Interconnexion des fichiers et utilisation du NIR :
Cinq questions pour contribuer au débat

Colloque de l'Union des jeunes avocats (UJA) - Paris le 26 avril 2000
L'anonymat dans la société de l'inform@ation : fichage et démocratie, où en sont nos libertés ?

D’OÙ PARTONS-NOUS ?
VINGT ANS APRÈS, QUEL EST LE DÉCOR ?
COMMENT EN SOMMES NOUS ARRIVÉS LÀ ?
FAUT-IL SE RESSAISIR ?
QUELLES MESURES PROPOSER ?
Le Data Matching Agency à la française (Service d'appariement des fichiers ?)

1. D’OÙ PARTONS-NOUS ?

1.1. Dès 1971, le président René Cassin, rédacteur de la déclaration universelle des droits de l’Homme de 1948 avait mis en garde contre le phénomène d’accumulation des données que permettait l’ordinateur. Il fallut cependant pour qu’une action soit entreprise par l’Etat l’émotion suscitée par le projet SAFARI, (rassemblement des bases de données de l’administration autour du NIR) relayée par la connaissance au cours de l’instruction des rapports Chenot et Tricot de ce qu’avant nous, en 1972, 73 et 74, la Suède, le land de Hesse en Allemagne, et les États-Unis au niveau fédéral, avaient voté des lois de protection des données personnelles contre les abus de l’informatique, des Privacy laws.

1.2. A notre tour, en France, nous adoptons une loi, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dont je dégagerai deux traits pour le sujet qui nous occupe :

- cette loi n’interdit pas les interconnexions puisqu’aussi bien celles-ci sont expressément citées dans la définition du traitement que donne l’article 5 de cette loi, au même titre que d’autres opérations comme la collecte, l’enregistrement, la mise en relation, les rapprochements et même la destruction. Alors que c’est précisément l’interconnexion des grands fichiers administratifs qui est à l’origine de cette législation, aucune des dispositions alors prises ne cherche à encadrer ces interconnexions par une énumération des usages légaux de cette opération.

On aurait pu le faire plus tard, à l’exemple des Etats-Unis, qui ont modifié en 1988 leur Privacy Act de 1974 pour autoriser les interconnexions à des fins de lutte contre la fraude aux avantages sociaux, ou l’Australie en 1990 par modification de son Privacy Act de 1988. (La Nouvelle-Zélande voisine, qu’on rapproche souvent de sa grande soeur australienne, a traité, elle, le problème de l’interconnexion, dès le texte d’origine de protection de la vie privée de 1993). La Grande-Bretagne, pour sa part, a, en 1997, voté une modification de sa loi de base de 1984 toujours pour autoriser les interconnexions de fichiers mais seulement à des fins de lutte contre la fraude aux avantages sociaux. Sur quelques uns de ces points, et d’autres concernant le Portugal, les Pays-Bas et l’Allemagne, on trouvera des détails utiles dans l’étude de législation comparée menée au Sénat en juin 1999.

- la loi de 1978 traite la question de l’interconnexion indirectement, non sur le terrain de la finalité, mais par le biais de l’outil, du moins de l’un des outils privilégiés de l’interconnexion, à savoir le NIR. Ainsi, avec la disposition de l’article 18, va-t-elle réserver un sort particulier au NIR, en traitant de l’utilisation du RNIPP (répertoire d’identification des personnes physiques tenu par l’INSEE) dont fait partie le NIR. Mais encore le fait-elle timidement par rapport à une approche de fond qui aurait ciblé la finalité, et lui préfère-t-elle une approche de procédure : les utilisations du NIR doivent être autorisées par décret en Conseil d’Etat, après avis de la CNIL, -avis simple et non conforme-, la procédure en Conseil d’Etat étant alors regardée comme une garantie pour les libertés par rapport à l’arrêté qui de manière courante est l’acte réglementaire créateur des traitements informatiques dans le secteur public, acte inférieur au décret dans la hiérarchie de la norme juridique. C’est donc par la maîtrise de l’outil que le législateur français de 1978 espère encadrer les interconnexions et répondre au trouble suscité par le projet SAFARI. Ainsi est-ce un dispositif relativement pauvre que met en oeuvre la loi de 1978 pour répondre aux attentes d’une opinion publique à l’époque inquiète des conséquences que les interconnexions de fichiers administratifs pourraient faire courir aux libertés.

Dans ce contexte, encore une fois timide, il n’est quand même pas tout à fait inutile de rappeler que l’article premier de la loi de 1978 a cité " l’identité humaine" au nombre des valeurs auxquelles l’informatique ne devait pas porter atteinte, les autres valeurs nous étant plus familières : "...les droits de l’homme, la vie privée, les libertés individuelles ou publiques", - ce concept d’identité humaine étant une évocation de l’univers terrible des camps de concentration où on voulait détruire les prisonniers, détruire leur identité en substituant un numéro à leur nom patronymique.

