En application de l'article 13 de la Constitution, ainsi que de la loi organique et de la loi du 23 juillet 2010 relatives à l'application du cinquième alinéa de l'article 13 de la Constitution, nous allons procéder à l'audition de Mme Marie-Laure Denis, dont la nomination est envisagée par le Président de la République pour exercer les fonctions de présidente de la Commission nationale de l'informatique et des libertés (CNIL). Cette audition est publique et sera suivie d'un vote à bulletins secrets comme le prévoit l'article 19 bis de notre règlement. Aucune délégation de vote ne sera admise.

Conformément à l'article 13 de la Constitution, le Président de la République ne pourrait pas procéder à la nomination de Mme Marie-Laure Denis si les votes négatifs au sein de notre commission et de la commission des lois de l'Assemblée nationale représentaient au moins trois cinquièmes des suffrages exprimés au sein des deux commissions.

C'est la première fois que notre commission donne un avis sur une nomination à ce poste : cette fonction ne figurait pas, à l'origine, dans la liste des postes soumis à cette procédure. Cet oubli a été réparé grâce au Sénat, avec l'adoption de la loi portant statut général des autorités administratives indépendantes (AAI) et des autorités publiques indépendantes (API), dont M. Jacques Mézard était l'un des auteurs et le rapporteur.

Notre commission connaît bien la CNIL. Son champ de compétences est particulièrement vaste, tant les traitements automatisés de données sont devenus courants. Les entreprises et les collectivités de toutes tailles y ont ainsi recours et les usages des données se sont complexifiés, notamment avec les algorithmes et le big data.

Le contexte de l'action de la CNIL a évolué avec l'adoption du Règlement général sur la protection des données (RGPD), puis d'une loi en 2018 - encore dans toutes les mémoires - qui a mis à jour la loi relative à l'informatique, aux fichiers et aux libertés.

Mme Marie-Laure Denis est conseiller d'État. Elle a débuté sa carrière dans l'administration en 1990 et a exercé des fonctions importantes, notamment au sein d'autorités administratives indépendantes, tels que le Conseil supérieur de l'audiovisuel (CSA) dont elle a été membre de 2004 à 2011 et l'Autorité de régulation des communications électroniques et des postes (Arcep) de 2011 à 2017. Vous êtes membre de la Commission de régulation de l'énergie (CRE) depuis 2017. Ce parcours fait de vous une spécialiste des AAI, même si vous avez aussi exercé des fonctions à la direction de cabinets ministériels.

Je suis très honorée d'échanger avec vous lors de cette audition, de vous éclairer sur mon parcours et de vous présenter la façon dont j'aborderais mes fonctions si je rejoignais le collège de la CNIL en qualité de présidente. J'ai commencé mon parcours professionnel au Conseil d'État, où j'ai appris la rigueur du raisonnement juridique et le travail en formation collégiale. S'en sont suivies deux expériences en cabinet ministériel qui m'ont familiarisée avec la décision administrative et le fonctionnement de l'État. J'ai aussi trouvé beaucoup de plaisir à diriger des équipes et à coordonner l'action des administrations dans mes domaines de compétences. Depuis quinze ans, j'ai eu la chance de travailler dans plusieurs autorités administratives indépendantes. Après avoir été membre du collège du CSA, j'ai assumé des fonctions comparables pendant six ans à l'Arcep. Depuis deux ans, parallèlement à mon activité de juge au Conseil d'État, je suis membre de la formation de règlement des différends et des sanctions de la CRE.

J'ai vécu cette expérience de la régulation dans des secteurs en constante mutation et en constante évolution numérique au CSA, lors de l'arrivée de la télévision numérique terrestre, et à l'Arcep, au moment de la montée en puissance du quatrième opérateur de télécommunications. Alors que les équilibres de marché étaient bouleversés, j'ai pu mesurer qu'une régulation par le dialogue et l'échange était souvent plus productive pour une autorité de supervision que le recours à des méthodes unilatérales. Ainsi, à l'Arcep, j'ai travaillé sur la programmation de l'extinction de l'itinérance de Free sur le réseau d'Orange ; alors qu'une nouvelle disposition législative votée en 2015 donnait à l'Arcep le pouvoir de modifier unilatéralement le contrat d'itinérance conclu entre les deux opérateurs, il a semblé préférable au collège de l'Autorité de publier des lignes directrices. Les acteurs savaient ainsi quel était l'objectif, et nous les avons fortement incités à négocier. Orange et Free ont programmé eux-mêmes les conditions d'extinction de l'itinérance, sans que l'Arcep ait recours à des mesures unilatérales.

