OWNI http://owni.fr News, Augmented Tue, 17 Sep 2013 12:04:49 +0000 http://wordpress.org/?v=2.9.2 fr hourly 1 Cnil qui rit, Cnil qui pleure http://owni.fr/2012/07/11/cnil-qui-rit-cnil-qui-pleure/ http://owni.fr/2012/07/11/cnil-qui-rit-cnil-qui-pleure/#comments Wed, 11 Jul 2012 09:32:54 +0000 Sabine Blanc http://owni.fr/?p=116032

Un jour, la Cnil aura le beurre et l’argent du beurre : des missions élargies ET des moyens augmentés en conséquence. Car pour l’heure, si elle se félicite de voir son champ agrandi dans son dernier rapport d’activité (pdf), elle déplore aussi de ne pas avoir les moyens d’y faire face. Une antienne qui n’a rien de nouveau.

La Cnil court après les caméras

La Cnil court après les caméras

La CNIL compte les caméras de vidéosurveillance et ses maigres économies. Pas de quoi surveiller les surveillants et ...

En 2011, la commission chargée de veiller à l’application de la loi “Informatique et Libertés” de 1978 a récupéré deux chapitres conséquents. Comme elle l’appelait de ses vœux, la Loppsi 2 lui a confié le contrôle des caméras de vidéoprotection vidéosurveillance relevant de la loi de 1995, celles sur la voie publique.

En 2011, leur chiffre est estimé à 897 750 par les commissions départementales de la vidéoprotection. Avant, elle ne devait s’occuper que de celles relevant de la loi de 1978, c’est-à-dire dans des locaux qui ne reçoivent pas de public (bureaux par exemple).

Soit comme le calcule le secrétaire général Yann Padova en introduction :

Un nombre de caméras près de 25 fois supérieur.

Second bébé,  qui découle de la transposition de la directive révisant le paquet Telecom, les entreprises du secteur des télécommunications doivent désormais notifier les violations de données à caractère personnel à la CNIL. Et là, c’est l’inconnue :

À cette heure, il est encore très difficile de pouvoir quantifier le nombre de failles de sécurité qui sont susceptibles d’être déclarées auprès de nos services.

En revanche, la Cnil est en sûre, les onze postes qu’elle a obtenus en plus l’année dernière, soit un total de 159, ne pèsent pas lourds :

Cette augmentation significative des moyens reste encore insuffisante, comme l’ont souligné les récents débats parlementaires lors du vote de la loi de finances pour 2012.

Même si l’organisme a multiplié les contrôles, 385, soit +25% par rapport à 2010, elle est loin de pouvoir en faire autant que l’enjeu le nécessite.

Explosion des plaintes

Dans ce contexte, le nouveau record de plaintes enregistrées, 5 738, est à double tranchant : il est à la fois le signe que les gens sont de plus en plus sensibles au sujet et reconnaissent la Cnil comme l’organisme de référence, mais il la renvoie aussi à ses limites humaines. Et encore, ce chiffre est à relativiser à la hausse, souligne-t-elle :

Ces chiffres sont d’autant plus remarquables qu’ils ne tiennent pas compte des milliers de demandes écrites de particuliers directement traitées par le Service d’orientation et de renseignement du public (SORP) de la CNIL, autrefois comptabilisées comme plaintes. Ils n’intègrent pas, non plus, les multiples questions téléphoniques de particuliers qui ont été prises en charge par le SORP et par le service des plaintes.

La hausse concerne tous les secteurs, et en particulier le “droit à l’oubli” (+ 42%, sans que le rapport ne donne plus de détails que les deux lignes qu’elle y consacre) et la vidéosurveillance, +30%. La surveillance des salariés est aussi une donnée notable : les plaintes à ce sujet concerne la moitié des 12% des plaintes relevant de la gestion des ressources humaines. La Cnil a observé deux tendance à la hausse significatives :

Cybersurveillance (+59%) : il s’agit des dispositifs mis en œuvre par l’employeur pour contrôler l’utilisation des outils informatiques et l’accès à la messagerie électronique.

Sécurité des données de ressources humaines (+27%) : faille de sécurité du réseau informatique ou erreur humaine ayant pour conséquence la divulgation, aux collègues ou plus largement sur internet, de données telles que le numéro de sécurité sociale, les revenus ou les coordonnées des salariés.

