Les agents de l’Etat habilités à accéder aux différents traitements de données personnelles relevant de la justice, de l’intérieur ou de la défense sont tenus au secret professionnel. Néanmoins, la jurisprudence comporte différents cas d’abus de leurs prérogatives, ce qui démontre le caractère indispensable de dispositif permettant de retracer les consultations des bases de données personnelles réalisées par l’Etat sur la base des investigations indiquées.
Ainsi, un arrêt de la chambre criminelle (Cass. crim., 20 juin 2006, n°05-86.491) retient que « Alain Y… a reconnu avoir abusé de sa fonction de policier en consultant les fichiers informatiques STIC et FPR pour rechercher des informations sur des francs-maçons ou des candidats franc-maçons, mais a affirmé en dernier lieu l’avoir fait de sa propre initiative et n’avoir rien révélé à quiconque des informations ainsi recueillies ; que, cependant, comme l’ont relevé les premiers juges, Alain Y… a reconnu avoir consulté à de nombreuses reprises le fichier STIC et le fichier FPR et avoir communiqué verbalement le contenu des informations ainsi découvertes lors de son audition par les services de police ; que ses déclarations, faites au cours de trois auditions, sont confortées par la découverte à son domicile d’une fiche informatique issue du fichier FPR concernant André A…, et par la concordance soulignée par les premiers juges entre les recherches opérées par Alain Y… dans les fichiers informatiques sur des personnes précises comme Gouverneur et B… et les investigations menées sur ces personnes par la GLNF au niveau provincial et établissent la réalité de la divulgation de ces informations ; que les policiers sont soumis au secret professionnel et que ce secret couvre toutes les informations parvenues à leur connaissance dans l’exercice (y compris abusif) de leurs fonctions ou à l’occasion de ces fonctions ; qu’il faut souligner le caractère renouvelé des déclarations faites par Alain Y… en enquête préliminaire, s’agissant d’un policier ayant déjà une longue professionnelle et ayant nécessairement conscience de la portée de ses déclarations dans le cadre d’une procédure de police judiciaire ; qu’il convient pour ces motifs de déclarer Alain Y… coupable détournement d’informations de leur finalité par l’usage des informations obtenues consultation des fichiers STIC… ».
Dans un autre arrêt, (Cass. crim., 5 février 2013, n°12-80.573), il est indiqué que « M. X…, gardien de la paix aux renseignements généraux du Var, chargé notamment de rechercher des informations sur des données à caractère personnel figurant dans le système de traitement des infractions constatées (STIC) et dans le fichier national automobile (FNA), est poursuivi pour avoir détourné ces informations de leur finalité en les exploitant à des fins personnelles ou en les communiquant à Mme Y…, dirigeant de fait, malgré une interdiction de gérer, de sociétés dans le domaine de l’immobilier, et poursuivie pour recel d’informations nominatives provenant de ce délit ».
S’agissant des affaires impliquant IKEA, les procès n’ont pas encore eu lieu. En revanche, une affaire impliquant un Disneyland montre comment un employeur a pu, pendant des années, obtenir des informations tirées de fichiers de police (TGI Meaux, 3ème, 27-06-2013, n° 04000019243, n° Lexbase A3436KM9. Pour une évocation des faits, v. Cass. crim., 4 novembre 2009, n°09-80.074, la Cour de cassation n’étant alors saisie que de la question de la recevabilité de la constitution de partie civile du salarié licencié sur la base des informations illégalement obtenues par son employeur.
Ces affaires peuvent être analysées de deux façons: soit il ne s’agit là que d’exceptions ayant échappées à la vigilance de services telle l’IGPN, les autres cas aboutissant à des sanctions disciplinaires ne faisant pas l’objet de publication, soit les fuites de données sont hors de tout contrôle et ces quelques cas n’ont été détectés qu’en raison de l’alerte donnée par les victimes. Cependant, le nombre d’accès illicites admis par les agents ainsi que la durée de ces agissements dans l’affaire Disney tendrait plutôt à valider la seconde hypothèse.
En se basant sur ce postulat, on peut supposer qu’il n’y a actuellement pas de croisement automatique entre les accès aux fichiers et les enquêtes menées par les agents de l’Etat, mesure qui permettrait de déceler les consultations anormales, au moins du point de vue statistique. Pourtant, l’Etat se doit, comme tout responsable de traitement de données personnelles, de mettre en place des règles assurant à la fois la sécurité des données et la détection des ruptures de confidentialité.
Ces exemples sont d’autant plus préoccupants qu’ils ne concernent que les données intégrées dans les fichiers, alors que les mesures d’investigation portent sur un ensemble, au sein duquel les enquêteurs vont effectuer un tri. Seules les données sélectionnées seront intégrées dans les fichiers, les autres étant connues, et donc susceptibles de diffusion illicite, mais sans qu’ils soient possible d’exercer le moindre contrôle à partir de l’utilisation qui est faite des fichiers constitués. La solution ne semble pas devoir être l’intégration de la totalité des données collectées dans les fichiers, mais bien le recours à des techniques comparables à celle du « client mystère ». L’absence de mise en oeuvre de ce type de mesure de détection montre le peu de souci de l’Etat à assurer la confidentialité des données qu’il collecte sur les citoyens, négligence à mettre en parallèle par exemple avec la frilosité des parlementaires sur la révélation de leur patrimoine. Libre service des données personnelles des premiers mais droit à la vie privée pour les seconds ?
