Intervention de Isabelle Falque-Pierrotin

Je vous remercie de donner la possibilité à la CNIL de s'exprimer cet après-midi et d'apporter sa contribution à cette « galerie de portraits » d'autorités administratives indépendantes (AAI) que vous avez commencé à constituer depuis maintenant quelques semaines.

Sur la base du dossier très complet que nous vous avons envoyé, je souhaiterais tout simplement mettre en avant quelques points caractéristiques de la CNIL.

Premier point, la CNIL est la première des AAI à avoir été consacrée comme telle, en l'occurrence par la loi de 1978. À l'époque, c'est la création de ce fameux fichier SAFARI, dans le cadre de l'informatisation de l'administration, qui suscitait la crainte. Et la création de la CNIL visait par conséquent à protéger l'individu par rapport à l'arbitraire public, et donc à défendre les libertés publiques.

Progressivement, la justification de cette autorité s'est un peu modifiée et, désormais, s'ajoute à la défense des libertés publiques la dimension plus économique des données. La CNIL devient ainsi un régulateur des données personnelles dans un univers numérique qui se dématérialise et qui croît de plus en plus.

Ce modèle français de l'autorité administrative indépendante a essaimé et a été copié. Il a été copié d'abord en Europe, puisqu'on compte des « CNIL » dans les vingt-huit pays membres de l'Union européenne - moi-même, je préside le G29, le groupe des « CNIL » européennes

L'existence de ces autorités administratives indépendantes est consacrée à la fois par la directive de 1995, mais aussi et surtout par le traité sur le fonctionnement de l'Union européenne, dont l'article 16 prévoit expressément une autorité administrative indépendante.

L'existence de ces autorités est strictement contrôlée par la Cour de justice de l'Union européenne. Nous l'avons vu récemment dans plusieurs affaires concernant l'Allemagne ou la Hongrie : la Cour se livre à un contrôle aussi matériel du fonctionnement des autorités concernées pour vérifier qu'elles sont bien des autorités administratives indépendantes et pour s'assurer de leur réelle indépendance.

Ce modèle a aussi essaimé au niveau international puisque, par exemple, dans l'univers de la francophonie, le principe d'une autorité administrative indépendante est ce qui réunit les autorités francophones au sein de l'Association francophone des autorités de protection des données personnelles, l'AFAPDP, dont la CNIL assure le secrétariat général depuis 2007 et qui à ce jour réunit quinze autorités. Son rôle est tout à fait important puisqu'elle permet de promouvoir dans l'espace francophone la création d'une loi sur la protection des données personnelles et la constitution d'autorités indépendantes pour assurer le respect de cette loi.

Notre modèle français est progressivement devenu un modèle de référence au niveau européen, mais aussi au niveau international.

Deuxième point, la CNIL est une autorité en pleine métamorphose, qui a changé depuis sa création en 1978 et la loi de 2004. Cette métamorphose va bien au-delà de ces changements législatifs, et ce à cause du changement d'environnement auquel nous assistons depuis maintenant un peu moins d'une dizaine d'années, majoritairement depuis les cinq dernières années.

Que s'est-il passé au cours de ces cinq dernières années ? Les données, les données personnelles en particulier, ont pris une importance qu'elles n'avaient évidemment pas au moment de la création de la CNIL. À l'époque, on a voulu encadrer les fichiers, notamment les fichiers publics. Aujourd'hui, nous sommes dans l'ère des données, qui sont partout : elles sont dans nos activités personnelles, dans les réseaux sociaux, elles sont dans nos activités professionnelles quelles qu'elles soient, elles sont dans les modèles économiques des entreprises, dans l'innovation, elles sont en fait dans l'ensemble des métiers. Le rôle du régulateur ne peut pas être exactement le même dans un univers où la donnée est partout.

Concrètement, quelle en est la conséquence pour la CNIL ? La première conséquence de cette explosion des données, qui illustre la transition numérique dans laquelle sont engagés tous les acteurs individuels, publics et privés, c'est une pression quantitative considérable sur notre institution : 6 000 plaintes par an, 450 contrôles, 130 000 appels téléphoniques.

Nous avons très récemment lancé une sorte de SVP de la privacy, de la protection des données personnelles, sans aucune publicité sur notre site. Ce petit bouton d'aide, en l'espace d'un mois, reçoit plus de 700 questionnements par jour. C'est vous dire l'appétence du public et l'extraordinaire diversité des questions qui maintenant intègrent une dimension protection des données personnelles.

Voici un autre exemple, celui-ci en matière de sanctions : alors que nous sommes au mitan de l'année, j'ai, à ce jour, adressé autant de mises en demeure que l'an passé.