Le dialogue avec le Parlement est tout aussi essentiel. Il doit être régulier et confiant, et c'est déjà le cas : la CNIL a été auditionnée près de trente fois en 2018 sur de nombreux projets et propositions de loi. Elle traite de sujets relatifs au numérique et plus particulièrement à la protection des données. En 2017, elle a ainsi rendu 177 avis sur des projets de textes, et le chiffre pour 2018 devrait être du même ordre. Ces échanges permettent à la CNIL de nourrir ses propres réflexions grâce à l'expérience de terrain des élus. Je souhaite que ces relations se poursuivent dans la confiance et le respect réciproque du rôle de chacun.

Les échanges doivent être fréquents avec les autres autorités administratives indépendantes : la CNIL a par construction un fonds d'actions transversales. Les AAI doivent avoir en commun l'objectif de contribuer à la lisibilité et à l'efficacité de l'action publique.

Si j'ai l'honneur d'être désignée présidente de la CNIL, j'attacherai la plus grande importance à l'animation du collège de la Commission, dans le respect de la grande diversité de ses dix-huit membres, et avec le souci d'une démarche aussi participative et ouverte que possible. Je veillerai à ce que les 200 agents de la CNIL, dirigés par le secrétaire général sous l'autorité du président, puissent contribuer à leurs missions dans les meilleures conditions et avec professionnalisme.

Si la CNIL doit avoir une attitude ouverte et constructive, elle doit aussi se montrer très ferme dans l'exercice de ses missions de surveillance et de régulation, car son rôle est capital ; elle est chargée, dans le domaine qui la concerne, d'assurer la défense des libertés individuelles. Cet enjeu est essentiel pour l'équilibre de notre démocratie à l'heure de la massification des données personnelles et de l'essor des réseaux sociaux - sur lesquels la protection de la vie privée paraît quelque peu malmenée.

La présidence de la CNIL suppose une indépendance, une neutralité, une impartialité et des valeurs auxquelles je suis, par nature et par caractère, profondément attachée. Les différentes étapes de ma vie professionnelle, principalement partagée entre la juridiction administrative et les AAI, en témoignent.

Il y a un peu plus de quarante ans, un des premiers présidents de la CNIL, le sénateur Jacques Thyraud, avait posé un constat clairvoyant en estimant que « l'informatique est porteuse d'une vie meilleure, mais aussi de graves appréhensions ». C'est toujours vrai, mais les enjeux liés à la protection des données informatisées ne sont plus les mêmes. La régulation de ces données privées vient de subir un changement majeur de paradigme et le pouvoir de sanction de la CNIL est entré dans une nouvelle ère : la révolution numérique démultiplie la capacité de collecte et de traitement des données personnelles qui sont exploitées à une échelle industrielle dans une économie mondialisée. Facteurs d'innovation et de progrès - comme dans le domaine de la santé - et de nouveaux services bien souvent gratuits, de tels développements s'accompagnent d'abus, voire de dérives qui mettent gravement et directement en cause les libertés individuelles. La précédente décennie a été marquée par des révélations sur des ventes de données à des fins commerciales, qui ont pu interférer avec le fonctionnement de la démocratie. La confiance des utilisateurs de services numériques a été entamée, et chacun mesure à quel point le ciblage publicitaire numérique peut être intrusif dans nos vies. C'est la raison pour laquelle s'exprime une demande sociale de transparence et de sécurisation de plus en plus forte. Sur le site internet de la CNIL, qui reçoit plus de 8 millions de connexions par an, la rubrique la plus consultée est celle de la sécurisation - notamment des mots de passe.

Le Parlement s'est saisi de cette demande du public lors du vote de la loi du 20 juin 2018. Celle-ci renforce le droit des personnes à maîtriser les usages de leurs données personnelles en prévoyant notamment un accès à une information plus claire et accessible, un nouveau droit à la portabilité des données, et le renforcement de la protection des enfants de moins de quinze ans. Le Gouvernement et le Parlement ont ainsi choisi de mettre en conformité la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec la directive du 27 avril 2016 - dite directive « Police-justice » - et avec le RGPD. Ce règlement européen, entré en vigueur le 25 mai 2018, est l'exemple même de la régulation qui a évolué, en abandonnant un contrôle a priori devenu inadapté et qui visait à l'origine les grands fichiers administratifs, au profit d'un système de contrôle a posteriori qui responsabilise tous ceux qui traitent des données personnelles. Ceux-ci sont engagés dans une logique de conformité qu'il leur faut pouvoir démontrer. La CNIL les accompagne par la mise à disposition d'outils, de guides, de référentiels et d'échanges avec les 80 000 délégués à la protection des données personnelles qui sont en train d'être désignés dans de nombreux organismes publics.

