Commission d’enquête Autorités administratives indépendantes du 29 juillet 2015 : Audition de Mme Isabelle Falque-Pierrotin, présidente de la CNIL

Avec la création de la CNIL, la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est la première à consacrer la notion d’autorité administrative indépendante. La CNIL a un collège qui comprend dix-sept membres, dont quatre parlementaires. Le mandat des membres du collège, renouvelable une fois, est de cinq ans. Les missions de la CNIL n’ont cessé de croître au fil des années.

La CNIL est la première des AAI à avoir été consacrée comme telle. À l’époque, c’est la création du fichier SAFARI, dans le cadre de l’informatisation de l’administration, qui suscitait la crainte. Et la création de la CNIL visait par conséquent à protéger l’individu par rapport à l’arbitraire public, et donc à défendre les libertés publiques. Désormais, s’ajoute à la défense des libertés publiques la dimension plus économique des données.

Ce modèle français de l’autorité administrative indépendante a été copié en Europe, puisqu’on compte des « CNIL » dans les vingt-huit pays membres de l’Union européenne (G29, le groupe des « CNIL » européennes présidé par Isabelle Falque-Pierrotin). L’existence de ces autorités administratives indépendantes est consacrée à la fois par la directive de 1995, mais aussi et surtout par le traité sur le fonctionnement de l’Union européenne, dont l’article 16 prévoit expressément une autorité administrative indépendante. L’existence de ces autorités est strictement contrôlée par la Cour de justice de l’Union européenne qui se livre à un contrôle aussi matériel du fonctionnement des autorités concernées pour vérifier qu’elles sont bien des autorités administratives indépendantes et pour s’assurer de leur réelle indépendance. Ce modèle a aussi essaimé au niveau international puisque, par exemple, dans l’univers de la francophonie, le principe d’une autorité administrative indépendante est ce qui réunit les autorités francophones au sein de l’Association francophone des autorités de protection des données personnelles, l’AFAPDP, dont la CNIL assure le secrétariat général depuis 2007 et qui à ce jour réunit quinze autorités. Son rôle est tout à fait important puisqu’elle permet de promouvoir dans l’espace francophone la création d’une loi sur la protection des données personnelles et la constitution d’autorités indépendantes pour assurer le respect de cette loi. Notre modèle français est progressivement devenu un modèle de référence au niveau européen, mais aussi au niveau international.

La CNIL est une autorité en pleine métamorphose, qui a changé depuis sa création en 1978 et la loi de 2004, à cause du changement d’environnement auquel nous assistons depuis maintenant un peu moins d’une dizaine d’années, majoritairement depuis les cinq dernières années. Aujourd’hui, nous sommes dans l’ère des données, qui sont partout : elles sont dans nos activités personnelles, dans les réseaux sociaux, elles sont dans nos activités professionnelles quelles qu’elles soient, elles sont dans les modèles économiques des entreprises, dans l’innovation, elles sont en fait dans l’ensemble des métiers. La première conséquence de cette explosion des données, qui illustre la transition numérique dans laquelle sont engagés tous les acteurs individuels, publics et privés, c’est une pression quantitative considérable : 6 000 plaintes par an, 450 contrôles, 130 000 appels téléphoniques. La pression est d’autant plus forte que le législateur a assigné à la CNIL de nouvelles missions : les failles de sécurité, le contrôle des sites appelant au terrorisme ou des sites pédopornographiques, etc.

Le métier de la CNIL a été construit sur des formalités préalables – déclarations, autorisations – et sur des sanctions. Dans un univers où les données sont omniprésentes, les simples formalités préalables ne permettent pas d’accompagner la donnée dans tout son cycle de vie. Nécessairement, le métier de la CNIL doit continuer à mobiliser l’outil de la sanction même si son pouvoir de sanction est modéré et se limite à une quinzaine de sanctions par an, pour un montant maximal de 150 000 euros par infraction. Mais dans l’univers numérique, il faut absolument se repositionner dans le « pilotage de la conformité ».