2. VINGT ANS APRÈS, QUEL EST LE DÉCOR ?

Quel est, en somme, le bilan de la CNIL ?

2.1 La doctrine de la CNIL :

A partir d’une loi dont on vient de souligner les limites, la CNIL a très vite élaboré une doctrine qui donne un peu de chaire au dispositif législatif. Elle le fait en deux temps :

2.1.1 Dès le mois de juin 1981, elle ouvre le dossier du RNIPP à propos de la gestion informatisée de ce traitement. Elle indique dans son avis, préalable à l’examen du Conseil d’Etat (décret du 22 janvier 1982) que le RNIPP devait fonctionner comme un "répertoire mètre-étalon" auquel il serait possible de se référer pour vérifier l’authenticité des informations d’état-civil puisées auprès des registres d’état-civil tenus dans les mairies, et, par là, écarter les risques d’erreurs ou d’homonymie. En revanche, elle émet un avis défavorable à l’utilisation du RNIPP comme répertoire de base à partir duquel serait diffusé un identifiant national universel, ou si l’on préfère un matricule, appelé à se substituer au nom de la personne. Le texte du décret adopté par le Conseil d’Etat, va préciser que le NIR "ne peut servir à des fins de recherche des personnes".

2.1.2 Après une longue enquête auprès des administrations et des entreprises, ( j’ai en tête le chiffre de 400 entités interrogées), la CNIL produit, le 29 novembre 1983, une délibération concernant la consultation du RNIPP et l’utilisation du NIR au terme d’une démarche que l’on peut ainsi résumer : certes, le RNIPP est "un instrument fondamental de l’état-civil en France, destiné en particulier à lever les doutes sur les homonymies", et le NIR (qui est, à vrai dire, un codage partiel de l’état-civil, -sexe, date de naissance, lieu de naissance) risquerait, s’il était généralisé, de devenir l’"identifiant national". Il y a donc lieu, c’est implicite dans le raisonnement de la CNIL, de limiter les tendances à l’expansion de ce numéro comme identifiant. Toutefois, on ne peut rejeter, c’est la CNIL qui poursuit, un certain réalisme et faire table rase de l’existant ; ainsi y a-t-il lieu de constater que le NIR a été utilisé d’emblée par la plupart des organismes de sécurité sociale, comme identifiant de gestion des dossiers des bénéficiaires des prestations sociales. Sans doute par rapport au principe qui vient d’être posé (certifier les identités), c’est une extension de finalité. Mais on ne peut remettre en cause cette utilisation, "sauf à entraîner de graves perturbations dans le fonctionnement du régime de protection sociale". Alors on va tenter de borner cette extension : "la tendance à la généralisation de l’emploi du NIR ne saurait être justifiée ni par la nécessité de résoudre les difficultés s’attachant à la conception des traitements, ni par le souci de faciliter les interconnexions de fichiers que le législateur a, au contraire, voulu limiter". En conséquence, l’emploi de cet identifiant ne sera ni systématique ni généralisé et les responsables de la conception d’applications informatiques devront "se doter d’identifiants diversifiés et adaptés à leurs besoins".

Voilà le schéma mis en place en 78-83. Malheureusement, la CNIL n’est pas une juridiction, elle ne donne que des avis.

2.2 Aujourd’hui, dans les premiers jours de l’année 2000, nous constatons que, par rapport à la ligne fixée en 1983, après quelques succès, (la position de M. Fabius en 1982, qu’on va voir dans un instant, l’obligation imposée par la CNIL à l’Education Nationale de fabriquer un numéro spécial pour la gestion de ses personnels, le NUMEN), les défenses commencent à céder :

2.2.1 Très évidemment, la date majeure de cette première dégradation est, à la fin de l’année 1998, le vote par le Parlement de la loi de finances pour 1999 et l’autorisation accordée par le Parlement à la DGI d’utiliser le NIR dans ses fichiers, alors que ceci avait pu jusque là être évité, -M. Fabius, en 1982 avait demandé le NIR pour l’administration fiscale puis y avait renoncé -, se contentant alors d’un identifiant fiscal propre, le SPI, tout à fait dans la ligne de ce qu’allait préconiser peu après la CNIL. La montée en charge de l’identifiant fiscal, le SPI, est lente, la CNIL rappelant cette administration à son obligation, -se doter d’un identifiant propre. La DGI revient à la charge en 1998 auprès du Parlement pour avoir le NIR, et l’obtient, en même temps que sont autorisées les interconnexions entre les fichiers de la sécurité sociale et du fisc, -c’est l’article 107 de la loi de finances pour 1999-. A l’évidence embarrassé, le Conseil Constitutionnel a admis la constitutionnalité de la mesure ainsi votée au prix d’une interprétation restrictive du texte de l’article 107, c’est la technique dite de l’interprétation neutralisante souvent adoptée par le Conseil Constitutionnel. En l’occurrence, le Conseil Constitutionnel, d’une part précise que le NIR ne doit servir qu’à éviter les erreurs d’identité, ce qui est un retour à la bonne doctrine de la CNIL de 1983, d’autre part relève que des garanties suffisantes sont apportées par le législateur (rappel du secret professionnel auquel sont soumis les agents des directions du ministère des finances, et possibilité pour la CNIL de demander la destruction des fichiers fiscaux contenant le NIR lorsque la mise en oeuvre du droit de communication permis par le livre des procédures fiscales "s’avère susceptible de porter une atteinte grave et immédiate aux droits et libertés visés" par la loi de 1978 dite informatique et libertés.

