Intervention de Axelle Lemaire

Monsieur Leconte, vous estimez que les articles organisant une gouvernance mieux coordonnée entre la CNIL et la CADA méritent d’être supprimés.

Je tiens à rappeler pourquoi le Gouvernement a jugé, à l’inverse, pertinent de rapprocher ces deux institutions. J’insiste par ailleurs sur l’attitude de prudence que nous avons choisi d’adopter : il s’agit d’un simple rapprochement et non d’une fusion. Cette seconde solution a pu être envisagée initialement. En définitive, nous avons conclu qu’il fallait avancer par étapes.

Dans de nombreux pays européens, les équivalents de la CNIL et de la CADA sont réunis au sein d’une seule et même institution. Il en est ainsi au Royaume-Uni, avec le célèbre Information Commissioner’s Office. La plupart des États d’Europe centrale ont, plus récemment, lors de leur entrée dans l’Union européenne, créé une institution unique chargée de contrôler le traitement dont les données font l’objet. Ce sont donc, en quelque sorte, des agences de la data.

À l’heure actuelle, si la France devait créer de toutes pièces une institution de ce type, il semblerait naturel qu’elle opte pour ce système.

Cela étant, nous devons composer avec une longue tradition, à la fois dans le champ de la protection des données personnelles et dans le domaine du droit à l’information. Il s’agit là d’un double secteur.

À un même moment de notre histoire, en 1978, deux lois distinctes ont été adoptées. L’une, la loi CNIL, vise à protéger les données personnelles. À l’époque, ce texte a été conçu en réaction à l’usage de fichiers créés par l’État et jugés liberticides. L’autre, la loi CADA, a été votée dans le contexte de la guerre froide, en un temps où l’Union soviétique employait des méthodes de contrôle de ses citoyens. Ce second texte visait ainsi à libéraliser la société et à accroître les droits individuels.

La France peut être fière de compter parmi les premiers États à s’être organisée en la matière. La CNIL française a d’ailleurs inspiré, par la suite, de nombreux pays.

Cette ancienneté revêt un autre intérêt : grâce à elle, nous disposons d’une doctrine très stable et très éprouvée pour chacune des missions assignées à ces institutions. En conséquence, les entreprises et les administrations peuvent, aujourd’hui, identifier clairement le périmètre de leurs obligations.

On le sent bien, les enjeux se croisent davantage qu’auparavant. L’examen des articles de ce projet de loi relatifs à l’open data l’a bien montré. Les enjeux de respect de la vie privée, le traitement dont peuvent faire l’objet les données personnelles, leur anonymisation, les risques de ré-identification sont très présents dans les questions que se pose aujourd’hui la CADA. En résulte la nécessité de faire collaborer plus étroitement encore ces deux commissions dans les textes, puisque les pratiques sont déjà bien ancrées.

Nous avons fait le choix d’une participation croisée, tout en ouvrant, pour la CNIL et la CADA, la faculté de se réunir au sein d’un collège commun. Il s’agit là, je le répète, d’une démarche progressive.

J’ai demandé à M. Jean Massot, président de section honoraire au Conseil d’État, d’analyser la nécessité d’aller plus loin pour prendre en compte les nouvelles missions prévues dans le cadre du présent texte. M. Massot remettra ses conclusions au Gouvernement. Je pourrai, si vous le souhaitez, vous les transmettre, voire les placer en open data. §Ainsi pourrons-nous poursuivre cette réflexion.

De manière tout à fait pragmatique, le rapprochement de la CNIL et de la CADA se fera tout simplement par un déménagement immobilier : ces deux organisations seront très bientôt logées dans un même immeuble de l’avenue de Ségur. Leurs deux cultures doivent conserver leurs spécificités tout en se rapprochant, pour assurer une stratégie nationale cohérente en matière de données. Peut-être ce rapprochement physique permettra-t-il, au premier chef, une collaboration plus étroite.