction de la sécurité publique (DCSP).

Le traitement Edvige, constitué d’une base nationale de données informatiques et d’archives papier, doit permettre à la Sous-direction de l’information générale (SDIG) (5) de remplir sa mission d’information générale.

Celle-ci consiste dans la recherche, la centralisation et l’analyse des renseignements destinés à informer le représentant de l’Etat et le gouvernement dans les domaines institutionnel, économique et social, ainsi qu’en matière de phénomènes urbains violents et dans tous les domaines susceptibles d’intéresser l’ordre public.


Les trois principales finalités d’Edvige sont dès lors très larges :

1. centraliser et analyser les informations relatives aux personnes physiques ou morales ayant sollicité, exercé ou exerçant un mandat politique, syndical ou économique ou qui jouent un rôle institutionnel, économique, social ou religieux significatif, sous condition que ces informations soient nécessaires au gouvernement ou à ses représentants pour l’exercice de leurs responsabilités ;


2. centraliser et analyser les informations relatives aux individus, groupes, organisations et personnes morales qui, en raison de leur activité individuelle ou collective, sont susceptibles de porter atteinte à l’ordre public ;


3. permettre aux services de police d’exécuter les enquêtes administratives qui leur sont confiées en vertu des lois et règlements, pour déterminer si le comportement des personnes physiques ou morales intéressées est compatible avec l’exercice des fonctions ou des missions envisagées.

Pour remplir ces fonctions, le traitement Edvige enregistre des données à caractère personnel concernant des personnes physiques âgées de 13 ans et plus :



- état civil, profession, adresses postales et électroniques, n° de téléphone ;

- signes physiques particuliers et objectifs, photographies ;


- comportement et déplacements (jusqu’à présent, ces données n’étaient enregistrées que dans le fichier informatisé du terrorisme, à l’exclusion des autres fichiers des RG). Ces données ne peuvent pas être collectées au titre de la première finalité d’Edvige ;

- titres d’identité ;


- immatriculation des véhicules ;


- informations fiscales et patrimoniales ;


- antécédents judiciaires ;


- motif de l’enregistrement des données ;


- données relatives à l’environnement de la personne (la collecte et le traitement de telles données n’étaient jusqu’alors autorisés que pour les personnes qui pouvaient, en raison de leur activité individuelle ou collective, porter atteinte à la sûreté de l’Etat ou à la sécurité publique) ;

- données dites sensibles : « données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle » (6).

Concernant les données sensibles, la Commission nationale informatique et libertés (Cnil) a souligné dans son avis du 16 juin dernier (7), que les conditions d’enregistrement de ce type d’informations étaient plus strictement définies aux termes du précédent fichier des RG, dans un souci de préservation des libertés individuelles et de protection de la vie privée. A ce titre, l’ancien traitement se limitait aux « activités politiques, philosophiques, religieuses ou syndicales » des personnes majeures.

La seule garantie fixée par le décret créant Edvige est que ces données relatives aux origines raciales ou ethniques, à la santé ou à la vie sexuelle ne peuvent être enregistrées que de manière exceptionnelle. Mais qui juge du caractère exceptionnel de l’enregistrement ? Quels sont les critères objectifs le définissant ? Le décret est muet à ce sujet.

De surcroît, le décret instaurant Edvige et le dossier du ministère de l’Intérieur présenté à la Cnil n’ont apporté aucun élément en termes de sécurité et de confidentialité des données traitées.

En effet, la Cnil n’a reçu aucune information précise sur les niveaux de sécurité technique entourant le fonctionnement du fichier Edvige, ni sur l’existence éventuelle d’un dispositif de traçabilité, seul mécanisme technique capable de vérifier les conditions d’enregistrement et de consultation, par les autorités publiques, des données figurant dans le fichier.

La Cnil a toutefois obtenu que ce traitement ne fasse l’objet d’aucune interconnexion, rapprochement ou mise en relation avec d’autres fichiers, notamment ceux de la police judiciaire.

Enfin, le droit à l’oubli, c’est-à-dire le fait de pouvoir sortir d’un traitement après une certaine durée, a été consenti uniquement pour les informations collectées sur une personne faisant l’objet d’une enquête administrative pour l’accès à certains emplois (de sécurité par exemple) (8).