On sait qu’exploitant pour le mieux cette décision du Conseil Constitutionnel, la CNIL pour l’heure, a pu limiter les dégâts, en contraignant le ministère des finances à cantonner le NIR dans certains de ses fichiers, à ne pas l’utiliser pour gérer les dossiers des contribuables et à exhumer le SPI pour ses rapports avec les contribuables.

Il n’empêche, le NIR est désormais installé dans les fichiers informatiques de la direction générale des impôts.

2.2.2 Une excellente étude de la CNIL de janvier 2000 intitulée "Rapport d’ensemble relatif à l’utilisation du NIR dans la sphère sociale", dont on peut espérer que l’essentiel sera reversé dans le rapport annuel de l’an 2000, montre qu’à partir de l’utilisation du NIR comme "N° de sécu", le NIR a diffusé dans une sphère assez large. Non seulement la sécurité sociale, comme l’a admis la CNIL en 1983, et ce sont alors les régularisations de l’année 1985 et quelques régularisations ultérieures au fur et à mesure de la création de systèmes particuliers de protection sociale, pas loin d’une dizaine- par exemple le RMI en 1988, (p.5 et 6 de ce rapport), c’est aussi, et là on commence à sortir de la logique de la régularisation, l’autorisation donnée aux employeurs, qui financent ces régimes par leurs cotisations, d’utiliser le NIR dans les traitements de la paie, puis de la gestion des personnels ; c’est, plus récemment, la même autorisation donnée pour fiabiliser les traitements statistiques ou de recherche des données rassemblées dans "la sphère sociale", par des organismes qui disposaient d’ailleurs déjà du NIR.

Pour des orthodoxes, cette finalité n’est pas tout à fait dans la ligne de ce qu’a autorisé le Conseil Constitutionnel.

On ne peut donc s’empêcher de craindre le retour d’une certaine extension de l’utilisation du NIR à d’autres finalités que celle de la vérification de l’identité des personnes : c’est la diffusion de proche en proche du NIR, le "petit doigt dans l’engrenage", "le fil en aiguille", sans doute moins préoccupant que la position plus franche prise par le Parlement à la fin de 1999, mais quand même une extension de finalité par rapport à la position de départ définie en 1983, et peut-être plus encore par le Conseil Constitutionnel dans sa décision du 29 décembre 1999 sur le projet de loi de finances pour 1999. Car, en effet, qu’est-ce que "la sphère sociale", quels en sont les contours ? quand l’action sociale est désormais reversée, en dehors de quelques organismes nationaux qui gèrent le remboursement des prestations, dans la compétence des collectivités locales pour la distribution, la dépense de ces prestations, n’avons-nous pas là ouvert une voie d’eau ?

Le "Welfare State" produit inévitablement, dit en substance Habermas, une "société de surveillance". C’est dire que, globalement, à partir de la sphère sociale, une bonne partie des relations des personnes vivant en France va se trouver concernée par le NIR qui finira par s’imposer de fait.

3. COMMENT EN SOMMES NOUS ARRIVÉS LÀ ?

3.1. L’indifférence du public :

- l’informatique est irrésistible, c’est la condition de la modernisation. Combien de gens ne pensent-ils d’ailleurs pas que le NIR est généralisé dans l’administration et au-delà, sans s’en offusquer, qui seraient surpris qu’on leur annonce que le NIR est légalement cantonné à certains usages ? Combien estiment-ils au surplus qu’ils n’ont rien à cacher, qu’ils sont de bons citoyens en règle avec leurs administrations, et que la diffusion de ce marqueur ne les gêne pas, pas plus d’ailleurs que les interconnexions ?

- comparée à d’autres techniques nouvelles, l’informatique n’est qu’un moindre danger : le nucléaire, les biotechnologies avec notamment les manipulations génétiques, inquiètent bien davantage.

