Des dizaines de millions de patients font transiter par la plateforme des informations hautement sensibles : l’historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation, et même des ordonnances après des téléconsultations.

Lancée fin 2013, l’application qui permet aux patients de prendre rendez-vous avec un médecin en quelques clics et aux professionnels de santé de faciliter la gestion de leur cabinet a connu une croissance fulgurante.

Avec ses 1 300 salariés et ses embauches à tour de bras, Doctolib a même rejoint en mars 2019 Deezer et Blablacar dans le cercle très fermé des licornes françaises, ces entreprises valorisées à plus d’un milliard d’euros.

Doctolib doit sa réussite à un véritable trésor de guerre : son nombre d’utilisateurs.

Selon ses chiffres, pas moins d’un Français sur deux utiliserait ses services pour gérer ses rendez-vous médicaux.

Des dizaines de millions de patients qui font transiter par la plateforme des informations importantes, et hautement sensibles : l’historique de leur rendez-vous avec des praticiens, parfois le motif de leur consultation, et, depuis quelques mois, des ordonnances après des téléconsultations.

Que dit la réglementation sur la gestion de ces données ?

Doctolib la respecte-t-elle ?

Comment sont protégées ces informations sensibles ?

Lorsque vous utilisez Doctolib pour prendre rendez-vous chez votre dermatologue, par exemple, vous transmettez deux types d’informations bien distinctes à la plateforme : d’un côté, vos données personnelles (nom, adresse e-mail, numéro de téléphone…) ; de l’autre, vos données de santé (rendez-vous avec un praticien, motif de la consultation, ordonnance numérisée après une téléconsultation…).

Si cette distinction peut sembler évidente, elle est en fait assez récente.

« Auparavant, la loi ne qualifiait de données de santé que les données relatives aux pathologies, comme par exemple le fait d’indiquer que Monsieur X est atteint de tel type de cancer », explique à franceinfo Guillaume Desgens-Pasanau, ancien directeur juridique de la Cnil, le gendarme français du respect des données personnelles.

Des informations comme le niveau de correction visuelle ou la prise de rendez-vous avec tel ou tel praticien bénéficiaient d’une sorte de ‘zone grise’, et n’étaient pas formellement considérées comme des données de santé.

Le Règlement général sur la protection des données (RGPD) dans l’Union européenne a considérablement changé les choses.

Entré en vigueur en mai 2018, ce texte a élargi la conception de données de santé, notamment aux cas cités plus haut.

Avec cet élargissement de la notion légale de données de santé, « de nombreuses entités qui manipulaient ce type d’informations ont eu une responsabilité plus importante vis-à-vis de la réglementation », poursuit Guillaume Desgens-Pasanau.

La nouvelle législation demande en effet des précautions particulières aux entreprises ou administrations qui collectent ces données jugées sensibles. Ce qui est le cas de Doctolib.

Comme l’indique le guide pratique (PDF) coédité par la Cnil et le Conseil national de l’Ordre des médecins à destination des professionnels de santé, le RGPD impose que les données issues de la prise de rendez-vous soient traitées de la même manière que les dossiers médicaux des patients.

Pas question par exemple de vous réclamer des informations autres que celles « strictement nécessaires » à votre parcours de soin – la collecte d’informations sur votre vie familiale n’est par exemple en principe pas appropriée. L’accès aux données de santé doit également être restreint autant que possible, leur contenu sécurisé et la Cnil doit être prévenue en cas de violation de celles-ci.

Le RGPD impose également que vos données de santé ne soient pas conservées indéfiniment, et que vous puissiez y accéder facilement, voire les effacer.

Vous devez enfin donner votre consentement libre, spécifique, éclairé et univoque à la collecte de vos données de santé si l’entité qui récupère ces informations n’est pas un professionnel de santé ou un prestataire agissant pour son compte. Ce qui est loin d’être un détail, comme nous le verrons plus tard.

Interrogé par franceinfo, Stanislas Niox-Chateau martèle que les utilisateurs de Doctolib ont « le contrôle exclusif » de leurs données de santé.

Hélas, il leur est assez difficile de le constater : si vous réclamez à Doctolib de vous communiquer les données qu’ils possèdent à votre sujet, comme le RGPD le prévoit, ne vous attendez pas à recevoir un énorme fichier récapitulant votre parcours de soin ces dernières années. La plateforme ne vous communiquera que des informations succinctes, comme votre identité, votre date de naissance, coordonnées et la date de création de votre compte, comme le signale sur Twitter un internaute qui a tenté sa chance.