Caméras illégales

Les 150 contrôles effectués par la Cnil sur les dispositifs de vidéosurveillance montrent que l’outil évolue encore trop souvent dans l’illégalité :

Une absence d’autorisation ou absence de renouvellement préfectorale (environ 30 % des contrôles)
Une absence de déclaration à la CNIL pour les parties de dispositifs relevant de la loi de 1978 (environ 60 % des cas)
Une mauvaise orientation des caméras (environ 20 % des contrôles). Certains contrôles ont permis de constater des caméras “cachées”, notamment dans les détecteurs de fumées.
Une durée de conservation excessive (environ 10 % des contrôles)
Des mesures de sécurité insuffisantes (environ 20 % des contrôles).

Au passage, la Cnil a relevé que “l’utilisation de caméras factices et les dysfonctionnements pouvant affecter les dispositifs vidéo (absence d’enregistrement, mauvaise qualité de l’image, etc.” Si cela n’a rien d’illégal, ces constats apportent de l’eau au moulin des rapports démontrant l’inefficacité de la vidéosurveillance.

La rengaine du fichier erroné

Chaque année, le rapport de la Cnil est l’occasion de refaire le même triste constat sur les fichiers d’antécédents judiciaires, Judex, Stic, ancien fichier des RG… : ils sont truffées d’erreurs lourdes de conséquences. En effet, “on évalue à 1,3 million le nombre d’emplois concernés par des procédures administratives“, rappelle la Cnil. Fourre-tout record avec 68% de la population française fichées, le STIC mélange mis en cause mais aussi et surtout victimes.

Si une personne s’est vu refuser un emploi en raison de son inscription dans un de ces fichiers, elle peut faire valoir son droit d’accès indirect pour vérifier les données. 2099 personnes y ont eu recours en 2011 :

Comme le résume la Cnil dans la page qu’elle consacre ensuite à des témoignages de gens victimes d’erreurs :

Ça la fiche mal !

Et ça risque de la ficher encore mal un certain temps. Selon un rapport des députés Delphine Batho et Jacques-Alain Benisti, il existe 80 fichiers de police, “dont un certain nombre demeurent encore illégaux au regard des dispositions de loi ‘Informatique et Libertés’.”

Si un amendement de la Loppsi doit “atténuer l’effet pénalisant de la consultation [des fichiers d'antécédents judiciaires] en termes d’emploi”, son effet est pour l’instant virtuel :

L’application effective et immédiate de cette disposition à l’ensemble des enregistrements existants (environ 6,5 millions de personnes mises en cause enregistrées dans le fichier STIC et 2,5 millions dans le fichier JUDEX en 2011) se heurte néanmoins aux difficultés structurelles de mise à jour de ces fichiers qui dépend, dans une large proportion, de la communication aux services de police, par les procureurs de la République, des suites judiciaires intervenues pour chacune des infractions relevées.

À lire aussi Deux millions de contrôles au faciès et Le cadeau empoisonné des fichiers policiers

]]>
http://owni.fr/2012/07/11/cnil-qui-rit-cnil-qui-pleure/feed/ 10
Le cadeau empoisonné des fichiers policiers http://owni.fr/2012/05/18/le-gros-bug-des-fichiers-policiers/ http://owni.fr/2012/05/18/le-gros-bug-des-fichiers-policiers/#comments Fri, 18 May 2012 14:37:42 +0000 Jean Marc Manach http://owni.fr/?p=109831 antécédents judiciaires", qui sera lui-même connecté au plus gros des fichiers de la Justice. Une énorme usine à gaz censée corriger les erreurs... mais qui n'est pas sans poser problème.]]> Le 6 mai 2012 ne restera pas seulement dans l’histoire comme le jour où François Hollande fut élu président de la république. Ce même jour, le Journal officiel publiait un décret, co-signé par Claude Guéant et Michel Mercier, respectivement ex-ministres de l’intérieur, de la justice et des libertés, afin de fusionner les deux principaux fichiers policiers, et de les interconnecter avec le plus gros des fichiers judiciaires.

Le Système de traitement des infractions constatées (STIC), et son équivalent dans la gendarmerie, le Système judiciaire de documentation et d’exploitation de la gendarmerie nationale (JUDEX), seront en effet fusionnés en un seul et même Traitement d’antécédents judiciaires (TAJ), lui-même relié à la Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants (Cassiopée), à l’occasion du déploiement du tout “Nouveau système d’information dédié à l’investigation” (NS2I).