- peu de personnes voient les dangers potentiels du NIR : peut-être n’avons-nous pas su les rendre sensibles à ces dangers. La technicité de la matière rebute ; nous n’avons pas su expliquer en quoi le NIR avec ses attributs signifiants ( le codage de certains éléments de l’état-civil) est plus dangereux qu’un numéro ordinaire, en ce qu’il permet de procéder à des sélections assez fines sur des populations, tenant compte du sexe, de l’origine, de l’âge. Nous n’avons pas su expliquer que ce numéro, par sa structure et sa sémantique, s’il était signifiant, était aussi, de ce fait manipulable, ainsi que l’avait montré l’usage qu’on prévoyait d’en faire pendant l’occupation, (la première position de mémoire réservée au sexe, 1, pour les hommes et 2 pour les femmes, pouvant prendre d’autres valeurs - des numéros 5, 6 7, 8 pour désigner des hommes et des femmes juifs, étrangers, à statut spécial, comme peut-être les gitans). Ainsi que, plus près de nous, le montre encore la décision du précédent Premier ministre, déférent aux supplications des pieds noirs, dont la fibre patriotique est certaine et qui se trouvaient affectés par le n° 99, qui marque, dans la configuration de leur NIR, donc de leur N° de sécu, une naissance à l’étranger, susceptible d’alimenter au guichet toutes les suspicions. Des instructions viennent d’être données pour remplacer ce N° par un numéro d’allure métropolitaine, -91, 92, 93.

Quant au risque d’atteinte à l’identité humaine, expressément visé par l’article inaugural de la loi de 1978, malgré l’éloquence et la conviction de quelques uns, il ne trouve malheureusement d’écho que chez ceux qui, de moins en moins nombreux, ont été victimes des pratiques nazies.

Le corps social est résigné, voire même consentant, et demandeur de plus d’informatique encore, notamment pour, pense-t-il, se simplifier la vie.

Ce n’est pas que la presse écrite, parfois audiovisuelle, néglige le sujet ; mais les indignations ou les inquiétudes ou les étonnements de l’opinion restent ponctuelles, sans construire de mouvement durable. De temps à autre, l’actualité rend service aux tenants du respect de la vie privée, par exemple, il y a quelques années dans le cas de l’affaire Melnik (un député proche de B. Tapie avait fait un faux témoignage, il avait pu être confondu par la trace de son passage à une heure où il avait juré être ailleurs, trace laissée par sa carte bancaire à un distributeur d’autoroute et on avait pu aussitôt entendre : "Mais alors ! Que fait la CNIL ?" Ou bien, lorsque le cookie a été révélé, sur Internet, le média à la mode, etc...

3.2 La complicité de la technique :

Au temps de Safari, avant 1980, les fichiers étaient physiquement éloignés les uns des autres, exploités sur des supports différents, avec des formats différents qui rendaient difficiles leur appariement. L’interconnexion des fichiers était une opération physique, laborieuse, décourageante.

Depuis vingt ans, des progrès ont été accomplis parmi lesquels ont doit citer :

- les logiciels de bases de données qui rendent l’interconnexion facile : le programmeur a le pouvoir de décider si logiquement les différents fichiers restent séparés ou non. En moins d’une seconde, à partir d’un élément commun, il peut rassembler plusieurs fichiers en un seul traitement, sans même avoir à procéder à une fusion de fichiers au sens physique du terme.

- les réseaux : d’une part de plus en plus rapides, à débits de plus en plus élevés ; d’autre part, munis de logiciels permettant, vus du programmeur, de constituer un seul fichier à partir de fichiers physiquement répartis sur le réseau.

La combinaison des bases de données et des réseaux (bases de données réparties) est au point depuis une dizaine d’années.

Le data mining (entrepôt de données en vrac) est facilité par cette technologie, qui permet de tout interconnecter pour précisément découvrir des relations insoupçonnées entre les données.

- les capacités de stockage sont en augmentation constante. A l’heure actuelle, on commence par stocker, après et après seulement, on regarde, on trie, on formatte, on dégage des relations (cf. Plus haut le data mining)...

- les capteurs se multiplient multipliant ainsi la masse des informations personnelles susceptibles d’être saisies, exploitées, mises en relation, etc... et quant à la quantité et quant à la nature de ces données numériques (images, voix, autant que textes).Trois domaines sont privilégiés dans cette ouverture au multimédia, tous trois concernant de très près la vie privée : la médecine, le transport intelligent, le commerce électronique.

3.3 Les "bonnes raisons" :

A la fois pour justifier l’interconnexion et le recours au NIR, inséparable maintenant de l’interconnexion : au nom de la rationalité de l’action administrative, le gestionnaire actionne le politique, qui mobilise le juriste pour trouver le langage approprié ; tous convergent vers le même discours.

Sont invoquées,- et comment ne pas y succomber ?- , l’efficacité ; la sécurité de tous ; la logique,- ou pour être plus clair les conséquences logiques de positions antérieurement prises, le précédent, l’analogie ; le service du citoyen, - la simplification des procédures administratives, l’utilisation des informations déjà demandées, finalement le guichet unique dont on ne voit pas comment il résisterait à la tentation d'installer en amont une base de données unique, et pourquoi pas, demain, la carte multiservice tous secteurs confondus.

