Camouflet pour Big brother à l’AFP

La CNIL (Commission nationale de l’informatique et des libertés) a imposé à l’AFP la désinstallation d’un système de biométrie que SUD contestait depuis plus d’un an.
 
Depuis le 1er janvier 2009, l’accès aux salles informatiques de l’AFP n’est en principe plus régi par le dispositif biométrique illicite que la direction avait installé et maintenu malgré les nombreuses interventions de SUD.
 
Le président de la CNIL Alex Türk est venu en personne rencontrer le PDG Pierre Louette, le 22 octobre 2008 à l’agence. Dès le lendemain (23 octobre), une délégation d’experts de la CNIL s’est rendue sur place pour constater ce que SUD avait dénoncé depuis un an : la direction avait triché vis-à-vis de la CNIL à propos du système biométrique installé à l’AFP.
 
« Risques de dérive »
 
Rappel des faits. Lorsqu’en septembre 2007, des techniciens ont refusé de donner leurs empreintes digitales pour la biométrie, SUD-AFP n’a pas hésité à prendre leur défense, d’autant que l’examen du dossier a rapidement révélé de nombreuses irrégularités.
 
« Les données biométriques sont des données d’identité » ; il y a des « risques de dérive », souligne la CNIL dans sa « Communication relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », publiée fin 2007.
 
Extrait : «  La donnée biométrique n’est pas attribuée par un tiers ou choisie par la personne : elle est produite par le corps lui-même et le désigne ou le représente, lui et nul autre, de façon immuable. Elle appartient donc à la personne qui l’a générée. On comprend dès lors que toute possibilité de détournement ou de mauvais usage de cette donnée fait peser un risque majeur sur son identité. Confier ses données biométriques à un tiers, lui permettre de les enregistrer et de les conserver n’est donc jamais un acte anodin : cela doit répondre à une nécessité a priori exceptionnelle, justifiée, et être entouré de garanties sérieuses. »[1]
 
La CNIL distingue clairement entre deux systèmes biométriques :
 

• « Reconnaissance par badge ». Pour franchir la porte, la personne fait comparer son doigt avec les données stockées dans son badge. Il s’agit d’un « stockage sur un support individuel (maîtrise des données par le détenteur) ».
• « Reconnaissance par doigt seul ». Les données sont stockées dans les boîtiers de reconnaissance optique à l’entrée des salles : « stockage sur un support non individuel (maîtrise des données par un tiers) ».
   
  Seule la reconnaissance biométrique par badge a été déclarée par l’AFP et autorisée par la CNIL. La reconnaissance « par doigt seul », également installée, n’a pas été déclarée, et pour cause : ce genre de dispositif n’est autorisé qu’aux entreprises type centrale nucléaire, site classé Seveso ou « secret défense ».

C’est ce système que l’AFP doit désinstaller, conformément à ce que SUD avait réclamé devant le CHSCT (Comité d’hygiène, de sécurité et des conditions de travail) du 24 septembre 2008. Lors de cette réunion, le directeur des Systèmes d’information (DSI), Jean-François Wets, par ailleurs président du CHSCT, avait réaffirmé qu’il n’avait rien à faire des demandes de SUD. Visiblement, l’intervention directe du président de la CNIL auprès du PDG l’a fait changer d’avis… 
 
Vigilants !
 
Dans cette affaire, la direction a fait preuve d’un scandaleux mépris de la loi et d’un autisme inquiétant.
 
Force est de constater qu’elle a pu s’appuyer sur l’inaction, voire la complaisance, de l’ensemble des acteurs internes concernés :

• le CIL (Correspondant informatique et liberté), désigné par le PDG en juin 2007 et censé assurer « la diffusion de la culture informatique et libertés » au sein de l’entreprise
• le « groupe de travail » CNIL (composé de membres de la direction, du CIL, d’un journaliste texte, d’un photographe et d’un représentant du CHSCT).
• la quasi-totalité des élus du personnel, pourtant alertés par SUD et par une lettre de l’Inspecteur du travail.[2]

La bataille sécuritaire à l’AFP a été lancée fin 2004/début 2005, peu après la grève sur les « bonus » (primes « one shot » de 30.000 et de 35.000 € pour des responsables du service Photo). C’est Pierre Louette, à l’époque n° 2 de l’AFP, qui a mené l’offensive, en enlevant aux employé-e-s du Service de Paie la gestion de la paie des directeurs et en publiant sur l’Intranet le texte « Pour maîtriser le risque pesant sur nos activités ». Ce document met en garde contre les « conflits internes » comme l’une des sources de risques ![3]
 
Poursuivant cet élan, Jean-François Wets envisageait en 2006 d’installer la reconnaissance biométrique à l’entrée de l’AFP.[4] Dans cette perspective, la mise en place illicite, un an plus tard, du système biométrique devant les salles informatiques constituait sans doute un test.
 
Au moment où fichage et flicage deviennent des éléments constitutifs de la politique liberticide et antisociale dans ce pays (fichier « Edvige », « Base élèves »…), l’intervention de la CNIL, suscitée par SUD, marque un coup d’arrêt bienvenu aux velléités sécuritaires de la direction.
 
Paris, le 5 janvier 2009
SUD-AFP
 
Notes :
[1] http://www.cnil.fr/fileadmin/documents/approfondir/dossier/CNI-biometrie/Communication-biometrie.pdf
[2] Cf. les PV des Comités d’entreprise du 11-10-2007, p. 23-24 et du 10-07-2008, p. 27, le communiqué SUD « Big brother à l’AFP » du 22-10-2007
[3] (ASAP – Direction – Direction générale – Communiqués PDG/Direction – Note sur la sécurité dans l’entreprise, 10-01-2005).
[4] Cf. PV du CHSCT du 16-06-2006