Il me paraît essentiel que la CNIL s'adapte à la spécificité des acteurs : ils n'ont pas tous les mêmes moyens pour se conformer aux obligations découlant du RGPD, notamment les PME et les TPE, ou les communes de petite taille. Celles-ci peuvent regrouper leurs moyens pour se mettre en conformité avec le RGPD, en mutualisant, par exemple, la mission de délégués à la protection des données. Vigilants, vous avez veillé, au Sénat, à ce que la CNIL accompagne les collectivités territoriales, leurs groupements et les PME, et leur donne une information adaptée. Cela doit être une priorité, et la CNIL publiera au premier semestre 2019 un guide pour les collectivités locales.

Fort logiquement, la contrepartie de la responsabilisation des acteurs s'est traduite par un renforcement très significatif du pouvoir de sanction de la CNIL. L'actualité récente a braqué les projecteurs sur ce changement d'échelle. Les sanctions prononcées ne se comptent plus en centaines de milliers d'euros - le maximum de ce qu'avait fait la CNIL jusqu'à présent - mais peuvent désormais atteindre 4 % du chiffre d'affaires annuel mondial d'une entreprise. Certes, la CNIL ne doit sanctionner les manquements que lorsque c'est nécessaire, avec un souci de proportionnalité et en étant particulièrement attentive au fondement juridique de ses décisions, mais elle ne doit pas hésiter à recourir à la sanction : il y va de son autorité et de sa crédibilité. Le RGPD a prévu des dispositions allant de pair : un accompagnement des acteurs lors de leur mise en conformité, et en contrepartie un contrôle beaucoup plus dissuasif.

La dimension européenne de la mission de la CNIL est désormais essentielle. Le RGPD impose à tout acteur international, dès lors qu'il propose un bien ou un service à destination du consommateur européen, de se soumettre au droit européen, même s'il n'est pas établi en Europe. C'est une avancée considérable puisque le droit européen est celui qui comporte le plus de standards de protection. Le règlement a aussi organisé une régulation de l'instruction des plaintes de données transfrontalières entre les différentes CNIL européennes et ouvert la possibilité de prendre des sanctions communes - ce qu'aucune autre entité géographique au monde ne fait. Réunies dans un comité européen de la protection des données, les autorités de régulation pourront adopter des positions communes, voire arbitrer d'éventuelles divergences par des décisions contraignantes. La CNIL devra oeuvrer pour que le niveau de protection des données soit le plus harmonisée possible sur le territoire européen. En effet, le règlement ayant laissé des marges de manoeuvre aux États membres pour durcir la réglementation ou l'assouplir, il ne faudrait pas, comme en matière fiscale, avoir une compétition intra-européenne pour attirer ou conserver le siège des grandes entreprises du numérique.

La bulle de protection qui entoure une donnée en Europe est-elle conservée lorsque cette donnée est exploitée en dehors du territoire de l'Union ? De quelle capacité l'Europe dispose-t-elle pour limiter l'accès d'autorités étrangères aux données des citoyens européens ? L'encadrement juridique des flux transfrontaliers de données entre l'Europe et les États-Unis comporte un enjeu de défense de nos valeurs et de protection de la vie privée. Des accords ont été négociés entre les États-Unis et l'Europe, mais sont parfois insuffisants. Ainsi, la Cour de justice de l'Union européenne (CJUE) a-t-elle invalidé le Safe Harbor en 2015. Le nouvel accord, Privacy Shield, doit donc faire l'objet d'une évaluation rigoureuse et d'une grande vigilance ; c'est un enjeu de souveraineté, dans un contexte où les États-Unis ont adopté juste avant la mise en oeuvre du RGPD un Cloud Act qui facilite l'accès par les autorités américaines, dans le cadre d'une procédure judiciaire, aux données stockées à l'étranger par des entreprises américaines.

La CNIL doit continuer à prendre toute sa part dans la construction d'une régulation européenne unifiée de la protection des données, comme sa présidente Isabelle Falque-Pierrotin s'est appliquée à le faire en présidant de 2014 à 2018 la Réunion des CNIL européennes (G29), et l'année dernière la Conférence internationale des commissaires à la protection des données. L'Europe est en train de devenir une référence mondiale en matière de régulation de la protection des données personnelles ; la Californie s'en est récemment inspirée et certains des plus grands acteurs mondiaux du numérique ont appelé les États-Unis à se doter d'une réglementation fédérale reprenant largement celle adoptée en Europe. L'accord qui vient d'être conclu entre l'Union européenne et le Japon en est aussi une illustration. La CNIL a donc vocation à être une référence en Europe, au moment où la réglementation relative à la protection des données personnelles est une grande ambition.