Qualifié de “véritable ‘révolution’ dans les méthodes de travail et surtout d’analyse“, le NS2I combine fichiers de police et de gendarmerie, et remplace le logiciel Ardoise (pour Application de recueil de la documentation opérationnelle et d’informations statistiques sur les enquêtes) qui, non déclaré à la CNIL, avait fait polémique avant d’être suspendu en 2008 : il permettait en effet d’entrer des données “sensibles” concernant l’orientation sexuelle, le handicap, l’appartenance syndicale, politique ou sectaire des victimes, témoins et accusés.

Cette énorme usine à gaz est aussi un véritable cadeau empoisonné pour le nouveau gouvernement, et plus particulièrement pour Delphine Batho, qui avait consacré deux rapports parlementaires aux problèmes posés par les fichiers policiers, et qui vient d’être nommée ministre déléguée à la Justice.

Cliquez ici pour visualiser la version non simplifiée du schéma du “nouveau système d’information dédié à l’investigation” (NS2I) du ministère de l’Intérieur.

Schéma du nouveau système d'information dédié à l'investigation (NS2I)

Schéma du “nouveau système d’information dédié à l’investigation” (NS2I), tel qu’il avait été présenté aux députés auteurs du rapport sur les fichiers policiers, lorsque le TAJ s’appelait encore “Traitement des procédures judiciaires” (TPJ).

Masquer le schéma du NS2I

 

Le STIC est le plus gros de tous les fichiers policiers actuellement en activité : 44,5 millions de personnes y sont fichées, soit 68% de la population française, dont 10% en tant que “mis en cause” -et donc “suspects“. Y sont enregistrés les noms, prénoms, surnoms, alias, date et lieu de naissance, situation familiale, filiation, nationalité, adresse(s), profession(s), signalement et photographie de “6,5 millions de mis en cause“, mais également de 38 millions de victimes (mêmes données, mais sans photographies, sauf pour les personnes disparues et les corps non identifiés).

10% de la population française fichée “suspects”

Casier judiciaire bis” créé en 1995 pour “fédérer au niveau national l’ensemble des fichiers de police et de documentation criminelle”, les données y sont stockées pendant 20 voire 40 ans pour les suspects (5 ans pour les mineurs), au maximum 15 ans pour les victimes. La CNIL estime que “près de 100 000 personnes” sont habilitées à y accéder, et que le STIC ferait l’objet de 20 millions de consultations annuelles de la part de fonctionnaires du ministère de l’Intérieur.

Or, le STIC est truffé d’erreurs. En vertu du droit d’accès indirect, toute personne peut demander à la CNIL d’aller vérifier si elle est fichée au STIC et, auquel cas, “demander à ce que les informations incomplètes, obsolètes ou non conformes soient complétées, mises à jour ou supprimées“.

Tous les ans, depuis 2001, la CNIL publie ainsi dans son rapport annuel d’activité le nombre de fiches “rigoureusement exactes” qu’elle a vérifié ou qui, a contrario, ont du être modifiées, voire supprimées. En 2001, le taux d’erreurs était de 25%. En 2010, il était de 79%, après un taux record de 83% d’erreurs en 2008 :

Dans leur rapport d’information sur les fichiers de police de mars 2009, les députés Delphine Batho (PS) et Jacques-Alain Bénisti (UMP) pointaient du doigt une chaîne d’alimentation “complètement obsolète” et “à la source de nombreuses erreurs“, de saisies notamment (avec des victimes fichées comme suspectes, et vice-versa), reposant sur “un système complètement dépassé qui n’utilise même pas de souris“, une “antiquité” utilisée par des agents dont la formation juridique “est très largement insuffisante“.

Au terme d’un contrôle approfondi du STIC, la CNIL a de son côté estimé que 35% des erreurs émanaient du ministère de l’Intérieur, et 65% du ministère de la Justice. Car si le STIC est renseigné par les policiers, sa mise à jour dépend des procureurs qui, faute de moyens, de temps, de volonté ou de culture informatique et libertés, ne transmettaient pas ou très peu les décisions de justice aux policiers en charge du STIC.

