Intervention de Jean-Yves Leconte

J'ai trois questions, ou préoccupations. Vous avez probablement suivi les débats parlementaires sur le projet de loi relatif au renseignement. Vous connaissez en particulier le sort réservé aux amendements qui visaient à charger la CNIL du contrôle des fichiers pouvant être créés à l'occasion des opérations des services de renseignement. Quel est votre sentiment sur la crédibilité de la puissance publique, après la promulgation de la loi, quant à sa capacité à garantir aux citoyens que les fichiers qui les concernent sont tous correctement contrôlés ?

Il a été refusé que la CNIL puisse avoir accès à un certain nombre de fichiers, dont on peut supposer qu'ils ont été créés, puisque des amendements visant à permettre la transmission d'informations, en particulier concernant les prestations sociales, à des services de l'État, ont été déposés. Dans quelle mesure cela affaiblit-il votre capacité à garantir que la puissance publique respecte les données personnelles des citoyens ?

Ma deuxième question a trait à votre pouvoir de sanction et au financement des AAI. Au fur et à mesure que nous auditionnons ces dernières, nous nous apercevons que certaines sont financées par les prestations qu'elles offrent : à chaque fois qu'une entreprise a le besoin ou le devoir d'interroger une AAI, elle paye. La CNIL, quant à elle, est entièrement financée par l'État. Quel est votre avis sur ce sujet ? Faudrait-il élargir l'assiette, trouver d'autres sources de financement ? Cela menacerait-il votre indépendance ? Cela influerait-il sur votre capacité à appliquer des sanctions financières et sur le versement au budget de l'État des sommes ainsi récupérées ?

Ma troisième question concerne votre rôle. En réalité, vous en avez deux : garantir aux citoyens que leurs données personnelles sont protégées et s'assurer que les entreprises qui agissent dans ces matières utilisent des procédures garantissant le respect des données personnelles. J'entends quelques entreprises se plaindre que vous privilégiiez peut-être un peu trop les citoyens par rapport aux entreprises et que, par conséquent, les habilitations ou réponses qu'elles attendent de votre part n'arrivent pas à temps, si bien que les solutions sont offertes par des entreprises étrangères. Que pouvez-vous dire sur ce sujet ? C'est la capacité des entreprises françaises à être présentes partout, à offrir leurs solutions de protection des données hors de France, qui est en jeu. Si vous privilégiez trop votre rôle de protection des données des citoyens, au point de répondre trop lentement aux entreprises, celles-ci risquent d'être affaiblies.

On peut également se demander si votre rôle auprès des entreprises doit vraiment être confié à une AAI. Il en va de même de votre rôle dans les négociations internationales, que vous avez évoqué tout à l'heure. Ne serait-ce pas le rôle du Gouvernement de le faire ? Que vous jouiez un rôle en France, c'est ce qu'on attend de vous, mais est-ce votre rôle - au-delà des partages d'expériences, qui sont normaux - de prendre des positions sur la manière dont les données personnelles doivent être protégées dans d'autres pays, y compris hors de l'Union européenne ? Considérez-vous que c'est votre rôle de le faire, ou le faites-vous parce que le Gouvernement ne le fait pas, ou encore le faites-vous en accompagnement du Gouvernement ?