Arrêtons-nous un instant sur une utilisation envisagée de la carte à microprocesseur que l’on voit se profiler, poussée par les initiatives d’harmonisation européennes, comme support multiusages de nos données.

Il n’y a pas si longtemps, le projet d’un permis de conduire européen semble avoir été présenté au Parlement européen et n’avoir été arrêté que grâce à la vigilance du comité économique et social de cette instance : il y aurait eu sur ce support unique, des informations relatives au permis de conduire, des informations de caractère judiciaire ou pénal relatives au permis à points, des informations pour faire face éventuellement à un accident (santé : allergies, rhésus et administratives : n° de sécurité sociale), un porte-monnaie électronique pour prendre de l’essence.

Plus récemment, la presse anglo-saxonne, en l’occurrence le Financial Times, a présenté la carte finlandaise : très orientée vers la certification nécessaire de l’identité du client engagé dans une négociation commerciale sur Internet, cette carte comportera non seulement la signature et certaines informations sur l’état civil de son propriétaire, parmi lesquelles la date de naissance et la nationalité, mais aussi la photographie numérisée. Ce sera la nouvelle carte d’identité du citoyen finlandais délivrée par l’équivalent de l’INSEE en Finlande ; elle se substituera au passeport ; elle permettra, en Finlande où la domiciliation est, à la différence de la France, obligatoire, de procéder en ligne à son changement d’adresse à la police ; elle permettra de payer sur Internet ; elle donnera accès aux services publics locaux : bibliothèque, transport, services de protection infantile, loisirs, et sera munie d’un porte-monnaie électronique.

Comme il serait, en effet, commode, que nous n’ayons qu’une carte dans notre poche, portant toutes nos données les plus courantes, et plus encore, que cette carte devienne de fait notre carte nationale : la preuve de notre identité, nos allergies, notre n° de carte bancaire, notre n° d’assurance, notre n° de sécu, notre permis de conduire, le n° d’immatriculation de notre voiture... La facilité d’utilisation d’un support unique, l’exemple de l’un des Etats européens regardés comme le plus avancé dans l’apprentissage des nouvelles technologies, le prétexte de l’Europe qui est désormais notre horizon, qui résistera à toutes ces séductions ?

4. FAUT-IL SE RESSAISIR ?

Il faut nous souvenir que l’informatique est un outil puissant, très puissant.

Il faut nous souvenir que le NIR est un outil potentiellement dangereux, en raison de son caractère signifiant et manipulable, comme le montrent et le passé et le présent.

Il faut nous souvenir qu’il vaut mieux prévoir que redresser.

Bien entendu, il serait possible de faire l’inventaire de toutes les dérives possibles de l’informatique (capture des données à l’insu des personnes, établissement de traitements sur des données sensibles, difficultés de faire rectifier une information inexacte ou conservée au-delà de ce qui est nécessaire).

Nous ciblerons néanmoins sur les risques des interconnexions et le recours au NIR, que beaucoup réclament en raison de son extrême fiabilité comme moyen d’identification.

Le risque d’accumulation des données pour les mêmes personnes dénoncé par le Président Cassin, il y a 30, ans perdure.

Il faut y ajouter le risque, souligné avec une perspicacité particulière par les anglo-saxons : celui que ne soit brouillée la frontière entre les compétences des autorités qui contribuent à la constitution de la base commune. Que restera-t-il des compétences respectives des autorités publiques auxquelles nous veillons avec un soin particulier, du principe de spécialité des établissements publics lorsque les bases de données auront été couplées ? Est-ce que les notions non seulement de finalité, qui est un principe de base dans la protection des données personnelles, mais aussi de caractère adéquat, pertinent et non excessif des données, de durée de la conservation des données au regard de la finalité initiale, du partage des données limité à des destinataires autorisés, qui sont les trois corollaires du principe de finalité, comme du principe de proportionnalité, d’application plus générale, ne risqueront-elles pas de se dissoudre dans une base de données cumulant par interconnexion des données de sources différentes ? Et lorsque nous nous présenterons au guichet de la maison commune, qui sera munie d’un accès à tous nos fichiers derrière sa vitre, à qui parlerons nous ? à un agent du fisc, un travailleur social, un policier ? Est-ce heureux pour l’image de l’Etat que cette confusion des rôles ? Le secret professionnel dont nous faisons tant de cas ne sera-t-il pas une protection dérisoire ?

Il y a, dans cette énumération, de quoi troubler le juriste, interpeller les gardiens de l’éthique, ouvrir les yeux du citoyen et peut-être donner mauvaise conscience à certains de nos politiques.

Et conclure qu’en somme, de toutes les opérations informatiques, l’interconnexion des fichiers est celle qui, dans l’imaginaire de tout un chacun, renvoie le plus à l’image d’un Etat policier, totalitaire, qui dispose de toutes les informations sur chaque citoyen pour le soumettre à ses desseins, image que nous ne voulons certainement pas voir s’installer dans notre pays.