Pourquoi Doctolib ne communique pas à ses utilisateurs l’historique de leurs rendez-vous médicaux, alors même que celui-ci est accessible en un clic depuis la page d’accueil de son site internet ?

La réponse se trouve là encore dans l’application du RGPD recommandée par la Cnil et le Conseil national de l’ordre des médecins : en tant que plateforme de prise de rendez-vous en ligne, Doctolib n’est considérée que comme un simple prestataire des 115 000 praticiens de santé et près de 2 000 établissements de soin qui font appel chaque jour à ses services.

Ce sont eux qui, individuellement, restent légalement considérés comme les « responsables de traitement », c’est-à-dire les gestionnaires des données de santé qui leur sont confiées.

Et le patron de Doctolib de préciser que sa plateforme aide les professionnels de santé à garder la main sur leur base de données à l’aide d’une fonctionnalité leur permettant d’exporter les informations concernant leurs patients qui souhaiteraient accéder à leurs données médicales.

Des explications qui ne convainquent pas Guillaume Desgens-Pasanau. « Imaginez la difficulté pour un patient s’il doit contacter chaque médecin consulté pour exercer son droit d’accès, alors que toutes les données sont facilement accessibles par Doctolib !«  proteste l’ancien directeur juridique de la Cnil.

« L’esprit du RGPD est au contraire de faciliter l’exercice de leurs droits par les personnes concernées, et responsabiliser des ‘prestataires’ informatiques qui en réalité sont seuls décisionnaires sur les modalités de fonctionnement de leur système d’information. » Guillaume Desgens-Pasanauà franceinfo

Selon ce spécialiste, il conviendrait de distinguer juridiquement l’activité d’aide à la gestion de cabinet de Doctolib de celle de prise de rendez-vous, bien connue du grand public.

L’entreprise pourrait ainsi être considérée comme simple prestataire des professionnels de santé mais aussi être qualifiée de responsable ou de co-responsable du traitement des données de ses utilisateurs. Une pratique « tout à fait possible sur le plan juridique et courante dans la pratique », estime GuillaumeDesgens-Pasanau.

Le fait que Doctolib soit considéré par la réglementation comme un prestataire des praticiens de santé qui font appel à ses services a de nombreuses conséquences.

Outre le fait que le géant de la santé numérique ne communique pas à ses utilisateurs l’historique de ses rendez-vous médicaux, l’entreprise n’a sur le papier pas besoin d’obtenir votre consentement pour collecter vos données, tant que celles-ci sont utilisées pour la finalité recherchée, à savoir la prise de rendez-vous de santé.

Sur les réseaux sociaux, plusieurs internautes se sont ainsi étonnés de recevoir des SMS de la part de Doctolib pour leur rappeler l’approche d’une consultation, alors même que ces patients ne disposaient pas de compte sur la plateforme et avaient pris rendez-vous par téléphone avec leur praticien de santé.

Surprenant, mais pas illégal : si leur professionnel de santé utilise Doctolib comme logiciel de gestion de ses rendez-vous, il n’a juridiquement aucune obligation d’informer ses patients avant d’entrer leurs coordonnées dans la plateforme. Doctolib n’aura toutefois pas l’autorisation de les utiliser à d’autres fins que celles prévues par le praticien de santé.

D’autres patients se sont émus de recevoir de la part de Doctolib un courriel contenant un questionnaire leur demandant leur avis sur une consultation récente. Là encore, l’entreprise joue un rôle d’intermédiaire : dans un billet de blog, elle rappelle qu’aucun système d’évaluation publique n’est intégré à son logiciel et assure n’envoyer ce questionnaire qu’à la demande du praticien concerné, ne pas publier les résultats ni même y accéder.

Les médecins sont-ils au fait de ces subtilités juridiques et de leurs implications ?

Sur son site internet, Doctolib indique informer « clairement les professionnels de santé et les patients sur sa politique de protection des données personnelles de santé avant qu’ils utilisent ses services » et précise que les documents détaillant sa politique de protection des données « sont joints au contrat d’abonnement des professionnels de santé et ces derniers doivent en accepter les termes pour pouvoir utiliser Doctolib ».

En pratique, les choses sont un peu différentes, et le corps médical n’est pas davantage porté sur la lecture des conditions d’utilisation d’un service que le commun des mortels.

« Il y a peut-être 10% de la profession qui est au fait de ces sujets. La majorité n’en a rien à faire et se concentre sur les soins », répond avec une franchise désarmante le professeur Stéphane Oustric, délégué général aux données de santé et au numérique du Conseil national de l’ordre des médecins.