C'est avec ces convictions que je me présente aujourd'hui devant vous. J'espère vous avoir fait partager la détermination qui serait la mienne à contribuer à ce que la CNIL incarne dans les cinq prochaines années une référence en matière de protection numérique de la vie privée. Il ne s'agit pas d'opposer la vie privée aux politiques publiques ou à la vie des affaires, mais de trouver un équilibre fructueux qui soit gage d'efficacité et de protection.

La CNIL demande régulièrement une importante revalorisation de ses moyens matériels et humains, bien inférieurs à ceux de ses homologues européens. En outre, le RGPD confère à la CNIL des missions complexes et chronophages. Quelle sera votre marge de manoeuvre ? La CNIL a-t-elle les capacités matérielles d'exercer pleinement ses missions ? Ne sera-t-elle pas contrainte de faire des choix et de limiter certaines actions ?

En 2018, la CNIL avait 200 agents et un budget de 17,6 millions d'euros. Le législateur est conscient de l'importance de la mise en oeuvre du RGPD puisque 15 postes équivalents temps plein et 400 000 euros de budget de fonctionnement supplémentaires devraient être attribués en 2019. Cependant, je note que pour une population analogue, la commission britannique compte 500 agents et son homologue allemand 700 - même si je me méfie des comparaisons internationales, surtout avec un système fédéral ; il en est de même dans de nombreux pays qui reçoivent beaucoup moins de plaintes que la France. Tout n'est bien sûr pas une question de moyens, parce que les ambitions sont infinies dans le domaine du numérique. Mais il faut reconnaître que la CNIL est sous tension : elle a enregistré l'année dernière 11 000 plaintes, soit 37 % de plus. S'y ajoutent désormais environ 600 plaintes transfrontalières, dont 400 concernent la France en tant qu'autorité concernée et une quinzaine en tant qu'autorité chef de file, selon la répartition des rôles entre les différentes CNIL européennes.

Dans la mise en oeuvre du RGPD, la CNIL doit être au plus près des acteurs, et concevoir des packs sectoriels de mise en conformité - déjà sept ont été rédigés, notamment pour les personnes âgées ou les véhicules connectés. Nous devons poursuivre cette adaptation aux différents publics.

Par ailleurs, la dimension européenne est plus prégnante ; il y a un enjeu de soft power qui nous incite à être présents et à faire valoir nos positions au sein du Comité européen de la protection des données. De l'extérieur, il me semble que les équipes de la CNIL sont sous tension et certainement très désireuses de faire au mieux leur travail. Il faudrait peut-être mutualiser le plus possible, notamment avec le CSA et l'Arcep sur la télévision connectée, et avec la Commission d'accès aux documents administratifs (CADA) sur l'ouverture des données. Les deux collèges de la CADA et de la CNIL ont siégé ensemble à deux reprises depuis deux ans et un guide sur l'ouverture des données sera publié. Un partenariat avec la Banque publique d'investissement (BPI France) a permis d'éditer un guide très utile et didactique à destination des PME et des TPE. Nous devons avoir des relais locaux puisque la CNIL n'a pas d'antennes locales - cela coûterait une fortune et serait moins adapté.

La CNIL a été créée à l'origine pour réagir à une polémique, afin de protéger les données informatiques personnelles des citoyens qui étaient transmises à l'État. Petit à petit, les choses ont évolué. Avec le RGPD, sa mission première devient de protéger contre tous les usages des données personnelles, et en particulier par les entreprises privées. Votre parcours montre que vous seriez parfaitement adaptée à la mission initiale de la CNIL, mais quelles compétences vous permettront d'évaluer les risques potentiels des évolutions technologiques actuelles et futures sur les données personnelles ? La CNIL a-t-elle un rôle dans la réflexion sur la responsabilité juridique des objets commandés par intelligence artificielle ? Les compétences techniques sont importantes pour faire face aux nouveaux enjeux. J'ai l'impression que vous avez un CV qui correspondrait à la CNIL d'il y a dix ans...

Par ailleurs, depuis l'adoption du RGPD, vous pouvez prononcer des amendes très fortes : 4 % du chiffre d'affaires mondial ; c'est bien, mais quand vous prenez de telles décisions, vous n'en êtes pas responsable : en cas de contentieux, c'est l'État qui paie. Comment envisagez-vous d'exploiter cette nouvelle compétence qui engage l'État tout en étant indépendante ?

