Bracelets anti-violences conjugales : la CNIL s’inquiète des risques de détournements
MaJ : alerté quant au fait que le titre initial pourrait pu être mal interprété, je l’ai donc modifié.
Les anglophones parlent de « function creep » (détournement d’usage, en français) pour qualifier ces processus qui sont détournés de leurs finalités premières, entraînant des dommages collatéraux qui n’avaient pas suffisamment été anticipés.
Le décret relatif à la mise en œuvre du bracelet anti-rapprochement est paru au Journal officiel. Il vise à :
Protéger les victimes de violences conjugales
— Ministère de la Justice (@justice_gouv) September 24, 2020
Résultant de la loi du 28 décembre 2019 visant à agir contre les violences au sein de la famille, le BAR a vocation à alerter les autorités lorsque l’auteur de violences conjugales se rapproche d’une « zone d’alerte » allant de 1 à 10 kilomètres autour de la victime qu’il lui est interdit de rencontrer, et à qui sera également attribué un dispositif de téléprotection reposant lui aussi sur la géolocalisation.
Si le BAR reste injoignable et qu’il progresse jusqu’à la zone d’alerte ou s’il est arraché, la société Allianz contactera immédiatement le 17 pour faire un compte rendu de la situation aux forces de l’ordre, précise la gendarmerie.
Par ailleurs, dans le cas où le porteur arracherait son bracelet et ne serait plus localisable, le boîtier passe en « mode dégradé » et se transforme en Téléphone grave danger (TGD). D’une simple pression sur un bouton, la victime pourra être mise en relation avec l’opérateur, qui dépêchera aussitôt une patrouille à l’endroit où elle se trouve.
La gendarmerie rappelle également qu’« il ne peut être mis en œuvre sans le consentement de la victime et de l’auteur. Néanmoins, ce dernier a tout intérêt à l’accepter, des mesures plus restrictives pouvant être adoptées le cas échéant ».
Dans sa délibération portant avis sur ce dispositif, la CNIL relève en premier lieu qu’il ressort des éléments transmis par le ministère dans le cadre de l’analyse d’impact relative à la protection des données (AIPD) que, au titre des autres personnes mentionnées dans la décision ordonnant le dispositif électronique anti-rapprochement, pourront être collectées des « données sur le cercle proche des personnes protégées », à savoir des données d’identité et des données relatives aux coordonnées de contact.
Elle prend acte, cela dit, que ces données permettront de contacter la personne protégée si elle ne répond pas aux appels du centre de téléassistance et pourraient aussi être nécessaires en cas d’intervention des forces de l’ordre.
Elle estime également que l’« un des risques les plus graves du dispositif est qu’il puisse être détourné par la personne porteuse de bracelet pour déduire le positionnement de la victime et attenter, ou faire attenter, à sa sûreté », mais « prend note que ce risque a été dûment identifié par le ministère et de nombreuses mesures mises en œuvre ou prévues pour contenir ce risque, notamment en ce qui concerne la détection d’alertes ou pré-alertes répétées ».
Pour autant, elle « attire l’attention du ministère sur le fait que les victimes puissent, dans certains cas, détourner le système et créer des risques pour les personnes porteuses du bracelet ».
Le dispositif « étant basé uniquement sur la distance entre la personne portant le bracelet et la personne protégée, sans possibilité d’indiquer une zone délimitée comme autorisée, il existe un risque que des personnes protégées se vengent de la personne porteuse de bracelet en les empêchant, par exemple, de rentrer chez elle ou d’aller travailler, en se rendant physiquement à proximité de ces zones », prévient la CNIL.
« Bien que ce risque semble en grande partie traité indirectement par les mesures prévues, la commission recommande de le rendre explicite lors de la prochaine mise à jour de l’AIPD ».
A contrario, et afin d’éviter que des auteurs de violence ne trompent eux mêmes le système, la CNIL relève par ailleurs que « pourront être enregistrées, tant dans le cadre pénal que civil du dispositif, des données biométriques, à savoir des données relatives au gabarit de la voix pour l’authentification biométrique vocale s’agissant de la personne porteuse du bracelet anti-rapprochement et, le cas échéant, de la personne protégée ».
Elle prend acte, cela dit, que « la collecte de telles données a pour objectif de vérifier que la personne qui répond au terminal lors d’un appel de la téléassistance ou bien de la télésurveillance est bien la personne concernée ».
La CNIL relève enfin que « la collecte de cette catégorie de données sera soumise au recueil du consentement de la personne protégée et que celle-ci est informée de ce choix facultatif au moment de la remise du matériel ».
L’objectif de ce BAR est bien évidemment louable. Reste que c’est (au moins) la troisième fois que la CNIL alerte ainsi le gouvernement quant aux risques de « function creep », après l’avoir fait (en vain) quant aux fichiers des empreintes digitales (FAED) et biométriques (TES).