Fichiers de police élargis : quelles données personnelles peut-on recueillir sur vous, et par quels moyens ?

Le Conseil d'État a approuvé lundi 4 janvier l'élargissement des trois fichiers dits de « sécurité publique » (PASP, GIPASP et EASP), qui permettront notamment le fichage des opinions politiques par la police et la gendarmerie. La juridiction vient en effet de rejeter les recours contre ces derniers.

Le 2 décembre 2020, l'État, via le ministère de l'Intérieur, a publié trois décrets venant chacun modifier trois fichiers distincts, appelés « PASP », « GIPASP » et « EASP » que nous allons détailler. Ces fichiers, qui ont fait l'objet d'avis préalables de la CNIL en juin dernier, concernent pour deux d'entre eux (PASP et EASP) la police et le dernier (GIPASP), la gendarmerie. Ils leur permettent, entre autres, de procéder à une surveillance des personnes considérées comme menaçantes (PASP), pouvant porter atteinte à la sécurité publique en récoltant des informations personnelles (GIPASP), censées aidées certaines autorités dans leurs enquêtes (EASP).

Problème : l'extension de ces trois fichiers, adoubée par le Conseil d'État, provoque la colère de syndicats et associations de défense des droits humains (qui ont vu leurs requêtes en référé rejetées par la juridiction administrative le 4 janvier 2021), qui la jugent dangereuse au regard des données personnelles qui peuvent désormais être collectées. Voyons quelles sont-elles exactement et dans quelle mesure ces fichiers de police ont été élargis.

Les fiches de renseignement étendues aux personnes morales et groupements

Pour mieux comprendre les divers changements, trois décrets sont donc à distinguer. Tous sont datés du 2 décembre 2020 :

• Le décret PASP, pour « Prévention des atteintes à la sécurité publique ». Mis en œuvre par la Police nationale, il permet à la fois le recueil, la conservation et l'analyse d'informations si une personne mène une activité individuelle ou collective pouvant porter atteinte à la sécurité publique. Il englobe notamment les activités terroristes, les actions de violences collectives (en milieu urbain ou lors de manifestations sportives). Ce fichier a été créé en 2009.

• Le décret GIPASP, pour « Gestion de l'information et prévention des atteintes à la sécurité publique ». Sous la direction de la Gendarmerie nationale, il permet de recueillir, de conserver et d'analyser les informations d'une personne qui pourraient, à titre individuel ou collectif, porter atteinte à la sécurité publique. Ici, le décret vise les violences collectives (en milieu urbain ou manifestations sportives). Les similitudes entre le PASP et le GIPASP sont certaines. Elles offrent, à peu de choses près, des pouvoirs similaires étendus à la fois à la police et à la gendarmerie. Le fichier a été créé en 2011.

• Le décret EASP, pour « Enquêtes administratives liées à la sécurité publique ». Aussi mis en œuvre pour la Police nationale (direction centrale de la sécurité publique et préfecture de police), il permet de faciliter la réalisation d'enquêtes administratives par le recueil et l'exploitation d'informations qui aideront au renseignement territorial. Ce fichier fut créé en 2009, en même temps que le PASP.

Le premier changement d'importance apporté par les décrets du 2 décembre 2020, c'est l'extension des personnes ciblées par les différentes fiches qui concernent désormais les personnes physiques jugées dangereuses, mais aussi les personnes morales et les groupements.

Ici, on peut donc parler d'un fichage généralisé. Les manifestations, les associations ou même les groupes Facebook, comme le relève la Quadrature du Net, pourront être concernés. Les décrets PASP et GIPASP évoquent la possibilité pour la police et la gendarmerie d'enregistrer les données nécessaires qui concernent « les personnes physiques entretenant ou ayant entretenu des relations directes et non fortuites avec la personne morale ou le groupement pouvant porter atteinte à la sécurité publique ou à la sûreté de l’État ». La sûreté de l'État, voilà aussi une expression ajoutée par les décrets qui fait grossir encore le champ de compétences de la police et de la gendarmerie.

Les opinions politiques, le militantisme, les convictions religieuses ou l'appartenance syndicale fichés

Ce qui inquiète plus particulièrement les syndicats et associations, ce sont les éléments que les fiches de renseignement peuvent désormais comporter. Précisons encore que tout cela se fait avec l'accord du Conseil d'État et après consultation de la CNIL, la Commission national de l'informatique et des libertés, gendarme français des données personnelles.

Les décrets du 2 décembre 2020 autorisent ainsi les forces de police et de gendarmerie à inclure dans leurs fiches (si une personne porte atteinte à la sécurité publique ou à la sûreté de l'État) des éléments comme :

• les opinions politiques,
• les convictions philosophiques ou religieuses,
• l'appartenance syndicale.

Le terme « opinions » vient ici remplacer le terme « activités » employé jusqu'à maintenant. L'activité relève, en théorie, purement de faits concrets. L'opinion, elle, peut relever d'interprétations. Difficile de savoir comment ce trait pourrait être décrypté au quotidien par les forces de l'ordre.

Les informations relatives aux réseaux sociaux et les données de santé peuvent être prélevées

Parmi les autres données comprises dans ces fiches, on retrouve :

• les éléments d'identification (nom, prénoms, date et lieu de naissance, nationalité, signes physiques particuliers, photographies, documents d'identité, origine géographique),
• les coordonnées (numéros de téléphone, adresses postales et électroniques, identifiants utilisés, les adresses et lieux fréquentés),
• la situation (familiale, formations et compétences, profession et emplois occupés, moyens de déplacement, éléments patrimoniaux, etc.),
• les motifs de l'enregistrement (activités, comportement et habitudes de vie, déplacements, activités sur les réseaux sociaux, pratiques sportives, pratiques et comportements religieux),
• les facteurs de dangerosité (lien avec des groupes extrémistes, éléments ou signes de radicalisation, fiches de recherche, suites judiciaires, armes et titres afférents, etc.),
• ou encore les facteurs de fragilité (facteurs familiaux, sociaux et économiques, régime de protection, comportement auto-agressif, addictions, etc.).

Vous n'avez pas loupé les « identifiants utilisés ». Cela comprend tous les pseudonymes, sites et réseaux (sociaux ou autres) concernés et les identifiants techniques, à l'exception des mots de passe. Les photos et les commentaires sont également inscrits sur la liste. La CNIL précise que le ministère de l'Intérieur lui a indiqué que seuls les commentaires, messages, posts ou photos postés « en source ouverte », c'est-à-dire en mode public, sont collectés. Des éléments considérés comme « pertinents dans le cadre de la prévention des atteintes à la sécurité publique ou la sûreté de l'État ». Si les autorités souhaitent accéder à des informations privées, donc non-publiques, elles devront passer par les services de renseignement.

S'agissant de la photographie, le décret prévoit que « le traitement ne comporte pas de dispositif de reconnaissance faciale à partir de la photographie ». Une notion qui reste, hélas, encore floue. Car si la reconnaissance faciale semble écartée, la possibilité d'interroger des images et photographies laisse la porte ouverte à d'autres interprétations.

Autres données inquiétantes ponctionnées : les données de santé. On les retrouve notamment dans la partie « facteurs de fragilité ». Dans son avis, la CNIL elle-même reconnaît que ces informations, qui revêtent un « caractère sensible », doivent « faire l'objet d'une vigilance renforcée ». En outre, elle tente de nous rassurer en précisant que toute information est couverte par le secret médical et, qu'avant tout, ces informations-là seront fournies par les proches, la famille ou l'intéressé lui-même et non pas par un professionnel de santé.

Sources : CNIL, Le Monde, LQDN