La CNIL estime ainsi qu’entre 2005 et 2008, 1 020 883 classements sans suite, 54 711 relaxes, 873 acquittements et 7761 non-lieux n’ont pas été rapportés dans le STIC. Soit, en 3 ans, 1 084 228 personnes blanchies par la justice, mais toujours fichées comme “mises en causes“, et donc “suspectes“, dans le STIC.

Tout en constatant “des progrès sensibles dans la mise à jour du STIC“, le second rapport d’information de Delphine Batho et Jacques-Alain Bénisti, rendu public en décembre 2011, n’en déplorait pas moins le fait que “les recommandations émises par vos rapporteurs sont, à de rares exceptions près, restées lettre morte“. Et le taux d’erreur est tel qu’il pose problème à certains fonctionnaires de police. L’un d’entre eux a d’ailleurs indiqué aux députés que “le STIC est tellement peu fiable qu’on ne peut rien en faire“.

21 ans dans l’illégalité

Si le STIC a fonctionné en toute illégalité de 1995 (date de sa création) à 2001 (lorsqu’il fut enfin légalisé par Lionel Jospin, JUDEX, créé en 1985, ne fut quant à lui légalisé qu’en 2006, après que les parlementaires, discutant de l’interconnexion du STIC et de JUDEX, eussent découvert que ce dernier n’était “fondé sur aucun texte de droit“…

JUDEX, qui répertoriait 9,8 millions de fiches “affaires” et 2,15 millions de personnes “mises en cause” en 2009, serait un peu mieux tenu que le STIC. En 2010, la CNIL n’y a en effet recensé “que” 48% d’erreurs : 52% des fiches étaient “exactes“, 25% ont été supprimées, et 23% modifiées pour tenir compte, notamment, des suites judiciaires réservées aux infractions enregistrées.

Dans sa délibération sur le Traitement des antécédents judiciaires (TAJ), la CNIL estimait que “des mesures concrètes devront être prises pour que les données reprises soient exactes et mises à jour“. Batho et Bénisti avaient eux aussi plaidé pour que le TAJ n’hérite pas du stock d’erreurs accumulées. Las : “aucun nettoyage complet de la base de données du STIC“, déplorent les députés.

A contrario, ils relèvent cela dit que la gendarmerie nationale a de son côté “entrepris un processus de correction” ayant mobilisé près de dix équivalents temps plein pendant douze mois environ, et “procédé à l’effacement de données relatives aux origines ethniques et raciales, à l’orientation sexuelle, aux opinions politiques, philosophiques, aux pratiques religieuses, aux appartenances syndicales, aux modes de vie et états de santé” qui ne peuvent figurer dans un fichier policier que “lorsqu’elles sont des éléments constitutifs de l’infraction” :

Au total, 120 000 fiches ont été corrigées ou supprimées. Ce nettoyage de la base de données a permis de mettre JUDEX en conformité avec la loi.

Il convient toutefois de noter que le travail effectué par la gendarmerie, si important soit-il, ne concerne qu’une faible part des données reprises par TAJ. Aussi, de façon générale, il est fort probable que les critiques adressées au STIC soient valables pour TAJ. Il appartiendra au service gestionnaire de ce fichier de procéder à l’élimination des potentielles erreurs.

Supernova Remnant Cassiopeia A (NASA, Chandra, 1/6/09), CC by-nc-nd NASA's Marshall Space Flight Center

Des mois d’horreurs

Afin de nettoyer le STIC de toutes ses erreurs, le ministère de l’Intérieur a donc décidé d’interconnecter le nouveau fichier TAJ avec Cassiopée (pour “Chaine Applicative Supportant le Système d’Information Oriente Procédure pénale Et Enfants“), le fichier du ministère de la Justice utilisé pour enregistrer les informations relatives aux plaintes et dénonciations reçues par les magistrats.

Créé pour leur offrir une vision complète de chaque dossier judiciaire, de chaque profil de mis en cause, depuis la commission du fait jusqu’à la sortie de prison du condamné, Cassiopée enregistre un nombre impressionnant de données personnelles. Elles concernent les personnes mises en examen, prévenus, accusés, ainsi que les témoins, victimes et parties civiles : nom (de naissance et d’usage), nationalité, numéro de la pièce d’identité, nom de naissance et prénoms du père et de la mère, nombre d’enfants, de frères et sœurs, niveau d’étude et de formation, profession, langue, dialecte parlé, données bancaires…
Cliquez pour dérouler les données pouvant être enregistrées dans Cassiopée.

-identité : civilité, nom de naissance, nom d’usage, prénoms, alias, sexe, dates de naissance et de décès, commune de naissance, code et nom du pays de naissance, nationalité, numéro et date de délivrance de la pièce d’identité, autorité de délivrance, ville et pays de délivrance à l’étranger ;

-filiation : nom de naissance et prénoms du père et de la mère, et du titulaire de l’autorité parentale concernant les mineurs ;

-situation familiale : situation de famille, nombre d’enfants, nombre de frères et sœurs, rang dans la fratrie ;

-niveau d’étude et de formation, diplômes, distinctions ;

-adresse, adresse déclarée (selon la norme postale française), téléphone au domicile ;

-vie professionnelle : profession, code de la catégorie socioprofessionnelle, code de la nature d’activité, situation par rapport à l’emploi, raison sociale de l’employeur, téléphone au travail, fonction élective, immunité, pour les militaires de carrière situation militaire ;

-langue, dialecte parlé ;

-données bancaires, sauf concernant les témoins : code banque, code guichet, nom de l’agence bancaire, code postal de l’agence du compte, libellé du titulaire du compte, numéro de compte, date d’émission du titre de paiement, libellé du titulaire inscrit sur la carte bancaire ;

Masquer la liste des données

Les informations y sont stockées pendant 10 ans à compter de leur dernière mise à jour enregistrée, voire 20 et même dans certains cas 30 ans.

L’objectif recherché par cette interconnexion du TAJ et de Cassiopée était de pouvoir mettre à jour, de façon automatisée, les suites judiciaires données aux affaires traitées par les gendarmes et les policiers. Et ainsi en finir avec les personnes fichées comme “mises en cause“, alors que la justice avait décidée qu’elles ne pouvaient plus l’être.

L’idée est bonne, la réalisation promet d’être gratinée. Evoquant un rapport parlementaire du député (UMP) Etienne Blanc, Le Figaro qualifiait en effet Cassiopée, en mars 2011, de “grand bug informatique (qui) freine la justice” mais que “le garde des Sceaux, Michel Mercier, aimerait sauver des eaux“.

Alors qu’il avait initialement été conçu pour “fluidifier la chaîne pénale“, Etienne Blanc, lui, pointe “l’insuffisance de prise en compte des besoins opérationnels des magistrats et des greffiers” qui pour “80% des juridictions, ont indiqué ne pas avoir été associées à la conception de l’application“. Résultat : Cassiopée “plombe souvent l’activité des services” et accroît considérablement le stock des procédures à enregistrer et de jugements à dactylographier.

De plus, le “style approximatif et parfois juridiquement inexact, avec des références aux textes de loi souvent insuffisantes, voire erronées” fait peser le risque de “compromettre la validité des actes“. Pire : “il n’est plus possible, avec Cassiopée, de visualiser l’ensemble des affaires concernant un individu par la simple saisine de son nom, ni d’obtenir une information claire sur l’état d’exécution des jugements“.

Dans sa note sur le bug Cassiopée” (.pdf), l’Union syndicale des magistrats (USM) déplorait récemment l’”obstination de la Chancellerie à déployer à marche forcée cette application, générant, peu à peu à travers tout le territoire des retards importants dans des juridictions déjà au bord de l’asphyxie” :

En début d’année 2011, la Chancellerie reconnaissait elle-même que dans toutes les juridictions implantées, 4 mois de retard s’étaient accumulés en moyenne, qu’il fallait 15 mois pour résorber. Comment s’étonner dès lors du nombre de jugements en attente d’exécution, estimé à 100 000 en début d’année 2011 ?

Ancienne présidente du Syndicat de la magistrature (SM), Clarisse Taron, qui est retournée dans son tribunal en janvier dernier et que nous avons contactée, reconnaît volontiers avoir du mal à se servir de Cassiopée. Elle fait pourtant partie, depuis deux ans, de l’Observatoire du déploiement de Cassiopée. “Même en consultation, c’est difficile” : elle a demandé une formation, on lui a répondu qu’il n’y en avait pas, alors elle se débrouille comme elle peut, toute seule.