« La plupart des médecins disposent d’une messagerie sécurisée, achètent un logiciel dont l’éditeur se dit certifié ou garanti conforme au RGPD et ne se pose pas de question tant que le programme est sympa et facile d’utilisation. » Stéphane Oustricà franceinfo

« Il y a une certaine impréparation » de la profession, acquiesce Pascal Charbonnel, médecin généraliste anciennement chargé des questions numériques au sein du Collège de la médecine générale. Pour ce spécialiste, « il y a une vraie différence entre la culture du secret médical, bien connu et pratiqué de manière cohérente chez les médecins, et le niveau d’information sur la protection des données » récoltées par les plateformes en ligne.

Afin de rendre plus intelligible son fonctionnement sur ces sujets, Doctolib a publié mercredi 12 février deux chartes de protection des données de santé, signées de la main de Stanislas Niox-Chateau, l’une destinée aux professionnels de santé et l’autre aux patients (PDF).

Vous l’ignorez peut-être mais Doctolib ne stocke pas lui-même les données de santé de ses millions d’utilisateurs.

L’entreprise sous-traite en fait cette activité à plusieurs prestataires – dont la division « Web Services » du géant Amazon – labellisés « hébergeurs de données de santé » (HDS) par des organismes de certifications agréés par les autorités.

« Nous travaillons avec plusieurs dispositifs de sécurité informatique », comme des antivirus, des pare-feu ou des mécanismes de protection contre les attaques par déni de service, détaille auprès de franceinfo Camille Cacheux, directeur général de Coreye, l’un de ces hébergeurs de données de santé, qui travaille avec plus d’une centaine de clients, dont Doctolib.

« Nous utilisons également des clés de chiffrement spécifiques, que nous transmettons à nos clients de telle sorte qu’ils soient les seuls en mesure d’avoir accès aux données de santé. » Coreye indique être également en mesure d’identifier les éventuelles tentatives d’intrusion dans leurs bases de données, et de rétablir l’intégrité des informations stockées en cas d’attaque.

Doctolib, qui revendique le chiffrement « systématique » de toutes les données de santé de ses utilisateurs, assure que seuls les praticiens de santé et les patients sont techniquement en mesure de consulter leur contenu grâce à un système d’identification par adresse e-mail et mot de passe.

A deux exceptions près, précise Stanislas Niox-Chateau à franceinfo : « Quand nous créons le compte Doctolib d’un praticien et que nous y importons la base de données du logiciel qu’il utilisait auparavant, ce que font également tous nos concurrents, et quand un professionnel nous demande des opérations de maintenance ou d’assistance. » Un bouton lui permet alors de donner aux équipes de Doctolib un accès temporaire à ses données, tout en restant sous sa supervision et avec une obligation de confidentialité.

Doctolib pourrait-il décider de vendre vos données de santé ? Non.

Comme l’indique Doctolib dans sa charte récemment publiée, la vente de données personnelles de santé est de toute façon punie par la loi de 5 ans d’emprisonnement et de 300 000 euros d’amende. Mais l’article L1111-8 du Code de la santé publique qui définit cette infraction précise qu’il n’est interdit de vendre que les données de santé qui peuvent être directement ou indirectement liées à l’identité des patients.

Or, Doctolib est assis sur une montagne de données que l’entreprise pourrait en théorie monnayer au plus offrant, tant que la fameuse ligne rouge de l’identification des patients n’est pas franchie.

L’entreprise de Stanislas Niox-Chateau ne se prive d’ailleurs pas d’utiliser ces données anonymisées pour vanter les mérites de son offre. La plateforme précise d’ailleurs sur son site internet le faire au nom de « l’intérêt légitime de Doctolib à produire des données statistiques anonymisées relatives à [son] impact sur l’activité des professionnels de santé (…) afin de communiquer sur son outil ».

« Je suis sûr que le ministère de la Santé serait prêt à payer fort cher l’accès aux données de Doctolib, pour par exemple l’aider à étudier à la loupe les délais de prise en charge dans les hôpitaux où ce système est installé », estime le docteur Pascal Charbonnel, membre du Collège de la médecine générale.

Un avis partagé par Jean-Paul Hamon, président de la Fédération des médecins de France, qui juge auprès de franceinfo que les « fichiers de Doctolib valent de l’or«  et qui se dit convaincu que « l’ambition de l’entreprise, dont le fondateur a participé au développement du site de réservation LaFourchette, ne s’arrête pas à la prise de rendez-vous mais vise à dominer tout le secteur de la santé numérique« .