Au regard des nombreuses réserves exprimées par la Cnil dans son avis du 16 juin 2008, force est de constater que le ministère de l’Intérieur n’a pas pris les mesures nécessaires dans une société démocratique pour garantir la protection de la réputation ou des droits d’autrui, et pour empêcher la divulgation d’informations confidentielles.

Pour rappel, cette frénésie, post-11-Septembre, des démocraties occidentales concernant la multiplication des fichiers de sécurité publique est source de nombreuses dérives et pertes de données sensibles.

Les pertes de données à l’étranger

Au Royaume-Uni, le service des douanes et des revenus de Sa Majesté (9) a ainsi perdu deux CD-Rom contenant 25 millions d’enregistrements, et le ministère de la Défense un PC portable contenant les données de 600 000 recrues. Le commissaire à l’Information britannique (10), Richard Thomas, a remarqué que les données ainsi perdues allaient de plus bien au-delà de ce qui était réellement nécessaire au vu des objectifs des traitements concernés.

Les scandales concernant des pertes de données sensibles se sont également multipliés aux Etats-Unis, où une quarantaine de lois fédérales obligent les responsables de traitements victimes de perte ou de vol de données à avertir les personnes concernées.

Censure de la Cour européenne des droits de l’homme (CEDH) (11)

Dans une affaire opposant le gouvernement suédois à cinq requérants, la CEDH a rappelé que, dans une société démocratique, l’existence de services de renseignements peut s’avérer légitime.

Toutefois, le pouvoir de surveiller en secret les citoyens n’est tolérable d’après la Convention européenne des droits de l’homme que dans la mesure strictement nécessaire à la sauvegarde des institutions démocratiques (12).

En l’espèce, l’intérêt de l’Etat à la protection de la sécurité nationale et à la lutte contre le terrorisme devait être mis en balance avec la gravité de l’ingérence dans l’exercice par les requérants respectifs de leur droit au respect de leur vie privée.

Ainsi, s’agissant notamment des informations communiquées à l’un des requérants (à savoir sa participation à une réunion politique à Varsovie en 1967), la Cour, compte tenu de la nature de ces renseignements et de leur ancienneté, a estimé que leur conservation ne se fondait pas sur des motifs pertinents et suffisants au regard de la protection de la sécurité nationale.

En définitive, la CEDH a jugé que la Suède avait violé les articles 8, 10 et 11 de la Convention, et a condamné l’Etat à verser aux requérants la somme totale de 15 000 euros, au titre du préjudice moral, et 20 000 euros chacun pour les frais et dépenses.

En France ? Tout va très bien Madame la marquise, aucune perte de données à signaler

Et ce malgré l’inflation des nouveaux fichiers publics à finalité sécuritaire :


Cristina (13) pour la lutte anti-terroriste qui échappe au contrôle de la Cnil (classé secret-défense) ;


Ardoise (14) qui fusionne le système de traitement des infractions constatées (STIC) (15) de la police et le JUDEX (16) de la gendarmerie.

Ardoise a été déployé, à titre expérimental, à partir de janvier 2008 auprès de 90 000 fonctionnaires de police, puis suspendu le 22 avril dernier.

Outre le fait que ce traitement avait été mis en œuvre sans décret en Conseil d’Etat pris après avis préalable de la Cnil comme la loi l’exige, le collectif contre l’homophobie, des Oubliés de la mémoire, le FLAG (policiers gays et lesbiens) et la Halde avaient saisi la Cnil.

L’inquiétude des dérives résultait d’un champ intitulé « Etat de la personne », où les agents habilités pouvaient enregistrer des informations sensibles ayant trait à la vie privée des auteurs, des témoins ou des victimes, via des catégories prédéfinies : « mineur en fugue », « sans domicile fixe », « personne âgée », « permanent syndical », « membre d’une secte », « transsexuel », « homosexuel », « handicapé », « travesti », « relation habituelle avec personne prostituée »… ;


FNAEG(17), créé en 1998, il est initialement limité aux seules infractions de nature sexuelle.

Il concerne désormais trois quarts des affaires traitées devant les tribunaux français, « à l’exception notable de la délinquance financière, ou encore de l’alcoolisme au volant » (18).