Nous sommes à un moment où les données personnelles sont au coeur de toutes les stratégies économiques, au coeur de l’économie de demain. Pour cette raison, les différents espaces géographiques – Europe, États-Unis et Asie – se livrent à une concurrence normative sans précédent pour accueillir cette économie numérique. La directive de 1995 fait actuellement l’objet d’une révision et, à l’occasion de l’élaboration du règlement européen – qui sera finalisé d’ici à la fin de l’année -, tous les acteurs internationaux se livrent à un lobbying effréné pour faire en sorte que le règlement européen qui sortira du trilogue soit le plus ouvert. Au niveau mondial, il existe toute une série d’autorités qui, bien que membres de la conférence internationale annuelle des commissaires à la protection des données et à la vie privée, ne sont pas des autorités administratives indépendantes, même si elles sont « chargées » de la mise en oeuvre des règles de protection des données dans les pays. La Federal Trade Commission n’est pas une AAI spécifiquement dédiée à la protection des données et, pourtant, elle est membre de la conférence internationale. Il existe au niveau international une volonté de diluer ce qui fait la spécificité des autorités administratives indépendantes européennes au sein d’une instance beaucoup plus large – qui regrouperait notamment le ministère japonais ou chinois de l’économie -, chargée de la protection des données personnelles et, éventuellement, d’engager des poursuites et de prononcer des sanctions en cas de violation des données personnelles, mais n’ayant pas le statut d’autorité indépendante…

Réponses aux mutations :

– augmenter les ressources : la CNIL emploie 189 agents avec une croissance substantielle soutenue par le Gouvernement.

– développer les contrôles en ligne récemment autorisés par la loi pour procédoer à certaines opérations beaucoup plus facilement et à un coût moindre;

– simplifier les formalités préalables (autorisations uniques, dispenses et déclarations simplifiées). Ce travail d’innovation en matière de formalités demeurera une priorité en 2016. Le règlement européen va supprimer quasiment toutes les formalités préalables, pour les remplacer à la fois par la sanction et par l’accountability, c’est-à-dire la responsabilisation des responsables de traitement.

– se réorganiser en fonction des publics : un responsable sectoriel est l’interlocuteur des responsables de traitement capable de comprendre ce que ces derniers veulent et de mobiliser à leur service l’ensemble des outils de conformité que la CNIL peut offrir.

– innover avec de nouveaux outils : « packs de conformité », sortes d’ombrelles, négociées entre un secteur et le régulateur, qui abritent l’ensemble des usages de ce secteur acceptés par le régulateur en tenant compte très en amont de la problématique « informatique et libertés ». Ainsi, un « pack de conformité » a été conçu pour les compteurs communicants qui seront installés dans toutes les maisons : vivement inquiets que ces compteurs puissent être considérés par leurs différents clients comme des « mouchards », les industriels électriques et électroniques ont demandé à la CNIL que soit élaboré en commun une sorte de code de conduite, grâce auquel les compteurs communicants, parce qu’ils intégreraient les problématiques « informatique et libertés », seraient acceptés par leurs clients. Ces outils nouveaux, beaucoup plus souples et beaucoup plus durables, permettent au régulateur d’entretenir un dialogue avec les responsables de traitement tout au long de l’évolution de la donnée.

Questions diverses :

1) Sur le projet de loi relatif au renseignement, la CNIL a été saisie de l’avant-projet de loi, sur lequel elle a fait un certain nombre de remarques. Elle a notamment proposé que les fichiers de renseignement alimentés par les nouvelles techniques de collecte – boîtes noires, sonorisations, IMSI-catchers, etc. – fassent l’objet d’un contrôle externe. Ces fichiers existent déjà, mais ils vont être alimentés par ces nouvelles techniques de collecte. Aujourd’hui, ils ne font l’objet d’aucun contrôle externe, car ils bénéficient d’un régime extrêmement dérogatoire par rapport aux fichiers publics et de police qui sont eux contrôlés normalement. Leur acte de création n’est pas rendu public. Leur dossier d’autorisation par la CNIL est extrêmement restreint, notamment sur le plan technique. Enfin, la CNIL ne les contrôle pas : comment envoyer une équipe pour contrôler les fichiers de la Direction générale de la sécurité extérieure (DGSE), ou de la Direction générale de la sécurité intérieure (DGSI) !? Bien avant le débat sur le projet de loi relatif au renseignement, dès le début de l’affaire Snowden, la CNIL avait demandé au ministre de l’intérieur de l’époque d’instituer un contrôle spécifique de ces fichiers pour éviter le risque de défiance du citoyen à l’encontre de ces fichiers.