Cette crainte de voir Doctolib vendre des données anonymisées a le don d’agacer Stanislas Niox-Chateau, qui préfère insister sur « l’amélioration de l’accès aux soins » apportée par son application, et répète qu’il est « difficile d’être plus jusqu’au-boutistes » que ses équipes sur les questions éthiques.

« Plusieurs de nos concurrents anonymisent leurs données et les vendent à l’industrie pharmaceutique sans que personne n’y trouve rien à redire ! » s’insurge l’entrepreneur, qui dénonce la « désinformation » et les « procès d’intention » qui viseraient trop souvent son entreprise. Et martèle que le modèle économique de Doctolib restera basé sur l’abonnement versé chaque mois par les praticiens et les établissements de santé.

Valorisé à plus d’un milliard d’euros, leader européen d’un secteur de la santé numérique unanimement considéré comme porteur…

Sur le papier, Doctolib a des arguments solides pour séduire l’un des géants américains de la technologie.

Vos données de santé seraient-elles en péril si la licorne française venait à passer sous pavillon américain ? « Non ! » répondent en chœur tous les spécialistes du sujet interrogés par franceinfo.

« Si Doctolib était racheté par un acteur américain, les mêmes obligations au sens du RGPD pèseront sur lui car le RGPD a un effet extraterritorial : il s’applique à des responsables de traitement établis en dehors de l’Union européenne, mais qui traitent des données concernant des personnes établies dans l’Union », détaille Guillaume Desgens-Pasanau.

Mais l’ancien directeur juridique de la Cnil s’empresse d’apporter une précision : « Si Doctolib n’était qu’un simple sous-traitant des praticiens de santé comme il prétend l’être, il ne serait certainement pas susceptible d’intéresser l’un des Gafam [acronyme de Google, Apple, Facebook, Amazon et Microsoft], car sa vraie valeur réside dans le contenu de sa base de données, et pas le fait qu’il soit un prestataire de prise de rendez-vous !« 

Source: francetvinfo.fr/sante/professions-medicales/enquete-franceinfo-comment-doctolib-se-sert-de-nos-donnees-de-sante_3825805.html

.

Complément d’information:

Doctolib vend donc une partie des données « pseudonymisées », sans être hors la loi.

Et pourtant… les IA (intelligence artificielle) peuvent, plus ou moins facilement, faire les liens..

Regardez cette excellent vidéo qui vous l’explique (juste moins de 3 minutes) :

La Hadopi ne sanctionne pas le téléchargement de fichiers, mais le « défaut de sécurisation » de sa connexion, et donc le fait de ne pas avoir réussi à être un bon Big Brother de son ordinateur.

Cerise sur le gâteau : une fois suspecté, c’est à l’accusé d’apporter les preuves de son innocence, et de démontrer qu’il avait tout fait pour empêcher le partage de fichier… Une forme de présomption de culpabilité qui mêle Orwell et Kafka, et qui fait de la Hadopi le digne rejeton de notre société de surveillance.

Il n’est donc guère étonnant de découvrir que le premier internaute sanctionné dans toute l’histoire de la loi Hadopi n’avait rien téléchargé.

Olivier Henrard est le « père » de la Hadopi. En 2008, dans une interview qu’il m’avait accordé, pour LeMonde.fr, « Pour « l’obligation de surveillance » de son accès à Internet », il m’avait expliqué que « l’idée est de sortir de l’orbite du juge pénal en se basant sur l’obligation de surveillance : ce qui est sanctionné, ce n’est pas que vous ayez téléchargé, mais que vous ayez manqué à votre obligation de surveillance », afin de s’assurer que son accès à l’Internet « ne fasse pas l’objet d’une utilisation qui méconnaît les droits de propriété littéraire et artistique ».

Or, et comme je l’expliquais alors, il n’existe pas de logiciel permettant à un particulier de s’assurer que son accès Internet ne fasse pas l’objet d’une « utilisation qui méconnaît les droits de propriété littéraire et artistique », et il n’en existera jamais, pour la simple et bonne raison qu’Internet a été conçu pour que l’information puisse circuler, quelle que soit la route utilisée, et qu’il existe moult manières de partager des fichiers.

Comment Mr Tartempion ou Mme Michu pourraient-ils sécuriser leurs connexions alors que le Pentagone – entre autres victimes des fuites rendues publiques par WikiLeaks – n’arrive pas à le faire ?

Un argument qu’Olivier Henrard avait balayé d’un revers de manche, avec une réponse toute trouvée : la loi du marché, de l’offre et de la demande.