Aujourd’hui, le FNAEG recense près de 600 000 profils génétiques (19), contre 6 000 en 2003.

La gestion du FNAEG suscite aussi des craintes en termes de sécurité depuis une circulaire du ministère de la Justice du 31 mai dernier 2007 (20), qui tend à simplifier son fonctionnement afin d’en réduire les coûts humains et financiers, au détriment de la protection des libertés.

Les rapports de la Cnil

De manière générale, chaque année, le rapport d’activité de la Cnil démontre les insuffisances des pouvoirs publics à maintenir la sécurité et la véracité des données enregistrées dans ces fichiers.

A titre d’exemple, le rapport d’activité 2007 de la Cnil a fait état de l’impossibilité pour une personne de se présenter à un concours et donc d’accéder à un emploi public en raison d’une erreur de saisie dans le fichier STIC.

En l’occurrence, « Mademoiselle C., souhaitant présenter un concours d’entrée à une école de police, était enregistrée dans le STIC en tant que mise en cause, alors qu’elle avait été uniquement entendue en tant que témoin, dans une affaire de trafic de produits anabolisants par la sûreté départementale compétente (…) ».

En 2006, dans le cadre des demandes d’accès indirect des personnes auprès de la Cnil, « pour 288 personnes fichées en tant que "mises en cause" (soit 54 % des 532 personnes fichées en tant que mises en cause), les signalements enregistrés dans les fichiers STIC ou JUDEX ont été modifiés parce qu’ils étaient inexacts, incomplets ou périmés »(21).



Depuis la réforme de la loi Informatique et Libertés en 2004, la Cnil semblait donc avoir perdu la bataille réglementaire des fichiers publics.

Mais, grâce à la publication du décret créant Edvige, à la demande de cette dernière, le débat démocratique, certes un peu tardif, aura le mérite d’infléchir certaines dérives sécuritaires de notre démocratie.

Toutefois, les inquiétudes demeurent entières en termes de sécurité, puisque les procédures formalisées de mise à jour et d’apurement des données, d’accès aux fichiers, et la nécessaire information des personnes en cas de perte de données ne sont toujours pas prises en compte par les pouvoirs publics.

Nicolas Samarcq Juriste – Consultant en Affaires Réglementaires TIC
www.lexagone.fr


1. Décret n° 91-1051 du 14 octobre 1991 relatif aux fichiers gérés par les services des Renseignements généraux.
2. Renseignements généraux.
3. Exploitation documentaire et valorisation de l’information générale.
4. Décret n° 2008-632 du 27 juin 2008 portant création d’un traitement automatisé de données à caractère personnel dénommé « Edvige », JORF n° 0152 du 1er juillet 2008.
5. Sous-direction de la direction de la sécurité publique (DCSP) constituée de 1 000 policiers.
6. Article 8 de la loi Informatique et Libertés.
7. Délibération n° 2008-174 du 16 juin 2008 portant avis sur un projet de décret en Conseil d’Etat portant création au profit de la direction centrale de la sécurité publique d’un traitement automatisé de données à caractère personnel dénommé « Edvige », JORF n° 0152 du 1er juillet 2008.
8. Pour cette finalité, la durée de conservation des données a été fixée à cinq ans.
9. HM Revenue & Customs.
10. Information Commissioner’s Office (ICO) du Royaume-Uni (équivalent de la Cnil).
11. CEDH, Aff. SEGERSTEDT-WIBERG ET AUTRES c/ SUÈDE, Requête no 62332/00, 6 juin 2006.
12. Klass et autres c. Allemagne, arrêt du 6 septembre 1978, série A no 28, p. 21, § 42.
13. Centralisation du renseignement intérieur pour la sécurité du territoire et les intérêts nationaux.
14. Application de recueil de la documentation opérationnelle et d’informations statistiques sur les enquêtes.
15. « Ce fichier regroupe toutes les informations concernant des personnes qui sont soit mises en cause dans des enquêtes ouvertes pour crimes, délits ou contraventions de 5e classe, soit victimes de ces mêmes infractions. C’est donc un fichier qui recense des faits et non des condamnations » : Rapport Cnil 2007.
16. « Cette application centralisée comprend trois bases différentes qui recensent, respectivement, les dossiers décrivant des affaires judiciaires traitées par la gendarmerie et des dossiers relatifs à des personnes mises en cause dans des affaires judiciaires. Ces deux traitements sont mis en œuvre au niveau national. La troisième base est déconcentrée dans chaque département et regroupe des informations sur les affaires et les personnes mises en cause dans le département concerné. Les personnels de la police peuvent accéder aux informations figurant dans le fichier JUDEX, et ceux de la Gendarmerie nationale peuvent accéder à celles enregistrées dans le STIC » : Rapport d’activité 2006 de la Cnil.
17. Fichier national automatisé des empreintes génétiques.
18. Propos d’Olivier Joulin, du Syndicat de la magistrature in "La Justice simplifie le fichage génétique", Jean Marc Manach, Le Monde, 3 juillet 2007.
19. Rapport d’activité 2007 de la Cnil.
20. Disponible sur le site de la Ligue des droits de l’homme de Toulon : http://www.ldh-toulon.net/spip.php?article2090.
21. Rapport d’activité Cnil 2006.