Avec Cassiopée, elle estime qu’il faut “au minimum 20% de plus de temps qu’avant” pour saisir un dossier. Evoquant des débuts “catastrophiques“, un “projet ambitieux et énorme, mais sous-dimensionné en temps et en budget“, elle déplore également le nombre d’erreurs dues à la complexité du système informatique, et de son mode de saisie, les problèmes de formation, le fait qu’il ne soit pas du tout adapté aux dossiers complexes, et la lourdeur de cette usine à gaz :

Ça a été un générateur de réelles souffrances, une source de tension et de stress extrême. Tout le monde dit qu’il faut un an pour absorber Cassiopée, au minimum, avec de gros problèmes de formation des fonctionnaires. Ce qu’on réclame, c’est que la hiérarchie accepte de prendre du retard.

En attendant l’interconnexion de Cassiopée et du casier judiciaire (“c’est pas fait, ça va être énorme aussi“), elle pense que la fusion du STIC et de JUDEX au sein du TAJ, et sa mise en relation avec Cassiopée, pavée de bonnes intentions, sera un véritable chemin de croix (“on en a encore pour des années“) :

On est parti pour des mois et des mois d’horreurs, ça va être terrible et ce sera très compliqué, mais si ça permet de laver le STIC… Cassiopée génère forcément des erreurs, mais peut-être que dans 10 ans ça ira mieux, forcément; il fallait le faire, il fallait bien en passer par là.

Supernova Remnant Cassiopeia A (NASA, Chandra, Hubble, 02/23/11), CC by-nc NASA's Marshall Space Flight Center

Supernova Remnant Cassiopeia A (NASA, Chandra, Hubble, 02/23/11), CC by-nc NASA's Marshall Space Flight Center

Un “trou noir de la justice française”

Au-delà de l’aspect “usine à gaz” de cette interconnexion, et dans un autre registre, l’USM tenait également dans sa note sur le “bug Cassiopée” à “saluer la capacité du Ministère de la Justice à ne pas respecter les lois“, le système ayant été déployé 16 mois avant qu’il ne soit déclaré à la CNIL… ce qui, cela dit, fait pâle figure face aux 6 ans d’illégalité du STIC, et aux 21 ans de JUDEX.

Qualifiant Cassiopée de trou noir de la justice française, Bakchich rappelait de son côté que le gouvernement avait publié au Journal officiel le décret portant création de Cassiopée, en omettant soigneusement de publier l’avis de la CNIL qui, entre autres choses, déplorait notamment “l’absence de sécurisation” de l’accès aux données confidentielles… Interrogé par Bakchich, Olivier Joullin, du Syndicat de la magistrature, déplorait alors le fait que “la Cnil, comme nous, imaginait que Cassiopée nettoierait le Stic. En réalité, ça ne nettoiera rien du tout, ça va seulement prolonger le bazar du Stic” :

C’est un fichier, comme le Stic, qui pourra servir à fragiliser ou décrédibiliser quelqu’un, explique Olivier Joullin. Il peut même servir à une déstabilisation politique. Imaginons une hypothèse : le ministre, par exemple, veut avoir des informations sur une personne, il n’a qu’à interroger un procureur qui peut lui faire remonter tout cela…

Le syndicat de la magistrature a ainsi découvert, il y a quelques mois, qu’un président de tribunal avait obtenu le statut d’”administrateur” de Cassiopée, et qu’il avait donc le droit de suivre en temps réel l’évolution des dossiers, et notamment savoir qui les juges d’instruction allaient convoquer, quand, alors même que ces informations sont couvertes par le secret de l’instruction…

Cette intrusion informatique d’un président de tribunal dans les dossiers des juges d’instruction, et le risque de voir la Chancellerie s’immiscer dans les dossiers sensibles, lui a fait “très très peur“. Elle attend donc avec impatience la circulaire sur la confidentialité de Cassiopée, qui devrait prochainement être publiée.

La CNIL, de son côté, invitait le ministère à “faire réaliser, dès sa mise en œuvre, un audit de sécurité du traitement TAJ par l’Agence nationale de la sécurité des systèmes d’information (ANSSI)“.

Il serait, de même, intéressant que Cassiopée fasse lui aussi l’objet d’un tel audit de sécurité dans la mesure où, comme le regrettait la CNIL, “l’étude de sécurité n’a pas été finalisée avant qu’elle ne se prononce sur ce projet de décret“.