« La réponse dépend des acteurs économiques : ce n’est pas un produit proposé à ce jour, mais ça ne présente pas de difficulté technique majeure, pour peu qu’existe une demande ». Et comme « les usagers vont demander de tels dispositifs de prévention et de filtrage à leurs FAI, c’est aux acteurs économiques de combler le vide ».

Quatre ans plus tard, il n’existe toujours pas d’offre commerciale permettant de sécuriser son ordinateur de sorte qu’il ne puisse être utilisé pour partager des fichiers « protégés » par le droit d’auteur, le copyright ou par DRM interposés (encore que, voir Je n’ai pas le droit de lire le livre que j’ai acheté).

Comme le rappelle Guillaume Champeau, Michel Riguidel, le chercheur qui avait prédit un chaos numérique en 2015, et qui avait été chargé de labelliser les moyens de sécurisation (« l’une des missions les plus difficiles » sur lesquelles il a travaillées pendant toute sa longue carrière) a jeté l’éponge, tout comme Jean-Michel Planche, son successeur.

« Depuis, l’on entend plus parler de l’avancée des travaux. Officiellement, ils continuent. Officieusement, cela fait deux ans et demi que l’Hadopi sait qu’elle n’arrivera jamais à établir une liste de spécifications pour les moyens de sécurisation qu’elle est censée labelliser. »

La seule façon simple (et donc accessible au grand public) – et sûre à 100% – de sécuriser son ordinateur, avait été proposée par Mireille Imbert-Quaretta, la présidente de la Commission de protection des droits (CPD) de l’Hadopi :

« Si une mère met l’ordinateur dans un placard sous clé pour empêcher son fils de télécharger et que cela marche, c’est un moyen de sécurisation, pas besoin d’installer un logiciel. »

Le « pirate » n’avait rien téléchargé

Il ne fallait pas être grand clerc pour comprendre que les premières victimes de la Hadopi ne seraient pas de gros téléchargeurs compulsifs, mais des victimes innocentes dont l’accès au Net ou le WiFi aurait été piraté, l’adresse IP usurpée, ou qui n’auraient pas réussi à empêcher le fiston de télécharger. Pour le coup, ce n’est pas le fiston, mais la future ex-femme du « pirate » qui a reconnu avoir téléchargé deux chansons de Rihanna, malgré les avertissements de la Hadopi, et de son ex-futur mari.

Interviewé par Marc Rees, de PCInpact, Alain, le premier abonné sanctionné dans toute l’histoire de la loi Hadopi, un charpentier d’une quarantaine d’année, revient sur la situation ubuesque, et kafkaienne, dans laquelle il s’est retrouvé. En instance de divorce, il avait rapidement indiqué que les téléchargements venaient de sa femme :

« J’ai eu un premier avertissement puis un deuxième. Mais j’ai fait parvenir un courrier à la Hadopi via l’avocat de ma femme qui a fait suivre ! Nous n’avons pas eu de suite ou alors la Hadopi m’a envoyé des mails, mais je n’ai jamais pu les recevoir, je n’avais plus internet ! »

Convoqué à la gendarmerie, il fait nettoyer son ordinateur par une entreprise spécialisée, et explique n’avoir « rien installé, ni téléchargé. Les gendarmes en ont tenu compte, comme du nettoyage. Moi je pensais être tranquille. Je me suis retrouvé au tribunal  » qui, au vu de son casier judiciaire vierge, ne requiert que 300 € d’amende (pour deux fichiers téléchargés), et ne l’a finalement condamné qu’à une amende de 150 €.

Contrairement à ce que prévoit aussi la loi, son abonnement à Internet n’a pas été coupé : il a résilié son abonnement tout seul comme un grand, en attendant que son ex-future femme quitte le domicile, et parce qu’il n’a plus confiance…

Numerama rappelle à ce titre que sans ces aveux de l’internaute, la Hadopi n’aurait pas pu obtenir sa condamnation, en l’absence de preuve matérielle… puisque ce n’est pas à la Hadopi d’apporter la preuve de la culpabilité de l’accusé, mais à ce dernier de démontrer son innocence.