Ce sera à vous de juger de mes compétences, mais il ne faut pas regarder les compétences uniquement dans le rétroviseur. Pendant quinze ans, au sein d'autorités de régulation, j'ai été au contact des entreprises : au CSA pour les libertés publiques, à l'Arcep, qui est plutôt une autorité de concurrence sectorielle, pour la défense de la liberté de communication. Dans ces deux autorités, il y a des enjeux économiques que les acteurs ne se privent pas de rappeler, de même au Comité des sanctions et de règlement des différends de la CRE. Au service de l'État depuis trente ans, je n'ai certes pas travaillé en entreprise, mais j'ai vraiment été au contact de grands acteurs du numérique alors que le secteur était chamboulé. Comme ces autorités de régulation sont supposées avoir un rôle d'expertise et de prospective, j'ai naturellement réfléchi, avec mes collègues, aux enjeux de ces secteurs.

La question de Jean-Yves Leconte portait sur votre connaissance du monde de l'entreprise, mais aussi sur votre familiarité avec les technologies de l'information.

À l'égard des technologies, la CNIL doit être neutre. Elle n'a pas à porter un jugement sur les objets connectés, les algorithmes ou l'intelligence artificielle. Elle a simplement à porter un jugement sur l'usage, même si naturellement il vaut mieux comprendre ce dont on parle. D'ailleurs, la CNIL comprend des experts qui maîtrisent mieux que moi ces technologies. En ce qui concerne les usages, même un profil qui n'est pas technologique peut comprendre les principes de transparence ou de supervision, car la machine recèle beaucoup de promesses et de possibilité, mais elle n'a pas de bon sens ni de valeurs morales. La CNIL est davantage chargée de l'encadrement des technologies que des technologies elles-mêmes.

En ce qui concerne les amendes, je ne suis pas convaincue que la CNIL coûte très cher à l'État.

On l'a déjà vu avec le CSA. En cas de forte amende, si vous perdez le contentieux, vous exposez l'État puisque c'est lui qui paie.

L'État est gagnant puisqu'il récupère le produit des amendes. À charge pour la CNIL de faire en sorte que le risque contentieux soit le plus faible possible. À ce niveau d'amende, il importe de s'assurer de la solidité juridique de la sanction, notamment via une amende proportionnée.

Votre profil a été décliné : appartenance à un grand corps, expérience des cabinets ministériels. C'est sans surprise le profil des présidents des hautes autorités. Mais s'agissant de la CNIL, une certaine maîtrise technique me paraissait absolument indispensable. Certes, vous dites que vous n'avez pas à juger des techniques, mais ne faudrait-il pas les connaître suffisamment pour en percevoir les mauvais usages ou les failles ? Par exemple, nous avons longuement réfléchi et hésité sur la question de la mutualisation des fichiers devant servir à l'établissement des passeports et des cartes d'identité. Quelle était la meilleure technique pour éviter de mauvais usages ? Il me semble important que savoir comment les technologies fonctionnent pour ne pas être complètement dépendant de l'avis des experts.

Se pose donc de nouveau la question de la dimension technique de la fonction. Vous pourriez répondre, comme à Jean-Yves Leconte, que si vous n'êtes pas ingénieur, ces technologies ne vous sont pas étrangères et que vous êtes en mesure d'en saisir toutes les complexités. Par ailleurs, je note que le législateur a opportunément prévu l'existence d'un collège afin, justement, d'y regrouper des compétences variées, lesquelles ne peuvent être le fait d'une seule personne !

Effectivement, les personnes désignées au sein du collègue de la CNIL le sont en fonction de deux critères de par la loi : une connaissance en matière de liberté individuelle et une expertise des sujets technologiques. J'ai l'impression, au vu du profil des différents présidents de la CNIL depuis l'origine, que sans être ingénieurs eux-mêmes ils ont réussi, avec l'aide d'experts, à mener à bien leur mission, même si j'ai bien conscience que le contexte technologique a changé. La CNIL compte dix-huit membres au sein de son collège, ce qui est considérable et rare. On peut espérer que les profils y sont complémentaires. Il faudrait sinon avoir des compétences juridiques, connaître la régulation, pouvoir siéger dans les instances européennes, et maîtriser parfaitement les technologies. C'est le mouton à cinq pattes ! Je n'ai pas la prétention de remplir toutes ces caractéristiques !