Le problème se pose d’autant plus que Cassiopée devrait non seulement être “mis en relation” avec le TAJ, mais également avec le casier judiciaire national (CNJ), ainsi qu’avec le fichier de gestion automatisée de l’”application des peines, probation et insertion” (APPI), qui a fonctionné, en toute illégalité, pendant 6 ans, avant d’être finalement régularisé en octobre 2011.

A l’origine, Cassiopée ne devait être accessible qu’à 6000 utilisateurs environ. Le 7 mai, un nouveau décret autorisait les délégués du procureur et le représentant national auprès d’Eurojust, mais également les éducateurs de la protection judiciaire de la jeunesse (PJJ), les associations conventionnées d’aide aux victimes ainsi que les agents d’autres administrations de l’Etat ou des collectivités territoriales, à accéder au fichier, ce qui faisait tousser la CNIL :

A titre liminaire, la Commission attire l’attention du ministère sur les dangers d’une extension excessive des catégories de personnes ayant directement accès aux données à caractère personnel contenues dans Cassiopée, et invite le ministère à faire preuve de la plus grande vigilance à cet égard.

Déplorant l’”absence d’un outil de détection des usages anormaux“, la CNIL recommandait par ailleurs, et “au regard de la sensibilité des données enregistrées et du grand nombre de personnes habilitées à y accéder” qu’elles soient chiffrées. Ce même 7 mai 2012, un autre décret prévoyant la “mise en relation entre le casier judiciaire national et Cassiopée” intègre certes des “dispositions destinées à assurer la traçabilité de la plupart des actions réalisées sur Cassiopée” mais sans, pour autant, préciser que les données devraient être chiffrées.

A l’heure où nous écrivons ces lignes, la mission et le champ de compétence du nouveau ministre déléguée à la Justice, n’a pas encore été défini. Il est donc encore trop tôt pour savoir si, comme la CNIL l’avait préconisé, et comme elle l’avait elle aussi réclamé l’an passé, Delphine Batho pourra conditionner la fusion du STIC et de JUDEX au fait de les expurger, au préalable, de leurs erreurs accumulées, ou si seule leur interconnexion avec Cassiopée pourrait y contribuer.

Il sera de même intéressant de voir si, contrairement aux pratiques en vigueur sous Nicolas Sarkozy, la CNIL -et l’ANSSI- seront saisies préalablement de la création ou du déploiement de tels fichiers portant sur la quasi-totalité de la population. Ou s’ils seront encore et toujours mis devant le fait accompli, une fois les fichiers créés.


Images : Supernova Remnant Cassiopeia A (NASA, Chandra, Hubble, 02/23/11), CC by-nc NASA’s Marshall Space Flight Center, Supernova Remnant Cassiopeia A (NASA, Chandra, 1/6/09), CC by-nc-nd NASA’s Marshall Space Flight Center, Cassiopeia A, CC by-nc-sa Lights In The Dark, Gift from the sky, CC by, procsilas.


]]>
http://owni.fr/2012/05/18/le-gros-bug-des-fichiers-policiers/feed/ 23
Nicolas Sarkozy a créé 44 fichiers policiers http://owni.fr/2011/05/31/nicolas-sarkozy-a-cree-44-fichiers-policiers/ http://owni.fr/2011/05/31/nicolas-sarkozy-a-cree-44-fichiers-policiers/#comments Tue, 31 May 2011 12:19:43 +0000 Jean Marc Manach http://owni.fr/?p=65407 En 2006, le groupe de travail sur les fichiers de police et de gendarmerie, dépendant du ministère de l’Intérieur et présidé par Alain Bauer, recensait 34 fichiers. En 2009, le rapport des députés Delphine Batho et Jacques-Alain Bénisti, mandatés par l’Assemblée suite au scandale Edvige, en répertoriait 58, soit une augmentation de 70% en trois ans.

Plusieurs d’entre-eux avaient échappé aux radars du groupe d’Alain Bauer parce qu’expérimentaux, ou non déclarés. Les deux députés notaient par ailleurs que le quart des fichiers identifiés par les députés n’avaient aucune base légale… Un comble, pour des fichiers de police judiciaire.