Or, Alain a été condamné parce qu’il n’a pas été capable d’effacer deux .mp3, et d’empêcher le logiciel de peer to peer de se lancer lorsqu’il démarrait son ordinateur, et donc de partager les deux fichiers téléchargés par son ex’. Alain n’est pas un « pirate« , juste quelqu’un qui ne sait pas comment fonctionne son ordinateur, ce qui est le cas d’une bonne partie de ceux dont le nom figure sur la facture de leur fournisseur d’accès à Internet…

Hadopi ne peut que disparaître

Mireille Imbert-Quaretta, la présidente de la Commission de protection des droits (CPD) de l’Hadopi a révélé début septembre que cette année, 13 autres dossiers ont été transmis à la Justice par la Hadopi, qui alloue 60% de son budget à la riposte graduée, et qui avait annoncé 50 000 saisines par an…

En réponse au ministère de la Culture, qui avait déclaré cet été que la Hadopi coûtait trop cher et réclamer que ses crédits de fonctionnement « soient largement réduits » au motif que son « utilité n’est pas avérée« , Mme Imbert-Quaretta avait osé un parallèle en forme de lapsus, et qui fait froid dans le dos :

« L’Hadopi est une autorité administrative indépendante créée par le législateur, qui ne peut être supprimée que par le législateur. […] C’est comme à l’époque des débats sur la suppression de la peine de mort, on a commencé par tenter de supprimer le budget du bourreau. »

En janvier 2010, j’avais écrit que la Hadopi était techniquement inapplicable, et politiquement liberticide, tout en compilant les dizaines de gaffes et autres #Fail accumulé par ses promoteurs, pris la main dans le sac en train de « pirater » des contenus protégés, l’encyclopédie Wikipedia, une pétition pro-Hadopi, etc… (voir Rions un peu avec l’Hadopi).

En juillet, je tirais le portrait de Marie-Françoise Marais, la présidente de la Hadopi, rappelant qu’elle fut également, précédemment, à l’origine de la fermeture d’Altern.org, pionnier des défenseurs de la liberté d’expression sur le Net, et ses 45 000 sites web.

En octobre, je révélais que la DGSE s’était faite « engueuler » par les services de renseignement américains, pour qui la Hadopi allait contribuer à populariser les logiciels de chiffrement, rendant plus difficile la surveillance des internautes.

En février 2011, je m’étonnais de voir que la Hadopi avait obtenu, en un an, le budget que la CNIL avait mis 32 ans à obtenir (de l’ordre de 12 millions d’euros, par an).

Depuis, le vent à tourné, et les voix de ceux qui estiment qu’il serait bon d’arrêter les frais, et de dépenser autant d’argent pour des résultats aussi ridicules, et contre-productifs, se font de plus en plus entendre.

La Hadopi est vouée à disparaître, parce qu’elle se trompe de combats, qu’elle ne pose pas les bonnes questions, et encore moins les bonnes réponses : le problème de l’industrie des biens culturels, et du devenir des artistes, ce ne sont pas les artisans de 40 ans qui ne savent pas télécharger, ni sécuriser leur PC.

Reste à savoir combien de temps encore nous allons devoir payer autant d’argent pour une institution qui brille surtout par son ridicule.

Références: http://bugbrother.blog.lemonde.fr, Jean-Marc Manach

Voici la copie d’un article particulièrement bien documenté (vous trouverez la source à la fin de cet article) :

« Le quart des 58 fichiers policiers est hors la loi

Rebecca Manzoni m’a invité ce samedi 19 septembre dans son émission éclectik, sur France Inter, pour y parler des fichiers policiers. Occasion de revenir sur les billets que j’ai consacré à ce sujet, pour vous permettre de vous faire une idée de l’ampleur de ce type de fichage, et des dysfonctionnements qu’on peut y recenser :

Comment légaliser les fichiers policiers ?

Non à EdvigeLe nombre de fichier policiers répertoriés a augmenté de 70% ces trois dernières années, et le quart des 58 fichiers recensés n’a aucune existence légale : la loi informatique et libertés a été modifiée pour leur donner le “droit” d’être “hors la loi” jusqu’en 2010. Or, la moitié des Français y sont fichés, et, rien que sur ces trois dernières années, plus d’un million y sont toujours considérés comme “suspects” alors même qu’ils ont été blanchis par la Justice. Deux députés viennent de déposer une proposition de loi pour (partiellement) y remédier.

En 2008, la CNIL a constaté 83% d’erreurs dans les fichiers policiers

Depuis 2005, 1 020 883 classements sans suite, 54 711 relaxes, 873 acquittements et 7761 non-lieux n’ont pas été rapportés dans le STIC, le “casier judiciaire bis” de la police, qui fiche suspects (même non condamnés) et victimes. Soit, en 3 ans, 1 084 228 personnes blanchies par la justice, mais toujours considérées comme “suspectes” dans les fichiers policiers.


Présomption de pédophilie

En vertu de la présomption d’innocence, on ne fiche que les coupables, voire les suspects. La Grande-Bretagne a décidé d’innover, et de ficher un Britannique sur six, afin de croiser leurs antécédents judiciaires avec leurs modes de vie et relations actuelles, pour jauger de leur bonne moralité. Une forme de présomption de culpabilité.