Moyenne des avis sur cet article :  4.17/5   (24 votes)




Réagissez à l'article

10 réactions à cet article    


  • morice morice 12 septembre 2008 10:22

     Après, on parlera de Cristina, si vous le voulez bien... c’est pas tout de se focaliser : Cristina est bien dans la -lignée d’un Homeland Security à la française..


    • Alpo47 Alpo47 12 septembre 2008 10:29

      Premier commentaire, évident à la lecture de ce texte : l’auteur cherche à détourner l’attention, vers la sécurisation et la confidentialité du dit fichier.
      Or, le problème n’est pas du tout là, mais dans l’existence même d’un fichier, où TOUT LE MONDE peut se retrouver progressivement. Comment peut on même concevoir le fichage de toute la population, à moins d’avoir des arrières pensées liberticides ou totalitaires, évidemment ?

      Nouvel "écran de fumée", donc, dans la droite ligne de la communication gouvernementale et de ses affidés ...


      • marignan155 12 septembre 2008 13:04

        bien sûr que tout le monde peut être fiché (ce n’est pas d’aujourd’hui) tant que c’est fait honnêtement et sans erreur ET une fois cela réalisé que chacun sache qu’il l’est ET qu’il puisse vérifier/contester les informations ET que cela figure uniquement dans ce fichier qui doit ne pas être consulté par n’importe qui

        nota : je ne suis pas de droite, loin de là ; je suis informaticien depuis longtemps et sais de quoi je parle


      • faxtronic faxtronic 12 septembre 2008 15:25

        Bien sur qu’’ etre fich’’e n’’ est pas un probleme.... dans un monde parfait et juste, mais pas dans notre monde corrompu depuis 50 siecles et sujet gravement aux erreurs et au doute. Un monde humain quoi.


      • Sébastien Galliot Sébastien Galliot 12 septembre 2008 16:39

        Merci à l’auteur pour pointer ce grave probleme qu’est la sécurité des fichiers. 
        Il est évident que l’informatique connectée entraîne souvent des acces indésirés aux fichiers informatiques.

        Mais dans le cas des fichiers d’états, je n’ai pas souvenir d’avoir entendu la moindre alerte à ce titre. 
        Ainsi donc, jamais personne n’a piraté les fichiers STIC, CRISTINA, FNAEG, JUDEX, etc...

        C’est un peu comme le nuage de Tchernobyl, la centrale du Tricastin, les munitions des militaires, le sang contaminé, l’amiante ou les pesticides : il n’y a pas de probleme, car tout est parfaitement controlé.

        D’ailleurs, vous savez qui était (je cite WIKIPEDIA) 
        "chargé de mission de 1987 à mai 1988 pour la lutte contre les risques chimiques et radiologiques au sein du ministère de l’Intérieur"

        C’est marrant mais je suis sûr que vous allez deviner.. solution sur ce lien.