5. QUELLES MESURES PROPOSER ?

Nous ne sommes pas sans ressources : nous pouvons à la fois regarder vers nos partenaires, en Europe ou ailleurs, et engranger le résultat des dernières décisions du Conseil Constitutionnel.

Le Conseil Constitutionnel, d’abord, nous aidera à mobiliser les acquis du droit, car depuis cinq ans des enjambées ont été faites dans la matière qui nous concerne.

- en premier lieu le Conseil a admis, depuis 1995 dans sa décision sur la loi relative à la vidéo-surveillance, que le droit à la vie privée était constitutionnellement garanti ; même si les rédactions du Conseil ont été quelque peu flottantes sur le fondement retenu, pour imposer cette solution : le Conseil, dans un premier mouvement avait trouvé ce fondement dans l’article 66 de la Constitution de 1958, puis il a redressé ce point, dans ses dernières décisions de 1999 sur la CMU et sur le PACS, en le dégageant de l’article 2 de la Déclaration de 1789 sur les droits naturels et imprescriptibles de l’Homme. Mais peu importe cette hésitation, l’essentiel est dans la reconnaissance que les principes contenus dans la loi de 1978 font partie du socle des droits constitutionnellement garantis.

- en second lieu, les deux juridictions siégeant au Palais-Royal, interprètent de plus en plus comme relevant de la compétence du législateur définie par l’article 34 de la Constitution, "les garanties fondamentales" accordées aux citoyens pour l’exercice des libertés publiques. Ainsi le Conseil Constitutionnel a estimé que le principe de publicité du PACS était du domaine de la loi (décision du 9 novembre 1999), quand l’année précédente, (décision d’Assemblée plénière du contentieux du 3 juillet 1998), le Conseil d’Etat avait déjà jugé, lors de l’examen du recours dirigé contre l’ordonnance Juppé du 24 avril 1996 relative au volet santé de la carte santé, qu’était du domaine de la loi et non d’un décret d’application, "le mode de consentement du patient à l’enregistrement de ses données sur la carte Sésam-Vitale, le délai de conservation de ses données sur la carte et la possibilité d’en demander la suppression". La loi devient l’acte fondamental, tandis que le décret doit se limiter à réglementer les modalités d’application purement techniques.

Ce toute jeune tournant jurisprudentiel, sauf revirement, nous ouvre un espace pour enrichir le contenu de la loi de 1978.

Quant à nos partenaires, surtout anglo-saxons-, ils ont pris très au sérieux les interconnexions de fichiers, et ont tenu à descendre, pour les encadre, dans un détail qui relèverait en France de la simple note de service. Certains, - l’Australie- ont même imaginé un tiers de confiance extérieur aux services dont les fichiers étaient mis en relation, pour procéder aux interconnexions autorisées par leur loi. On y reviendra.

Quelles questions se poser ?

5.1 Faut-il se poser la question de la refonte du NIR, pour le purger de son caractère signifiant, dont on a vu qu’il pouvait être dangereux (risque de sélections fines, risques de manipulation par modification de la valeur des variables qu’il contient pour coder l’état-civil).

On se doute qu’une suggestion aussi iconoclaste suscitera une opposition farouche. On se bornera donc à mentionner les arguments que certains pourraient entendre et qui sont les suivants :

- de tous les identifiants européens le NIR français est le plus signifiant, selon une étude menée il y a quelques années par le Conseil de l’Europe ;

- nos collègues hollandais ont affirmé, à la Conférence de Bruxelles tenue en 1998 lors de l’anniversaire de la Déclaration universelle des droits de l’Homme, que, pour leur part, ils n’avaient admis les interconnexions à l’aide de l’identifiant, qu’après avoir substitué à l’identifiant qu’ils avaient construit à la veille de la guerre de 1939, et qui ressemblait au nôtre, un numéro aléatoire, sans aucune signification. Pour eux, l’"anonymisation" de l’identifiant est une condition préalable absolue à toute interconnexion. Nos voisins britanniques ont également remanié leur identifiant pou y supprimer un code révélateur du lieu de naissance ;

- le NIR n’est encore en usage que dans la sphère sociale, même si celle-ci est vaste et mal définie, ainsi que, depuis peu, dans les fichiers fiscaux pour une finalité qui devrait contraindre le ministère à le gérer sur un seul site, ce qui en facilite le maniement ;

- le NIR que nous connaissons à l’heure actuelle en France n’est encore, pour la sécurité sociale, qu’un NIR famille, donc limité dans sa diffusion, et non un NIR individu. Ce dernier, le NIR individu n’est pas encore déployé. Ne doit-on pas profiter de cette occasion pour "anonymiser" nous aussi notre NIR ?