On sent bien que cette digitalisation de la société et cette place nouvelle des données personnelles conduisent à une pression quantitative en termes de sollicitations sur le régulateur qui est absolument sans précédent. La pression est d'autant plus forte que le législateur nous a assigné de nouvelles missions : les failles de sécurité, le contrôle des sites appelant au terrorisme ou des sites pédopornographiques, pour ne mentionner que ces deux nouveautés apparues au cours des dernières années.

La conséquence de cette très forte pression quantitative sur le régulateur est la nécessité de repenser notre métier.

Le métier de la CNIL, jusqu'à présent, a été construit sur des formalités préalables - déclarations, autorisations - et sur des sanctions. Il est évident que, dans un univers où les données occupent la place que je viens de décrire, les simples formalités préalables ne permettent pas d'accompagner la donnée dans tout le cycle qui va être le sien : la donnée n'est plus fixe dans un fichier, elle circule. Nécessairement, le métier de la CNIL doit continuer à mobiliser l'outil de la sanction, activité essentielle, même si notre pouvoir en la matière est modéré et se limite à une quinzaine de sanctions par an, pour un montant maximal de 150 000 euros par infraction.

Pour essentielle qu'elle soit, cette activité ne suffit pas. Dans l'univers numérique, il faut absolument que nous puissions nous repositionner dans ce que nous appelons le « pilotage de la conformité » et que nous puissions intervenir en tant que régulateur dans cette nouvelle activité consistant à accompagner la transition numérique des acteurs et leur utilisation nouvelle des données personnelles.

Troisième point, c'est l'importance pour cette AAI des enjeux internationaux, notamment des enjeux européens.

Nous sommes à un moment où les données personnelles sont au coeur de toutes les stratégies économiques et, dans le fond, au coeur de l'économie de demain. Pour cette raison, les différents espaces géographiques - Europe, États-Unis et Asie - se livrent à une concurrence normative sans précédent pour accueillir cette économie numérique.

En la matière, l'Europe avait une certaine avance grâce à la directive de 1995. Celle-ci fait actuellement l'objet d'une révision et, à l'occasion de cette révision et de l'élaboration du règlement européen - qui, je l'espère, sera finalisé d'ici à la fin de l'année -, tous les acteurs internationaux se livrent à un lobbying effréné pour faire en sorte que le règlement européen qui sortira du trilogue soit le plus ouvert.

Cela veut dire que nous devons consacrer dans cette présence et dans cette négociation à Bruxelles un temps extrêmement important pour être certains que le texte qui sera élaboré permette au modèle européen de rester fort et rénové dans la période actuelle.

Ne pensons pas que ce que nous faisons en France, que ce qui est fait en Europe, que nos principes soient éternels. Ces principes sont fortement sollicités dans le débat international, comme l'est la structure de nos autorités. Il faut donc que nous soyons extrêmement présents dans cette négociation européenne et internationale.

Je vais vous citer un exemple de risque qui peut concerner le modèle français et européen.

Cette notion d'autorité administrative indépendante nous paraît aller de soi en Europe : elle est inscrite dans nos traités. Au niveau mondial, il existe toute une série d'autorités qui, bien que membres de la conférence internationale annuelle des commissaires à la protection des données et à la vie privée, ne sont pas des autorités administratives indépendantes, même si elles sont « chargées » de la mise en oeuvre des règles de protection des données dans les pays. Je pense, par exemple, à la FTC, la Federal Trade Commission : cette autorité n'est pas une AAI spécifiquement dédiée à la protection des données et, pourtant, elle est membre de la conférence internationale.

Il existe au niveau international une volonté de diluer ce qui fait la spécificité des autorités administratives indépendantes européennes au sein d'une instance beaucoup plus large - qui regrouperait notamment le ministère japonais ou chinois de l'économie -, chargée de la protection des données personnelles et, éventuellement, d'engager des poursuites et de prononcer des sanctions en cas de violation des données personnelles, mais n'ayant pas le statut d'autorité indépendante. On voit bien les risques que cela représenterait pour les individus si, véritablement, on allait dans ce sens.

Dans ce paysage en profonde métamorphose, marqué par une dimension internationale, notamment européenne, de plus en plus prononcée, la CNIL a évidemment dû s'adapter ; la manière dont elle y est parvenue est le quatrième point que je souhaite aborder dans ce propos liminaire.

La première réponse aux mutations a été, bien sûr, l'augmentation des ressources : une augmentation nécessaire, car on ne peut pas s'adapter à la transition numérique en cours depuis cinq ans sans disposer de ressources, en particulier d'effectifs, en rapport avec les nouvelles sollicitations. Aujourd'hui, la CNIL emploie 189 agents. Au reste, au cours des dernières années, la croissance substantielle de nos effectifs a été relativement soutenue par le Gouvernement.