        Vous me direz que je suis de mauvaise foi car l’accident nucleaire est antérieur à sa nomination. Eh bien oui je suis de mauvaise foi :)












        • delpierrofr 13 septembre 2008 18:39

          Article très interressant.
          J’ajoute que le "Data Protection Act" anglais impose d’informer le public lorsque la sécurité des données est compromise (vol, perte, piratage...).
          Cela n’est pas le cas en France !

          Les pb de sécurité sur les fichiers français sont simplement tenu secret


        • Kassandra Kassandra 13 septembre 2008 21:11

          Bon article,je ne comprend pas sa petite fréquentation.

          Le fichier Cristina est encore bien plus inquiétant qu’Edvige sa petite seur, puisqu’il est secret à 100% (même le décret d’application l’est) c’est l’opacité totale, je me demande même si Edvige n’est pas là comme leurre afin d’établir un écran de fumée devant Cristina qui est vraiment totalitaire et à l’usage de la nouvelle DCRI, police politique. Pendant la levée de bouclier contre Edvige, cette petite garce trop voyante, on laisse Cristina, la discrète, dans l’ombre et elle ne bougera pas même si Edvige est euthanasiée...


          • Syrius Syrius 14 septembre 2008 15:43

            Le fichier EDVIGE soulève une autre question, celle ci de politique générale : ne vaut il mieux pas responsabiliser les internautes en aval que contrôler tout le monde en amont ? Je pense que la question EDVIGE est aussi une reponse à la déresponsabilisation généralisée des attitudes anti citoyennes que l’on trouve aussi bien sur internet que dans le cadre de structures de groupes, de gens qui se pensent intouchables parcequ’il faut partie d’une communauté ou d’une collectivité ou parcequ’ils peuvent se cacher derrière un pseudo.

            Pour ma part, je suis favorable à une refonte totale d’internet et du comportement des utilisateurs, en matière d’identification, en matière de contrefaçon, de piratage et de communication sur internet ; de l’autre, je suis pour une refonte du système de protection des logiciels, des méthodes de communication et de fixation des prix des produits numériques et enfin pour un allègement des méthodes de fichage.

            Si l’on responsabilise les citoyens utilisateurs, alors on réduit le besoin de fichage et on s’accorde sur un accès plus sain à internet qui cesse de facto de devenir la base fascisante , propagandiste et délinquante qu’elle est en train de devenir.

            C’est pas tout de dire que EDVIGE est un scandale (il l’est mais rien ne naît du néant) il faut se demander aussi à quels besoins cela répond.


            • Mohammed MADJOUR Mohammed 14 septembre 2008 17:08

              Le régime français est le plus centralisé de la planète, "s’informer pour prévoir" est poussé à l’extrême par les responsables politiques !

              Ainsi la liberté individuelle n’est qu’un leurre puisque le "mouvement global de la masse" est surveillé en temps réel puis travaillé et nécessairemnt réajusté selon les situations et les exigences du moment par la propagande et par les "techniques de la communication" rendues plus que pernicieuses par le progrès des nouvelles technologies ! 

              Les réactions individuelles et les orientations possibles des groupes, associations, partis politiques tant au niveau régional que national sont extrapolées et même estimés avec précision ! La France ne rate jamais l’occasion pour s’endetter en s’équipant d’un super calculateur dernnière génération qui aplanit le doute et réduit les incertitudes...

              Les mascarades électorales sont la preuve directe de l’emprise totale des systèmes politiques sur le cerveaux des individus, on peut parler désomais des bipèdes de Panurge tant le phénomème est en progression permanante !

              Vous parlez de démocratie ? !

              MOHAMMED.


              • Avatar 14 septembre 2008 21:40

                Y’A QUELQU’UN A LA MODERATION ?

                > A en manger sa cravate (épisode 3)
                par tonton raoul (IP:xxx.x19.152.7) le 14 septembre 2008 à 17H57




                " (...) Sachant qu’il faut 10 m3 de gaz pour tuer 45 juifs de 70 kgs en 10 minutes, combien de temps faudra-t-il si la porte de la chambre à gaz est entrouverte, laissant fuir ainsi 0,20 m3 de gaz à la minute ? (...) "

                Réagir à l’article | Réagir au commentaire | SIGNALER UN ABUS | Lien permanent

                 

                commentaire constructif ? 2

Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


FAIRE UN DON






Les thématiques de l'article


Palmarès