Fin mars 2020, en plein confinement, le ministère de la justice s’autorisait à traiter massivement les données personnelles présentes dans les décisions de justice avec le fichier DataJust. L’objectif affiché : développer un obscur algorithme d’aide à la décision en matière d’indemnisation de préjudices corporels. Ici, le fantasme de la justice prédictive s’accompagne d’une dangereuse méthode : sous couvert d’expérimentation, l’État s’affranchit des lois qui protègent les données personnelles et la vie privée. Nous avions déposé un recours l’an dernier contre ce fichier. L’audience publique devant le Conseil d’État s’est tenue vendredi dernier et le rapporteur public a conclu à la validation de ce fichier.
Créé par décret le 29 mars 2020, le fichier DataJust autorise le ministère de la justice à traiter les données personnelles des justiciables contenues dans les décisions de justice en matière de dédommagement. Concrètement, les décisions non-anonymisées sont transférées des bases de données gérées par la Cour de cassation et le Conseil d’État, pour leurs besoins internes, vers un méga-fichier du ministère de la justice.
Les données personnelles traitées sont très larges : noms et prénoms des personnes mentionnées (sauf les parties), dates de naissance, genres, liens de parenté avec les victimes, lieux de résidence, informations relatives aux préjudices subis, données socio-professionnelles (situation financière, profession, statut…), données relatives à des infractions et condamnations pénales, ou encore données relatives à des fautes civiles. Mais surtout, le numéro des affaires sera également conservé, rendant toute tentative d’anonymisation des décisions impossible (il suffit de rechercher le numéro de la décision pour récupérer la version complète). Ce sont donc des données particulièrement nombreuses, et parfois sensibles, qui sont traitées par DataJust.
Mais cela n’empêche pas le ministère de la justice de s’autoriser à traiter tout cela pour des finalités bien vagues. Ainsi, le décret précise que la finalité du traitement DataJust est la mise au point d’un algorithme qui permettra de guider les magistrats et les politiques publiques. La CNIL s’inquiétait déjà de cette formulation vague. Nous avons donc contesté la validité du décret DataJust avec un premier mémoire l’année dernière et un mémoire en réplique en début de semaine dernière.
Au cours du déroulé de l’affaire, le Conseil d’État s’est bien douté que les données collectées par DataJust pourraient ne pas être nécessaires. Dans une série de questions adressées au gouvernement, il lui demandait ainsi de se justifier concernant la pertinence de traiter des données telles que les noms des personnes ou le numéro des affaires. La réponse du ministère de la justice souligne la fébrilité du gouvernement : en substance, le gouvernement répond au Conseil d’État qu’il faut traiter beaucoup de données afin de savoir lesquelles seront par la suite pertinentes…
Un précédent inquiétant par la CNIL elle-même
En résumé, le ministère de la justice explique sans honte qu’il ne sait pas à quoi l’algorithme sur lequel il est en train de travailler servira, ni sur quelles données il portera, mais s’octroie tout de même le droit de fouiller largement dans l’intimité des gens. Cela peut surprendre, mais ce n’est pas la première fois que l’on peut observer cette manière de faire.
Au début de l’année, nous dénoncions le même discours, cette fois-ci par la CNIL elle-même à propos des drones de la PPL Sécurité globale. Dans son audition devant le Sénat, la présidente de l’autorité censée protéger le droit à la vie privée donnait un mode d’emploi – illégal – pour ne pas appliquer les règles qui s’imposent au législateur en matière de respect du droit à la protection des données personnelles. Elle proposait ainsi que le Sénat pose l’étiquette de l’« expérimentation » afin de s’affranchir des règles qui exigent que tout traitement de données poursuive des finalités précisément délimitées.
On pourra citer un autre exemple de surveillance « expérimentale », celle des réseaux sociaux introduite dans la loi de finances pour 2020. Depuis que le décret d’application de cette loi est sorti en février 2021, le fisc est autorisé à surveiller les réseaux sociaux pour voir s’il n’y aurait pas quelques éléments à extirper au milieu de l’océan de données personnelles ainsi collecté. Mais soyez rassuré·e : cette surveillance n’est qu’expérimentale, le temps de savoir si l’État veut vraiment surveiller encore plus sa population…
Ce genre d’exemples pourrait malheureusement se multiplier. Rien qu’en début de semaine dernière nous annoncions un recours contre l’expérimentation de la surveillance sonore à Orléans, alors que même la CNIL (pour une fois) avait déjà conclu en 2019 que ce genre de dispositif est illégal.
Le Conseil d’État une fois encore défaillant
Le rapporteur public du Conseil d’État a toutefois conclu la semaine dernière au rejet de notre recours, validant ainsi la largesse avec laquelle le ministère de la justice s’est autorisé à analyser la vie intime des personnes (la matière très particulière des décisions de justice concernées – la responsabilité civile ou administrative – traite de moments parfois douloureux pour les victimes, notamment lorsque des dommages corporels sévères se sont produits).
Une nouvelle fois, le Conseil d’État sert l’État, jusque dans ses pulsions les plus folles. Le message envoyé au gouvernement est explicite : l’État peut jouer à l’apprenti sorcier avec la vie privée des gens, le Conseil d’État ne sera pas un obstacle.
Il ne faut toutefois pas s’arrêter à ce constat désabusé. Les institutions françaises – du législateur aux juges, en passant par les autorités administratives indépendantes comme la CNIL – sont certes souvent défaillantes, mais il reste une lutte à réinventer, d’autres juridictions – notamment européennes – à aller chercher. Pour continuer cette lutte, nous avons d’autant plus besoin de vous.