Reste que l'augmentation des ressources ne peut pas être la seule réponse ; si elle l'était, elle serait infinie, car la transition numérique fait naître incessamment de nouveaux besoins. Aussi avons-nous commencé par nous livrer à une analyse drastique de nos dépenses. À cet égard, peut-être avez-vous remarqué, à la lecture du dossier que nous vous avons transmis, que, en dépit de notre croissance, nos dépenses hors titre 2 - en d'autres termes, nos frais de fonctionnement - ont diminué de manière très importante. Cette baisse est le fruit d'un examen et d'un toilettage systématiques de l'ensemble de nos dépenses, jusqu'à la bouteille d'eau consommée par les commissaires en séance plénière, destinés à réaliser toutes les économies possibles.

Ensuite, nous nous sommes attachés à innover, conscients que l'effort d'innovation serait absolument nécessaire pour « digérer » la transition numérique.

Ainsi, en ce qui concerne nos méthodes, nous avons développé les contrôles en ligne récemment autorisés par la loi, grâce auxquels nous procédons à certaines opérations beaucoup plus facilement qu'avant, et à un coût moindre. Nous avons également entrepris, de manière extrêmement volontariste, de simplifier nos formalités préalables qui, si elles sont très importantes du point de vue de la régulation, n'apportent pas, dans bien des cas, de valeur ajoutée immédiate ; je pense aux autorisations uniques, aux dispenses et aux déclarations simplifiées, qui représentent de réelles simplifications pour les acteurs.

Ce travail d'innovation en matière de formalités demeurera une priorité en 2016. Au demeurant, le règlement européen va dans le sens de la simplification, puisqu'il supprime quasiment toutes les formalités préalables, pour les remplacer à la fois par la sanction et par l'accountability, c'est-à-dire la responsabilisation des responsables de traitement.

En ce qui concerne notre organisation, nous avons essayé de la rendre plus agile et plus fluide, afin d'être plus réactifs face aux attentes de ceux qui traitent des données personnelles. C'est ainsi que, récemment, nous nous sommes réorganisés en fonction de nos publics : nous disposons désormais, pour un certain nombre de thématiques, d'un responsable sectoriel, qui est l'interlocuteur des responsables de traitement ; il est capable de comprendre ce que ces derniers veulent et de mobiliser à leur service l'ensemble des outils de conformité que la CNIL peut offrir. Je prendrai l'exemple de notre pôle régalien des collectivités territoriales, dont le responsable est l'interlocuteur privilégié de ces acteurs dans leurs relations avec la CNIL.

Nous avons également innové en ce qui concerne nos outils, car on ne peut pas réguler l'univers numérique aujourd'hui de la même manière qu'il y a vingt ans. Par exemple, au cours des dernières années, nous avons mis au point des « packs de conformité » : il s'agit de sortes d'ombrelles, négociées entre un secteur et le régulateur, qui abritent l'ensemble des usages de ce secteur acceptés par le régulateur en tenant compte très en amont de la problématique « informatique et libertés ». Ainsi, un « pack de conformité » a été conçu avec les assurances, et un autre au sujet des compteurs communicants, qui seront installés dans toutes les maisons : vivement inquiets que ces compteurs puissent être considérés par leurs différents clients comme des « mouchards », les industriels électriques et électroniques ont demandé à la CNIL que soit élaboré en commun une sorte de code de conduite, grâce auquel les compteurs communicants, parce qu'ils intégreraient les problématiques « informatique et libertés », seraient acceptés par leurs clients. Ces outils nouveaux, beaucoup plus souples et beaucoup plus durables, permettent au régulateur d'entretenir un dialogue avec les responsables de traitement tout au long de l'évolution de la donnée.

Toutes ces adaptations ont permis à la CNIL de faire son métier, c'est-à-dire de défendre les libertés individuelles, et aussi, dans le contexte issu de la transition numérique, de réguler les données personnelles. Elles ont nécessité un effort considérable de notre institution, tant du point de vue culturel que du point de vue de son fonctionnement et des compétences qu'elle réclame de ses agents ; de fait, vous vous rendez bien compte que les métiers que nous pratiquons aujourd'hui sont beaucoup plus compliqués que ceux auxquels nous étions habitués il y a une dizaine d'années.

Cette métamorphose de la CNIL, qui ne se terminera, je pense, que dans un an ou deux, c'est-à-dire au moment de l'adoption du règlement européen, a déjà permis des gains de productivité considérables, puisque nous prenons désormais 2 500 décisions par an, contre 1 900 il y a trois ans. Nous avons donc réussi à nous adapter tout en conservant une capacité importante à agir et à décider.