D'après la commission d'enquête présidée par Jacques Mézard, un écart se creuse dans la durée entre le niveau de rémunération et le déroulement de carrière des agents. Au départ, il s'agit de fonctionnaires détachés puis le renouvellement se poursuit avec des fonctionnaires contractuels. Seriez-vous favorable à davantage de transparence en ce qui concerne les rémunérations et les grilles de salaire des autorités administratives indépendantes (AAI) ?

Le recours aux contractuels s'impose de plus en plus sur les sujets techniques. Les rémunérations doivent davantage répondre à une logique de marché et il n'y a pas de raison que la CNIL ne soit pas totalement transparente par rapport à la rémunération de ses agents. Si l'on veut pouvoir conserver dans des structures de petite taille des agents de talent, il faut pouvoir leur offrir des perspectives de carrière ainsi que des débouchés dans les hautes autorités administratives indépendantes.

Je connais un excellent agrégé de philosophie qui est devenu spécialiste de l'hydrologie - il n'est pas loin de moi... Je connais une autre personne qui a suivi d'importantes études de lettres et qui a réalisé une station d'épuration pour 300 000 habitants. Je ne partage donc pas l'esprit du temps qui voudrait que les hauts fonctionnaires ou les grands corps fussent des obstacles au changement. Ils sont au service de politiques qui prennent des décisions en s'appuyant sur de l'expertise.

Je suis fasciné par la richesse d'internet, mais je n'accepte pas la généralisation de l'anonymat. De nombreux messages postés en ligne sont contraires à la loi parce qu'ils sont racistes, diffamatoires ou autres. Je voudrais que l'on puisse bien toujours retrouver la personne qui porte la responsabilité de tels messages, or j'ai l'impression que l'on n'y arrive pas. Quelle est votre réflexion sur ce point ? Il me semble nécessaire que chacun réponde de ses actes et de ses écrits, ce qui est loin d'être le cas actuellement.

Si j'étais présidente de la CNIL, j'aborderais avec humilité mes fonctions pour comprendre au mieux tous les enjeux. Votre question porte en substance sur le statut du « pseudonymat » en ligne. Il est certes protecteur de laisser le moins de traces possible sur la toile. J'ignore si la CNIL a réfléchi sur ce sujet, qui me semble aussi relever du législateur, mais il est certain que l'anonymat favorise les propos illicites et la violence. Il y existe un équilibre à trouver entre la protection de la vie privée sur internet et la responsabilité des auteurs de propos condamnables. En 2016, la loi pour une République numérique a donné à la CNIL pour mission de s'interroger sur des débats de société ou sur des questions éthiques, et c'est un des sujets sur lesquels il serait opportun de se pencher.

Instaurerez-vous un délai de réponse pour les questions posées à la CNIL par nos concitoyens ou par les sénateurs ? J'ai posé une question il y a plus de six mois concernant l'utilisation des caméras de lecture automatique de plaques d'immatriculation (LAPI) pour l'écotaxe. À ce jour, je n'ai toujours pas eu de réponse...

La CNIL doit être attachée à répondre avec célérité... avec les moyens qui sont les siens. Je ne peux que m'engager, si j'étais présidente de la CNIL, à ce que cette autorité réponde rapidement aux questions qui lui sont posées.

Quels sont les délais de la CNIL pour traiter les questions dont elle est saisie par l'exécutif, notamment les projets de décret ? Il y a deux ans et demi, le Parlement a adopté une disposition permettant l'accès des polices municipales aux fichiers des plaques minéralogiques et des permis de conduire. Il a fallu attendre plus de deux ans pour que les décrets d'application soient pris. Ayant saisi très régulièrement le ministère de l'intérieur de cette question, on m'a souvent répondu que c'était à cause du Conseil d'État et de la CNIL. Comptez-vous vous imposer des délais minimum ?

La CNIL est chargée de protéger les citoyens, mais elle les protège bien souvent contre la puissance publique, alors que cette dernière est aussi elle-même chargée de protéger les citoyens ! On voit ainsi des policiers confrontés à des difficultés d'accès aux fichiers. Je pense aussi aux difficultés d'utilisation de la vidéo-protection. Les technologies avancent très vite pour la protection de la population, mais leur usage est retardé par le souci de respecter ces principes importants dont la CNIL est le gardien. Mais à l'inverse, quand il s'agit de protéger nos concitoyens d'intérêts privés situés à l'extérieur de nos frontières, la CNIL est bien souvent impuissante. Dans la mesure où ces questions dépassent le cadre national, existe-t-il une concertation des organismes comparables à l'échelle européenne ?

La CNIL répond en urgence sur un tiers des textes dont elle est saisie, mais deux ans est bien sûr un délai trop long. Logiquement, ce n'est pas de son ressort, mais rien ne lui interdit de comprendre d'où vient le blocage.