2) Le pouvoir de sanction et le financement des AAI : Certaines sont financées par les prestations qu’elles offrent : à chaque fois qu’une entreprise a le besoin ou le devoir d’interroger une AAI, elle paye. La CNIL, quant à elle, est entièrement financée par l’État. Faudrait-il élargir l’assiette, trouver d’autres sources de financement ? Le statut actuel garantit une équidistance entre le public et le privé. L’avantage du statut actuel est que les sanctions sont versées au budget de l’État. Aujourd’hui, leur niveau est très faible, mais il peut être relativement intéressant de conserver le statut actuel pour le cas où elles seraient portées demain à 2 %, voire à 5 %, du chiffre d’affaires mondial des sociétés.

3) Son rôle : garantir aux citoyens que leurs données personnelles sont protégées et s’assurer que les entreprises qui agissent dans ces matières utilisent des procédures garantissant le respect des données personnelles. Toutes les études – une enquête Eurobaromètre a récemment été publiée par les institutions européennes – montrent que les clients et les citoyens sont de plus en plus préoccupés par l’utilisation de leurs données personnelles dans l’univers numérique. Même s’ils acceptent de confier leurs données aux acteurs économiques, car ils considèrent que c’est une sorte de fait de la modernité, ils sont un peu inquiets et voudraient avoir de la maîtrise. C’est pourquoi, aujourd’hui, la protection des données personnelles est un argument concurrentiel pour les acteurs. Elle peut leur permettre de souligner qu’ils construisent une relation de confiance avec leurs clients, leurs usagers, parce qu’ils les respectent en respectant leurs données.

4) La vidéoprotection. Comment s’articule le rôle de la CNIL avec celui de la Commission nationale de la vidéoprotection, créée par le décret du 25 juillet 2011 ? Quels moyens humains consacrer aux nouvelles missions de la CNIL que sont la surveillance de la vidéoprotection et la réception des notifications des feuilles de sécurité ? Le nombre d’installations est passé de 30 000 à 600 000. La CNIL est compétente pour la vidéosurveillance, c’est-à-dire pour les dispositifs installés dans les lieux privés. La Commission nationale de la vidéoprotection est compétente pour les dispositifs installés dans des lieux publics ou des lieux accueillant du public. Par ailleurs, la CNIL exerce un contrôle global sur la vidéoprotection. Il paraît difficile d’orchestrer un contrôle portant sur 600 000 installations. Sur les 450 contrôles chaque année, un tiers porte sur la vidéoprotection et la vidéosurveillance. La CNIL a signé une convention avec l’Association des maires de France, pour travailler en amont avec les maires qui veulent installer un dispositif de vidéoprotection (kit des questions à se poser et des réflexes à avoir, matériel pédagogique et guides).

5) Le CIL : Un des chantiers importants de la CNIL dans les mois à venir consistera à animer la communauté des correspondants informatique et libertés (CIL) dans les différentes institutions publiques ou privées. Il n’existe aujourd’hui qu’environ environ 15 000 correspondants, Ces correspondants seront demain les acteurs centraux de la mise en conformité. Le métier de correspondant informatique et libertés va changer complètement : le correspondant ne sera plus simplement chargé de gérer les formalités préalables et de les alléger, mais il devra être le chef d’orchestre de la culture et des pratiques « informatique et libertés » au sein de son institution (séance de formation de ces correspondants à la CNIL une fois par an, service téléphonique dédié, etc.). Au niveau des collectivités locales, 75 % des régions, 50 % des départements et 450 collectivités locales importantes ont un CIL. À la différence des administrations centrales, les collectivités locales ont pris le virage et travaillent sur des packs de conformité pour les collectivités locales, sujet par sujet.
http://www.nossenateurs.fr/seance/13293#inter_7545dd8b6eefe715654ced1cf667e86c

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *