Intervention de Paul Hébert

Les missions de la Cnil - veiller au respect de la loi Informatique et libertés - revêtent deux formes : celles d'un contrôle a priori et d'un contrôle a posteriori du traitement de données à caractère personnel au sens large, puisqu'il peut s'agir de leur collecte, de leur utilisation ou de leur transmission par les réseaux. Elle n'est pas concernée en l'absence de données à caractère personnel, lorsqu'il s'agit de données économiques ou météorologiques par exemple.

Le contrôle a priori varie selon le degré de sensibilité de l'information. L'avis - régime intermédiaire - est le plus fréquent pour les données administratives : selon l'article 26 de la loi, le traitement de données intéressant la sûreté de l'Etat, la défense ou la sécurité publique est soumis à un arrêté après avis de la Cnil - il faut un décret en Conseil d'Etat pour les données à caractère sensible (religion, vie sexuelle...) ; cela inclut les téléservices comme mon.service-public.fr. L'autorisation, régime plus restrictif puisque le silence vaut alors refus, s'applique généralement à la sphère privée : biométrie, santé (chapitres IX et X de la loi), ainsi que les transferts de données hors de l'Union européenne vers des pays n'ayant pas de législation protectrice en ce domaine ; cela peut concerner des documents publics numérisés par des sociétés ayant leur siège à l'étranger.

Ces formalités sont de plus en plus simplifiées depuis 2004 : les dispenses pour les collectivités territoriales sont de plus en plus nombreuses, comme pour le matériel électoral ou les fichiers de paie ; des déclarations simplifiées ont été mises en place pour les demandes fréquentes ; sur la diffusion des archives en ligne, la Cnil a fait oeuvre de droit mou en mettant une place l'autorisation unique qui fixe un cadre et dispense les administrations de demander formellement une autorisation. Toutes ces formalités sont dématérialisées. Le correspondant Informatique et libertés, créé en 2004, est un personnage important - un service spécifique est consacré à ce réseau de 3 704 correspondants couvrant 13 000 organismes, certains, comme les huissiers et les notaires, mutualisant leurs correspondants. Il y en a de plus en plus dans la sphère publique : autour de 500. Chaque formalité s'accompagne de flux importants de demandes de conseils. La Cnil y répond, édite des guides mis en ligne, comme sur le droit d'accès ou sur la réutilisation des données publiques, en coopération avec le Conseil d'orientation de l'édition publique et de l'information administrative (Coepia). Elle rend aussi des avis sur des projets de décret ou de loi, ainsi, dernièrement, sur la transparence de la vie publique.

Le contrôle a posteriori se renforce, en contrepartie de l'allègement du contrôle a priori. La proposition de règlement européen sur la protection des données personnelles actuellement en discussion alourdirait encore les sanctions. Sur pièces et sur place selon la loi, ce contrôle est le plus souvent sur place. De 40 contrôles en 2004, principalement en Ile-de-France, la Cnil est passée à 450 contrôles sur l'ensemble du territoire national en 2012. L'article 48 bis du projet de loi sur la consommation ouvre la possibilité de faire des contrôles en ligne pour constater une violation de sécurité, par exemple : la Cnil pourrait dresser un constat probant en cas de faille dans fichier d'entreprise, par exemple.