Comme je l'ai souligné dans mon propos liminaire, il ne faut pas opposer protection de la vie privée et enjeux légitimes de sécurité. La CNIL a pour mission d'insérer en quelque sorte une troisième variable afin de protéger de la manière la plus encadrée possible les citoyens français. L'idée est de porter le moins possible atteinte à la vie privée avec des fichiers qui ont une finalité précise, des durées de conservation, etc.

En ce qui concerne la vidéo-protection, le code de la sécurité intérieure a été rédigé du temps des caméras fixes, or il existe aujourd'hui des caméras-piétons, des drones, de la reconnaissance faciale... Qui dit reconnaissance faciale dit biométrie, sujet sur lequel les textes sont à l'heure actuelle très peu diserts. Il convient de donner une assise juridique plus forte à la vidéo-protection et la CNIL a d'ailleurs appelé publiquement, l'automne dernier, à un débat de société sur ce sujet.

La coopération entre les CNIL européennes est intégrée au sein du comité européen de protection des données (EDPB). Elle vise non seulement à traiter les plaintes transfrontalières, mais aussi à élaborer une véritable doctrine dont peut s'inspirer la commission, notamment pour conclure des accords d'adéquation avec les pays étrangers. Cette coopération doit être menée avec beaucoup d'engagement et de détermination, mais sans être naïf. Le règlement européen a laissé des marges d'adaptation aux différents pays pour assouplir ou au contraire renforcer la réglementation en matière de protection des données. Il faut veiller à ce que tout reste suffisamment harmonieux.

Vous avez notamment évoqué la loi de 2016 relative aux conditions de l'expérimentation de l'usage de caméras individuelles par les agents de police municipale dans le cadre de leurs interventions. Les projets de reconnaissance faciale se développent, souvent importés de pays européens qui ne sont pas soumis aux mêmes contraintes. Cela pose la question de la trace biométrique. La directive européenne dite « police-justice » de 2018 a autorisé les systèmes de traitement automatisé des données, avec une réserve de « nécessité absolue », qui reste à définir. Comment voyez-vous l'évolution du droit actuel sur ce point ? Vous avez dit que la CNIL était une sorte de thermomètre, comment pensez-vous votre mission vis-à-vis du public, de plus en plus intéressé par ces questions ? Comment envisagez-vous de rassurer tout un chacun ?

Il serait souhaitable que la CNIL ne soit pas obligée de se prononcer au coup par coup sur la reconnaissance faciale, mais qu'elle puisse mener une réflexion d'ensemble, solide juridiquement, pour traiter les grands enjeux de société que cela soulève. Nous avons un très gros effort de pédagogie à faire en direction de nos concitoyens sur les droits nouveaux créés par le RGPD : il faut que leur consentement soit plus éclairé, qu'ils en connaissent les conséquences, qu'ils connaissent le droit à la portabilité des données. Nous aurons gagné lorsque nous serons arrivés à faire du Consumer empowerment, afin d'aider les consommateurs à prendre en compte la protection des données dans leurs choix. Pour y arriver, un effort de vulgarisation est nécessaire. La CNIL reçoit 200 000 appels par an, 17 000 requêtes par internet, elle traite 11 000 plaintes, il y a 8 millions de contacts sur son site internet ; mais ce n'est pas suffisant : il faudrait essayer de démultiplier ses actions avec des relais.

Que pensez-vous de la dissémination des informations privées ? Utilisez-vous, vous-même, un réseau privé virtuel (VPN) ou une messagerie cryptée pour communiquer ? Quelle est votre position sur la neutralité du net ?

La CNIL ne peut qu'être favorable au chiffrement des données. Je n'ai rien contre la technologie de la blockchain, qui permet un partage de données infalsifiables.

La neutralité du net intéresse plusieurs AAI et nous concerne tous. La France est en pointe sur ce sujet. Il est fondamental qu'internet soit accessible à tous, sans considérations de puissances ou d'intérêts économiques. Mais dans d'autres pays, c'est sujet à débat ; ce n'est pas acquis.