EDVIGE servira à recruter… et licencier

Trop peu de gens le savent, mais le travail d’un million de salariés dépend de l’”enquête administrative de moralité” (sic) qui est effectuée à leur sujet : emplois liés à la sécurité (policiers, gendarmes, gardes du corps, détectives privés, gardes champêtres, vigiles, contrôleurs de la RATP et de la SNCF) aux jeux d’argent (entraîneurs de courses de chevaux -et lévriers-, employés de casinos et cercles de jeux, et même les assesseurs des parties de pelote basque !)…

Futurs fonctionnaires, ou potentiels terroristes ?

De plus en plus, l’accès à un métier est conditionné à une “enquête de moralité”, et il suffit d’un rien pour être considéré comme “suspect” dans tel ou tel fichier policier. Ou, pour être plus précis, il suffit d’être “suspecté”, non pas d’avoir perpétré un “acte” délictueux, mais d’avoir adopté un “comportement” contraire “à l’honneur” ou “aux bonnes moeurs”.

Les fichiers étaient fermés de l’Intérieur… et truffés d’erreurs (épisode 1)

Episode n°1 : où l’on apprend que les fichiers policiers, bien qu’”épurés”, sont truffés d’erreurs, et guère contrôlés.


«Y aurait-il un fichier que nous aurions oublié ?» (Les fichiers étaient soi-disant fermés de l’Intérieur, épisode 2)

Lorsque le ministère de l’Intérieur veut montrer que le contrôle des fichiers s’est amélioré, il annonce qu’en deux ans, on en dénombre… 25% en sus. Pire (si j’ose dire) : le ministère de l’Intérieur “balance”, en “exemple”, un extrait de fichier policier révèlant les noms et coordonnées d’un “suspect”

Il n’y a plus de donnée personnelle dans le fichier policier indiqué (Les fichiers étaient soi-disant fermés de l’Intérieur, épisode 3)

Plus de 15 jours… Il aura fallu attendre plus 15 jours pour que le ministère de l’Intérieur se décide à anonymiser les données personnelles de Mireille G., brigadier chef de la police, et Manuel D., suspect impliqué dans une affaire d’infraction à la législation sur les stupéfiants (et sans qu’on sache s’il a été -ou non- inculpé, condamné ou disculpé).

NB : ceux qui voudraient savoir s’ils sont fichés, et si oui vérifier que leur fichier est à jour et exact, peuvent exercer leur droit d’accès indirect (via la CNIL), et s’inspirer de la lettre-type de renseignementsgeneraux.net, campagne lancée par des défenseurs des libertés afin de “faire valoir ses droits” en matière de fichiers policiers. »

Plus d’infos ici !

Le ministère de l’Intérieur vient enfin de répondre aux 70 parlementaires (17 au Sénat, 53 à l’Assemblée) qui s’étaient inquiétés, l’an passé, de la mise en place du désormais célèbre fichier Edvige (pour “Exploitation documentaire et valorisation de l’information nérale”).

Pour mémoire, Edvige était accusé d’instituer un “fichage systématique et généralisé, dès l’âge de 13 ans, par la police des délinquants hypothétiques et des militants syndicaux, politiques, associatifs et religieux“. Lisez mes articles  ici et et les jours suivants.

Dans sa réponse (la même, quelles que soient les questions), MAM rétorque aux parlementaires inquiets que les recours déposés par les opposants à Edvige ont été rejetés eu égard notamment à la décision du ministre de retirer le décret portant création d’Edvige“.

Ce qui ne résoud donc rien, sur le fond.

D’autant que le problème reste entier :

le nouveau fichier ne comportera que des données directement liées à la sécurité publique ou permettant de répondre aux demandes d’enquêtes de recrutement imposées par la loi.

Ce qui ne répond que très modérément à l’inquiétude exprimée par les 220 000 signataires de la pétition réclamant l’abandon d’Edvige, non plus qu’à celle des parlementaires… mais qui, a contrario, met en lumière un problème étrangement passé sous silence lors de la polémique de l’an passé : les services de renseignement servent aussi désormais à surveiller le million de salariés qui font l’objet d’« enquêtes de recrutement« .

Un million de salariés suspectés de “comportements contraires aux bonnes moeurs

Trop peu de gens le savent, mais le travail d’un million de salariés dépend en effet de l’”enquête administrative de moralité” (sic) qui est effectuée à leur sujet, comme le rappelait récemment la CNIL.

