Intervention de Isabelle Falque-Pierrotin

En ce qui concerne la loi relative au renseignement, le fait que nous n'ayons pas obtenu le droit de contrôler les fichiers en aval fragilise-t-il la protection des individus par rapport aux nouvelles techniques de collecte et aux nouveaux fichiers ? La réponse est sûrement oui.

La CNIL a été saisie de l'avant-projet de loi, sur lequel elle a fait un certain nombre de remarques. Elle a notamment souligné que les nouvelles techniques de collecte envisagées constituaient un filet dont les mailles, à ce stade, étaient trop larges. Elle a donc formulé toute une série de propositions de différentes natures pour resserrer les mailles du filet ; ce qui a été fait pour partie par le Gouvernement.

Nous avons également proposé, dans le but d'apporter une garantie supplémentaire, que les fichiers de renseignement alimentés par les nouvelles techniques de collecte - boîtes noires, sonorisations, IMSI-catchers, etc. - fassent l'objet d'un contrôle externe. Ces fichiers existent déjà, mais ils vont être alimentés par ces nouvelles techniques de collecte. Aujourd'hui, ils ne font l'objet d'aucun contrôle externe, car ils bénéficient d'un régime extrêmement dérogatoire par rapport aux fichiers publics et de police, que nous contrôlons normalement. Leur acte de création n'est pas rendu public. Leur dossier d'autorisation par la CNIL est extrêmement restreint, notamment sur le plan technique. Enfin, nous ne les contrôlons pas ; je ne peux pas décider d'envoyer une équipe pour contrôler les fichiers de la Direction générale de la sécurité extérieure (DGSE), ou de la Direction générale de la sécurité intérieure (DGSI).

Bien avant le débat sur le projet de loi relatif au renseignement, dès le début de l'affaire Snowden, nous avions demandé au ministre de l'intérieur de l'époque d'instituer un contrôle de ces fichiers. Nous lui avions dit que, dans la période nouvelle qui s'ouvrait avec les révélations d'Edward Snowden, il devait apporter des garanties supplémentaires quant au fonctionnement de ces fichiers, qu'il ne pouvait pas se contenter de maintenir lestatu quo, parce que, sinon, il y aurait des Snowden partout, car il y aurait un risque de défiance à l'encontre de ces fichiers.

J'avais déclaré publiquement qu'il fallait imaginer un contrôle de la CNIL sur ces fichiers. Il s'agirait évidemment d'un contrôle spécifique ; nous nous rendons bien compte que les caractéristiques de ces fichiers nécessitent une vigilance et des modalités de contrôle particulières. Nous sommes capables de nous faire habiliter secret défense ; c'est d'ailleurs le cas aujourd'hui. Nous avions beaucoup avancé dans la préparation d'un éventuel contrôle de ce type.

Le législateur n'a pas souhaité répondre à notre proposition. Dont acte. La responsabilité politique a été prise. Pour notre part, nous resterons extrêmement vigilants quant à la manière dont le Gouvernement et les services mettront en pratique la loi relative au renseignement. En effet, même si sa rédaction n'est pas ambiguë, elle peut être mise en pratique de différentes manières. Il est donc très important que nous puissions, en tant qu'autorité de régulation, être vigilants à l'avenir.

J'ajoute que nous pouvons exercer notre contrôle sur certains fichiers de renseignement ; tous ne sont pas concernés par l'exception au principe du contrôle par la CNIL. Par exemple, nous pouvons contrôler les fichiers du renseignement pénitentiaire.

Pour répondre de manière synthétique à votre première question, je regrette que la loi relative au renseignement ne prévoie pas la mise en place d'un contrôle par la CNIL, mais cela ne nous empêchera pas, à l'avenir, et en coopération avec la Commission nationale de contrôle des techniques de renseignement (CNCTR), de faire notre métier en vertu de nos habilitations législatives.