La loi du 13 novembre 2014 permet le blocage des sites faisant l'apologie du terrorisme et diffusant de la pédopornographie. Le dispositif de blocage est soumis au contrôle d'une personnalité qualifiée qui est désignée au sein de la CNIL par celle-ci. Or cette personnalité alerte depuis plusieurs années sur l'insuffisance des moyens qui sont mis à disposition, risquant même, je la cite, « de compromettre l'effectivité de son contrôle. »

C'est en effet un magistrat membre du collège de la CNIL qui est chargé de contrôler ce que fait le ministère de l'intérieur, voire de saisir un juge, le cas échéant en référé, s'il y a une divergence d'appréciation. Les cas soumis sont très nombreux et ce nombre a augmenté de 1 270 % en un an. Deux volontaires parmi les agents de la CNIL traitent ainsi 30 000 sites par an, dont 6 000 ont été fermés pour apologie du terrorisme et 1 000 pour pédopornographie. Cela suppose un examen au cas par cas qui demande beaucoup de motivation...

Justement, dans le contexte de la mise en place du RGPD, la CNIL dispose-t-elle de suffisamment de personnels ?

Le budget de la CNIL dépend du programme 308, qui regroupe plusieurs AAI sous la houlette du Secrétariat général du Gouvernement (SGG). Si je suis nommée présidente de la CNIL, je ferai le siège de ce dernier pour augmenter les moyens de cette autorité, dont les missions ont été considérablement renforcées. Mais soyons aussi réalistes : dans un contexte budgétaire contraint, il faut aussi faire des gains de productivité et développer au maximum les partenariats avec ceux qui ont peut-être plus de moyens que nous. J'ai découvert une vidéo, vue 6 millions de fois, qui donne des conseils aux adolescents et jeunes adultes pour protéger leur vie privée. Elle a été faite par la Mutuelle générale de l'Éducation nationale (MGEN), mais c'est la CNIL qui en a fourni la substance.

La CNIL a inauguré le cycle de création des AAI qui se sont multipliées en quelques décennies. Depuis la commission d'enquête sénatoriale à laquelle j'ai participé en 2015, il y en a moins. La question de leur fusion a été abordée, le Défenseur des droits étant précurseur en la matière. Seriez-vous opposée à une fusion avec d'autres AAI ?

M. Mézard parle d'expérience : il a été l'un des auteurs et le rapporteur de la loi portant statut général des AAI.

Je me garderais bien d'avoir une position de principe sur un sujet aussi important. On peut en effet imaginer toutes les organisations possibles. Le rapprochement de la CNIL et de la CADA - dont le président siège au collège de la CNIL et dont le collège peut siéger avec le sien - montre combien cela peut être utile.

Concernant la CNIL en particulier, il ne faut pas ignorer une problématique juridique : la plupart des textes européens sur la protection des données exigent une AAI. Qu'en serait-il en cas de fusion ? On se retrouverait probablement avec des sous-collèges et des services différents... Deuxième point à prendre en compte : les données personnelles vivent avec le RGPD un vrai bouleversement ; une fusion serait un deuxième bouleversement qui pourrait être contre-productif.

Mais je suis ouverte naturellement à tout ce qui peut contribuer à nouer des liens supplémentaires avec les autres AAI : mutualisation de fonctions supports, enquête commune avec le CSA et l'Arcep par exemple sur la télé connectée ou avec l'Autorité de la concurrence sur la publicité.

Je vous remercie et invite mes collègues à rejoindre la salle de la commission des lois afin de procéder au vote.

Ce point de l'ordre du jour a fait l'objet d'une captation vidéo qui est disponible en ligne sur le site du Sénat.

La réunion, suspendue à 17 h 15, est reprise à 17 h 25.

- Présidence de M. Philippe Bas, président -

Nous avons procédé à l'audition de Mme Marie-Laure Denis, que le Président de la République envisage de nommer aux fonctions de présidente de la Commission nationale de l'informatique et des libertés (CNIL). Nous allons maintenant procéder au vote sur cette proposition de nomination. Il se déroulera à bulletins secrets comme le prévoit l'article 19 bis de notre Règlement. En application de l'article 3 de la loi organique du 23 juillet 2010 relative à l'application du cinquième alinéa de l'article 13 de la Constitution, les délégations de vote ne sont pas autorisées.

Il vous est demandé d'inscrire la mention « pour » ou « contre » sur un bulletin blanc. Je vous rappelle que le Président de la République ne pourrait pas procéder à la nomination de Mme Marie-Laure Denis si les votes négatifs au sein de notre commission et de la commission des lois de l'Assemblée nationale représentaient au moins trois cinquièmes des suffrages exprimés au sein des deux commissions.

Les dépouillements des scrutins auront lieu demain matin à 10 h 30, simultanément au sein des commissions des lois de l'Assemblée nationale et du Sénat.

En ma qualité de membre de la CNIL désigné par le Sénat, je vous informe que je ne prendrai part ni au vote ni au dépouillement.

Il est procédé au vote.