5.2 Ne faut-il pas graver dans le marbre de la loi de transposition la finalité du NIR, à plus forte raison s’il ne bougeait pas dans sa structure, finalité telle que l’avait dégagée la CNIL en 1981, et que l’a confirmée le Conseil Constitutionnel dans sa décision du 29 décembre 1998, lorsqu’il a fixé la portée de l’article 107 de la loi de finances pour 1999 : servir uniquement à éviter les erreurs d’identité sur les personnes.

L’article 18 de la loi, qui n’est pour l’heure qu’un article de procédure, devrait reprendre cette finalité, étant entendu que le principe de finalité était à peine évoqué dans la loi de 1978 et qu’il n’est devenu un principe cardinal de la protection des données que dans des textes ultérieurs : convention de 1981 du Conseil de l’Europe, législations européennes, directive de 1995. En dehors de cette finalité de vérification ou de certification de l’état-civil, le NIR ne pourrait pas permettre de gérer des dossiers, de faciliter des interconnexions, de procéder à des sélection fondées sur le sexe, l’âge et l’origine géographique, de tirer des statistiques, etc...

A tout le moins, il serait judicieux d'interdire, notamment, d'interdire, notamment, les traitements permettant des sélections de populations à partir d'un ou des éléments d'information codés entrant dans la composition du NIR.

5.3 Ne faut-il pas conduire les opérations de vérification d’identité des personnes dont les informations font l’objet d’un traitement informatique et qui recourent au NIR, en dehors du service, dans un lieu neutre dont le rôle sera de tenir la table de correspondance entre ces données personnelles, un autre identifiant et le NIR. Si le service estime qu’il ne peut se passer pour gérer la population de ses adhérents d’un numéro, ce numéro sera donné par ce tiers. En France ce rôle intermédiaire peut être tenu par l’INSEE qui gère le RNIPP ou par un autre service à créer. N’est-ce pas d’ailleurs ce qu’a fait déjà la sécurité sociale lorsqu’elle a créé son propre fichier, le RNIAM. (Répertoire national interrégimes de l’assurance maladie).

On soulignera ici, pour le déplorer, qu’autorisée par la loi de finances à utiliser le NIR pour écarter les erreurs d’identité, la DGI tient dans ses services la boîte de correspondance dont on vient de parler. Elle ne s’en est pas remise à un tiers.

5.4 Ne faut-il pas réaffirmer dans la loi future la doctrine de 1983 élaborée par la CNIL (un identifiant distinct par secteur) qui a été un peu perdue de vue.

Et surtout depuis que le législateur de 1999 a lâché le NIR au fisc, il semble impératif de revenir à cette doctrine qui permettra, entre autres, de lutter contre la dissémination du NIR.

Disposer dans la loi de 1978 remaniée, le principe de l’interdiction d’un identifiant unique (on rappelle qu’en Allemagne l’identifiant unique est considéré comme anticonstitutionnel), devrait être la matière d’un article spécial, distinct de celui concernant le NIR dont la finalité aura été, par ailleurs, limitée.

Refuser le NIR aux responsables de ministères qui demandent ou font demander le NIR pour leur compte par des intermédiaires complaisants ne serait qu’une application de ce principe :

- la santé, on rappellera que l’identifiant permanent du patient (IPP) ou le N° national de santé (NNS) dont certains lui verraient bien prendre la forme du NIR. Sur ce point particulier, on imagine l’aubaine que pourrait être, pour les firmes qui cherchent à se placer sur le marché de la santé, le rassemblement, autour du NIR, des données fiscales, de sécurité sociale et de santé des personnes vivant dans notre pays. En outre, dans la sphère de la santé plus que dans aucun autre domaine, le caractère signifiant du NIR est ici dangereux, par les tris qu’il facilite sur le sexe, l’origine géographique et surtout l’âge.

- l’intérieur, chargé d’établir nos cartes d’identité (proposition d’un député M. Moyne-Bressand enregistrée le 9 juin 1998 à la Présidence de l’Assemblée Nationale pour "compléter par le NIR les mentions figurant sur la carte nationale d’identité").

- l’éducation nationale qui voudrait mener des études sur des cohortes d’élèves pour mesurer l’effet des politiques publiques.

5.5 N’y a-t-il pas lieu de traiter maintenant dans la loi les biométriques qui sont une alternative aux numéros pour l’identification des personnes ? Le recours à l’ADN, aux empreintes digitales, à la rétine, à la paume de la main peut-être, passent tous par l’étape de la codification numérique et sont par conséquent directement exploitables par l’ordinateur, en tant qu’identifiants.

Maintenant que des produits les mettant en oeuvre sont disponibles en magasin, ils devraient faire l’objet d’une étude concluant sur quelques principes d’utilisation. D'autres pays ont déjà fait cet effort : la Grande-Bretagne, la province d'Ontario au Canada, au moins.

