(Par Olivier Iteanu, Avocat à la Cour)

C’est une affaire rare que le Conseil d’Etat nous a donné à connaître dans une décision rendue le 24 avril 2019[1]. Un Capitaine de gendarmerie a été sanctionné de quinze jours d’arrêts pour avoir consulté « les fichiers de gendarmerie » de manière illégale. Ces consultations illicites portaient sur l’employeur de sa fille ainsi que sur des membres de sa famille. Au total, ce Gendarme aurait reconnu avoir consulté sans justification légitime et légale plus de trois cent fiches individuelles de citoyens. Le Gendarme ayant contesté la sanction, après avoir reconnu les faits durant l’enquête, les juridictions administratives ont été saisies de ce recours, qui aboutit à cette décision inédite de la plus haute des juridictions de l’ordre administratif de l’Etat de droit français.

 

Le LOVINT, un phénomène mal connu mais bien réel

En matière de cybercriminalité, on a souvent dit que les premiers abus venaient de l’intérieur de l’organisation. En matière de traitement de données personnelles, il est humain et tentant, de consulter le traitement pour ses besoins personnels. On peut aussi rendre un service, gratuit ou pire … payant. Après tout, c’est si facile, pas si « méchant » en apparence et parfois valorisant. Pour le responsable du traitement, la pratique est un cauchemar. Il est difficile de prévenir ces comportements venant de l’intérieur. A la NSA américaine[2], on appelle ça le LOVEINT (on utilise son accès pour son partenaire amoureux (LOVE) ou par intérêts (INT)). Dans son livre « Data and Goliath », Bruce Schneier, citant Edward Snowden et un audit de la NSA réalisé sur 12 mois entre 2011 et 2012, révèle que cette pratique aurait été relevée 2.776 fois sur les traitements de l’Agence nationale de la sécurité rattachée au département de la défense des Etats-Unis. Il ajoute que le chiffre devrait être bien plus important, car ces informations viennent de la NSA elle-même … Bien évidemment, plus le fichier est gros, plus le nombre de personnes autorisées à y accéder est important, plus le risque est grand de voir se développer le LOVEINT. Il n’y aucune raison que ce type de comportements se limite d’ailleurs aux fichiers publics, et on n’ose imaginer ce qui se passe dans certaines grandes entreprises d’outre Atlantique, aspirateurs de donnée à caractère personnel du monde entier et renfermant toutes sortes de renseignements.

 

Un phénomène difficile à contrer

En l’espèce, le capitaine de gendarmerie était manifestement spécialement habilité à accéder à un « fichier de gendarmerie » sans autres précisions. On peut penser que ce fichier comprenait des informations assez intrusives sur les personnes physiques qui s’y trouvaient. Il est évident qu’un tel traitement ne peut être consulté à des fins personnelles. En droit, le point ne soulève aucune difficulté. C’est un manquement aux principes fixés à l’article 5 du RGPD selon lesquels, notamment, il est interdit de traiter des données personnelles d’une manière incompatible avec les finalités pour lesquelles elles ont été collectées initialement. Ces manquements sont sanctionnés par l’éventuelle amende administrative prononcée par la CNIL à l’encontre du responsable du traitement, ici la l’institution Gendarmerie c’est-à-dire l’Etat, et pour le gendarme à titre personnel par, outre la sanction disciplinaire et, éventuellement, les peines maximales de cinq ans d’emprisonnement et de 300 000 euros d’amende, prévues par l’article 226-21 du Code pénal.

Mais la difficulté de ces déviances n’est pas ici juridique. Elle est d’ordre pratique et du domaine de la preuve. Comment en effet identifier et démontrer qu’un ayant droit, celui qui dispose du droit d’accès à un traitement, a violé son principe de finalité lors d’une consultation ? La parole est ici bien plus à l’éducation en interne pour rappeler les limites du droit d’accès au traitement et à sa consultation, à la technique et à l’organisation pour limiter et détecter la consultation illicite, le tout enveloppé des bonnes pratiques juridiques pour rendre opposables ces mesures de limitation à l’accès et à la consultation d’un traitement, rendre légale ces mesures souvent de cybersurveillance et valider la preuve.

[1] Sur le site de jurisprudence legalis.net <https://www.legalis.net/jurisprudences/conseil-detat-7eme-ch-decision-du-24-avril-2019/>

[2] National Security Agency

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.