J’avais d’ailleurs dressé la liste des emplois concernés, qui vont des emplois liés à la sécurité (policiers, gendarmes, gardes du corps, détectives privés, gardes champêtres, vigiles, contrôleurs de la RATP et de la SNCF) aux jeux d’argent (entraîneurs de courses de chevaux -et lévriers-, employés de casinos et cercles de jeux, et même les assesseurs des parties de pelote basque !).

Sont également concernés les agents des concessionnaires d’autoroute, mais aussi et surtout les employés des aéroports (en 2002, et en deux ans, 3500 salariés avaient ainsi perdu leur habilitation, et donc leur emploi, rien qu’à Roissy), ainsi que les personnes sollicitant l’autorisation d’effectuer des prises de vue aérienne…

Rajoutons enfin, au million de salariés concernés, les ambassadeurs, consuls et autres personnalités désireuses d’obtenir la légion d’honneur et autres promotions dans les “ordres nationaux”, mais aussi ceux qui veulent acquérir la nationalité française, obtenir ou renouveler leurs titres de séjour. Ce qui doit, au total, faire bien plus qu’un million de gens.

Or, le problème (l’un des problèmes) est qu’il suffit d’être “suspecté” de “comportements” contraire “à l’honneur” ou aux “bonnes moeurs” pour être fiché… notions pour le moins vagues, et propices à débordements et “dommages collatéraux“.

D’autant que la majeure partie du temps, les personnes chargées d’effectuer ces “enquêtes administratives de moralité” se contentent de regarder si l’individu en question est fiché, sans forcément vérifier la réalité, ni la teneur, de cette suspicion.

Autrement dit, et quand bien même, en démocratie, la présomption d’innocence est la règle, et non l’exception, ces fichiers policiers et “enquêtes administratives de moralité” font de tous ceux qui y sont fichés autant de “présumés suspects”.

Une logique ubuesque

Problème supplémentaire : contrairement au casier judiciaire, qui répertorie les personnes ayant été condamnées, les fichiers policiers qui sont utilisés pour ces “enquêtes administratives de moralité” recensent victimes & suspects. La moitié des Français y sont fichés. Et ils sont truffés d’erreurs.

En 2001, la CNIL rapportait ainsi que 25% des fichiers qu’elle avait été amenée à contrôler étaient “inexacts, incomplets ou périmés“. En 2008, le taux d’erreur est de 83% !

Or, et à en croire ce qu’explique MAM à nos parlementaires, Edvige (renommé Edvirsp, pour “Exploitation documentaire et de la valorisation de l’information relative à la sécurité publique”, ce qui est déjà bien moins sexy) servira donc aussi à effectuer les “enquêtes administratives de moralité“.

090301_edvigeCe qui fait bondir Virginie Gautron, maître de conférences à la faculté de droit de Nantes :

« La possibilité d’utiliser ces données pour des enquêtes de moralité pose de très graves questions. La CNIL dénonce de longue date l’utilisation des fichiers policiers comme casier judiciaire parallèle, et ce au mépris de la présomption d’innocence.

Cette situation ne pourra que s’aggraver avec la consultation d’Edvige. Les enquêtes de moralité ne s’effectueront plus sur la seule base de faits délinquants supposés, mais de comportements « susceptibles » de troubler l’ordre public ou, pire encore, d’affiliations partisanes, religieuses ou syndicales.

Des militants syndicaux et politiques, voire même des personnes périodiquement présentes dans telle ou telle manifestation, ne risquent-ils pas, dès lors que leurs engagements ne correspondraient pas à la ligne politique du pouvoir en place, d’être privés d’accès à la magistrature ou aux autres missions de souveraineté ? »

Dit autrement : jusqu’alors, le million de salariés dont l’emploi dépend d’une “enquête administrative de moralité” (plus tous ceux qui veulent acquérir la nationalité française, obtenir ou renouveler leurs titres de séjour, ou encore… la Légion d’honneur), ne risquaient “que” d’être “suspectés”, à tort ou à raison, de “comportements” contraire “à l’honneur” ou aux “bonnes moeurs”…

Aujourd’hui, ils risquent aussi de se voir reprocher d’avoir été repérés par les services de renseignement comme “potentiellement” délinquants, ou parce qu’ils ont manifesté, ou exprimé leur opposition aux désidératas du gouvernement.

Ce qu’on appelle un délit d’opinion qui, a priori, n’existe pourtant pas en démocratie.

En résumé, et après les détecteurs de mensonge, en matière de recrutement, il faudra aussi désormais apprendre à gérer, et se méfier, des services de renseignement.