Votre deuxième question portait sur le financement de la CNIL. Nous avons réfléchi à un financement autre que budgétaire. Lorsque j'ai pris mes fonctions, en septembre 2011, il y avait un projet dans les tiroirs de la CNIL. Il s'agissait de travailler sur la notion d'autorité publique indépendante (API) et d'étudier la possibilité de disposer d'une ressource spécifique à partir de laquelle accorder une personnalité morale indépendante à la CNIL. À l'époque, la ressource envisagée était la facturation des déclarations et autorisations. La difficulté est que le régime des formalités préalables va pour l'essentiel disparaître avec le nouveau règlement européen. Par conséquent, je ne vois pas quelle pourrait être la base d'une éventuelle « redevance CNIL ».

En outre, le passage à un tel mode de financement nécessiterait un réaménagement complet de la structure institutionnelle. Le collège de la CNIL devrait être transformé en une sorte de directoire ; il ne serait plus un collège « politique » - au sens d'une impulsion politique - se réunissant en séance plénière. Peut-être pourrons y réfléchir à nouveau demain, lorsque le règlement européen sera adopté, mais, aujourd'hui, cela déstabiliserait considérablement l'institution.

La question de l'indépendance de la CNIL se poserait également. Le statut actuel nous garantit - je l'ai dit à plusieurs reprises - une équidistance entre le public et le privé. Il y aurait plus d'inconvénients que d'avantages à monnayer nos avis. L'avantage du statut actuel est que les sanctions sont versées au budget de l'État. Aujourd'hui, leur niveau est très faible, mais il peut être relativement intéressant de conserver le statut actuel pour le cas où elles seraient portées demain à 2 %, voire à 5 %, du chiffre d'affaires mondial des sociétés.

Votre troisième question concernait les deux rôles de la CNIL, et plus particulièrement sa relation avec les entreprises. On entend très souvent ce discours : la CNIL empêcherait les entreprises d'innover et handicaperait par ses délais les acteurs français dans leur conquête des marchés internationaux. Je ne le crois pas du tout. Nous n'avons pas été saisis une seule fois - et ce n'est pas faute d'avoir sollicité ceux qui se plaignaient - d'un projet ou d'une solution qui auraient été rendus plus difficiles à cause de l'inertie de la CNIL.

Je reconnais que, dans un domaine - celui des autorisations de recherche -, nos délais sont trop longs. Cependant, ce n'est pas uniquement de notre fait. L'avis de la CNIL n'est sollicité qu'au terme d'un processus auquel participent successivement plusieurs organismes consultatifs. Les équipes de recherche peuvent ainsi attendre pendant un an l'avis de la CNIL, ce qui constitue effectivement un handicap.

En revanche, pour ce qui est des acteurs économiques classiques, je n'ai pas connaissance de ce que vous dites. Je dirais même que c'est l'inverse. Toutes les études - une enquête Eurobaromètre a récemment été publiée par les institutions européennes - montrent que les clients et les citoyens sont de plus en plus préoccupés par l'utilisation de leurs données personnelles dans l'univers numérique. Même s'ils acceptent de confier leurs données aux acteurs économiques, car ils considèrent que c'est une sorte de fait de la modernité, ils sont un peu inquiets et voudraient avoir de la maîtrise. C'est pourquoi, aujourd'hui, la protection des données personnelles est un argument concurrentiel pour les acteurs. Elle peut leur permettre de souligner qu'ils construisent une relation de confiance avec leurs clients, leurs usagers, parce qu'ils les respectent en respectant leurs données. Cela fait trois ou quatre ans que nous développons cet argument et il commence à être entendu.

Pour vous donner un exemple concret, tous les ans, un grand salon de l'électronique, où sont présentées de nombreuses innovations dans le domaine des nouvelles technologies, se tient aux États-Unis. Toute une série de start-up et d'acteurs français de l'internet des objets se sont rendus à ce salon et ont mis en avant la protection des données personnelles comme argument de vente.

Il ne faut pas que la protection des données personnelles abrite la frilosité de certains. Encore une fois, la protection des données personnelles ne doit pas être excessive. Il est important de trouver un équilibre. La CNIL recherche un équilibre entre la protection des personnes et l'accompagnement de l'innovation. En tant que régulateurs des données personnelles, notre métier est d'élaborer cet équilibre. Si nous le faisons correctement, nous apportons aux acteurs un avantage concurrentiel qui est très déterminant aujourd'hui.