5.6 Faut-il demander au législateur de définir la finalité de l’interconnexion ?

Le Conseil constitutionnel : par une décision 83-164 du 29 décembre 1983 le C.C a déjà relevé que "l"exercice des libertés et droits individuels ne saurait en rien excuser la fraude fiscale ni entraver sa légitime répression". La lutte contre la fraude fiscale et la fraude aux prestations sociales (par extension), semble à tout coup légitimer une telle finalité. Et c’est ce qu’ont admis aussi les anglo-saxons, on l’a déjà vu. La finalité, pour tenir compte de ce qui a été décidé pour la recherche des auteurs de crimes sexuels avec le vote récent du fichier des empreintes génétiques, devrait d'ailleurs englober, dans une expression plus générale, la recherche des auteurs de faits punis par la loi.

Reconnaître dans la loi la légitimité de cette finalité conduirait, en vertu de ce qui a été dit plus haut sur la répartition entre la loi et le règlement, à définir les garanties à apporter dans une telle hypothèse aux personnes vivant en France.

Parmi ces garanties, disons tout de suite qu’il serait bon d’adopter un dispositif faisant appel à un tiers de confiance pour procéder aux interconnexions autorisées par le législateur. On retrouve le Data Matching Agency mis en place en Australie et dont on a parlé plus haut au paragraphe 3 (voir en annexe une note sur ce DMA).

Faut-il admettre d’autres finalités ?

Par exemple pour la fiabilité des statistiques (lutte contre le risque de compter deux fois la même personne) ? Est-ce que la conciliation nécessaire entre qualité des statistiques et protection de la vie privée est de même intérêt public que la lutte contre les infractions susceptibles de conduire à des condamnations pour crimes ou délits. ? La CNIL semble l’avoir admis tout récemment, mais n’a-t-elle pas admis cette finalité parce que le NIR était déjà dans ces fichiers ? On peut argumenter en soutenant qu’il s’agit d’une finalité qui n’est pas incompatible (termes de la directive) avec la finalité d’origine. Mais l’admettrait-on pour croiser, à des fins statistiques, des traitements à l’extérieur de la sphère sociale ?

C’est la loi de 1978 même qu’il faudrait enrichir sur la finalité des interconnexions, à l’occasion de la transposition, plutôt que de reproduire sans aucune retouche le texte d’origine.

On remarquera que, dans un contexte juridique d’inspiration il est vrai fort différente, la finalité statistique pour justifier des opérations d’interconnexion avec un identifiant a pu être écartée, explicitement par la loi américaine de 1988 déjà mentionnée sur les interconnexions et implicitement, étant donné le nombre maximum annuel d’opérations d’interconnexions autorisé, par les lois australienne et néo-zélandaise.

5.7 Ne faut-il pas élargir ici notre horizon à deux ou trois questions qui touchent, de loin il est vrai, à l’interconnexion des fichiers ?

On a déjà cité le guichet unique multisecteurs, qui suggère la base de données commune et l’identifiant national, ainsi que l’offre de la carte à microprocesseur multiservices comprenant sur le même support des données de nature et de sources différentes, comme la carte finlandaise.

Il convient, en outre de rester très vigilant sur un problème qui revient de manière récurrente et qui concerne le fichier d’adresses des personnes, qu’il soit de droit ou de fait. De nombreux services publics disposent d’adresses, la DGI, la Sécurité sociale, EDF, la Poste, France Télécom. Certaines d’entre elles pourraient être tentées, surtout si elles venaient à être dérégulées ou privatisées, à tirer un parti commercial d’une ressource qu’elles avaient constituée sous statut public. Un fichier d’adresses de référence pourrait s’imposer au public sans qu’ait eu lieu le débat, escamoté depuis la Libération, sur la constitutionnalité de la domiciliation obligatoire. Ce serait fâcheux.

C’est donc un ensemble de solutions législatives, techniques et fonctionnelles qu’appelle le problème des interconnexions de fichiers ; la loi de 1978 a été trop parcimonieuse dans ses dispositions relatives à ce problème. Après vingt ans nous avons les moyens de la compléter. C’est à ce prix que nous pourrons, peut-être, continuer à nous vanter d’avoir en la matière la meilleure loi du monde, comme on l’entend proclamer ici et là.

NOTE

Le Data Matching Agency à la française (Service d'appariement des fichiers ?)

L'objet de ce nouvel organisme technique, placé sous le contrôle d'une autorité administrative indépendante, sera d'organiser les croisements entre fichiers détenus par les services publics en vue de lutter contre la fraude fiscale et aux prestations sociales, dans le cas où il serait nécessaire recourir au NIR (ou tout numéro équivalent) ou à des fichiers d'adresses pour fiabiliser le rapprochement. En fin de traitement, le NIR et les adresses utilisées ne devront pas enrichir les fichiers qui n'en disposaient pas préalablement.

Les croisements de fichiers pourront avoir un caractère nominatif mais également statistique, en vue d'évaluer une fraude.

L'activité du DMA devra être strictement encadrée :

L'activité du DMA devra s'organiser dans la plus grande transparence :

- Chaque croisement sera enregistré dans un registre public.