En consultant les avis de la CNIL publiés au Journal Officiel et relatifs aux traitements de données mis en oeuvre par la police ou la gendarmerie, OWNI a dénombré, à ce jour, au moins 70 fichiers policiers (plusieurs autres sont en cours de création, ou d’expérimentation, et non encore déclarés), soit 12 de plus en seulement deux ans.

Les députés, suite au scandale Edvige, avaient pourtant expressément réclamés d’être saisis de toute création d’un nouveau fichier. Mais leur proposition de loi avait été copieusement enterrée, “en grande pompe (et) sur ordre du gouvernement“, fin 2009.

44 de ces 70 fichiers ont été créés, ou officialisés, depuis que Nicolas Sarkozy est arrivé Place Beauvau, en 2002. Quelques-uns avaient en effet été créés avant son arrivée, à l’instar de JUDEX, le fichier des suspects de la gendarmerie, créé en 1985 et qui a fonctionné en toute illégalité jusqu’à sa régularisation, en… 2006. En tout état de cause, le nombre de fichiers a explosé de 169% depuis 2002.

Dans le même temps, Nicolas Sarkozy a également fait adopter pas moins de 42 lois sécuritaires… et fait modifier la loi informatique et libertés, en 2004, de sorte que lorsque le gouvernement veut créer un fichier “de sûreté” ou portant sur l’ensemble de la population (carte d’identité, dossier médical partagé, etc.), il ne soit plus obligé de tenir compte de l’avis de la CNIL, mais seulement de le publier au Journal officiel. Ce qui explique aussi ce pour quoi le nombre de fichiers policiers explose véritablement à partir de 2005 :

Fichiers d’étrangers, de “non-admis“, de passagers, d’interdits de stade, d’analyse de crimes et délits, de renseignement, de prélèvements (biométriques, génétiques)… la quasi-totalité relève du “profiling“. Très peu relèvent de l’anti-terrorisme, mais nombreux sont ceux qui visent la sécurisation des frontières, et tout particulièrement les étrangers.

Le nombre de fichiers créés ces dernières années est tellement important que, pour les visualiser, il nous a fallu étirer l’application dans toute sa hauteur. Cliquez sur les noms des fichiers pour afficher leurs descriptions, et utiliser la souris pour visualiser les plus récents, à droite du tableau (voir aussi le tableur où ont été répertoriés tous ces fichiers) :

Lorsqu’elle s’est sérieusement penchée, en 2008, sur le plus connu des fichiers policiers, le STIC (Système de Traitement des Infractions Constatées, casier judiciaire bis qui répertorie plus de la moitié des Français : 5 millions de “suspects” et 28 millions de victimes), la CNIL avait constaté 83% d’erreurs dans les 1400 fiches qu’elle avait été amenée à contrôler.

Dans son rapport, la CNIL déplorait également le fait que, faute d’être mis à jour par le ministère de la Justice, le STIC continuait à ficher comme “suspects” plus d’un million de personnes qui avaient pourtant été blanchies par la Justice.

Aucune évaluation d’ensemble de la fiabilité des fichiers policiers, de leurs taux d’erreur et du nombre de “présumés innocents” fichés, à tort, comme “suspects“, n’a jamais été effectué. Personne ne sait exactement combien de personnes y sont fichés, mais on estime que l’emploi de plus d’un million de salariés dépend de leur inscription, ou non, dans ce fichier, et que plusieurs milliers d’entre-eux ont d’ores et déjà été licenciés, ou se sont vus refuser tel ou tel emploi, parce qu’ils y figuraient.


A noter que, pour faciliter la visualisation, nous n’avons pas mentionné les 6 fichiers créés de 1942 à 1987, à savoir :

  • Fichier de la batellerie (1942)
  • Fichier relatif à la carte nationale d’identité (1955)
  • FAR – Fichier alphabétique de renseignements (1971)
  • FNPC – Fichier national des permis de conduire (1972)
  • FPNE – Fichier des personnes nées à l’étranger (1975)
  • FAC – Fichier des avis de condamnations pénales (1982)
  • FTPJ – Fichier de travail de la police judiciaire (1987)

Voir aussi les nuages de tags de ces fichiers :

Wordle: Fichiers policiers français Wordle: Fichiers policiers français

Image CC by-nc-nd entropiK

]]>
http://owni.fr/2011/05/31/nicolas-sarkozy-a-cree-44-fichiers-policiers/feed/ 110