Intervention de Isabelle Falque-Pierrotin

Le règlement européen qui vient d'être adopté constitue une avancée majeure, qui doit d'urgence être complétée par une loi nationale.

En mars 2012 vous vous êtes exprimés sur le sujet à travers une résolution. Le General Data Protection Regulation (GDPR) a été adopté en 2016 et sera pleinement applicable en mai 2018. Il permet la construction d'une Europe des données, appuyée sur un mode de régulation radicalement nouveau : suppression ou fort allégement du contrôle a priori ; renforcement du droit des personnes ; responsabilisation de ceux qui traitent les données ; entrée en force d'un nouveau concept juridique, l'accountability, c'est-à-dire l'obligation de prouver la mise en conformité ; enfin, renforcement des sanctions pouvant aller de 2 % à 3 % du chiffre d'affaires mondial.

Ce texte constitue clairement une étape majeure dans la protection des données et consacre une européanisation de notre mode de fonctionnement. Cette européanisation part d'une phase répressive, puisque nous pouvons désormais prononcer des sanctions communes, pour s'étendre progressivement à la doctrine et aux outils nouveaux de conformité : référentiel, pacte de confiance, etc.

J'insisterai sur un point peut-être moins connu de ce règlement, à savoir le nouveau modèle de gouvernance qui se met en place entre les différentes autorités nationales de protection des données européennes. Une nouvelle institution européenne est créée, le Data Protection Board (DPB). Elle sera chargée d'arbitrer pour les cas transfrontières les éventuels conflits entre les autorités nationales. C'est aussi le DPB qui, in fine, arbitrera la doctrine commune entre les autorités européennes de protection des données.

L'idée est de mettre en place une gouvernance distribuée, c'est-à-dire donnant le premier rôle aux autorités nationales, mais également intégrée, c'est-à-dire obligeant à la coopération entre autorités nationales sur les sujets d'intérêt commun.

Ici, l'Europe innove et répond aux critiques de perte de légitimité de ses institutions, de distance avec le terrain, tout en étant efficace et en offrant un front uni sur les sujets majeurs.

La CNIL et le G29 se préparent à ces évolutions. Le G29, notamment, est en train d'élaborer toute une série de guidelines sur les principaux points du règlement pour les clarifier et offrir aux responsables de traitement une boîte à outils plus explicite.

Au niveau de la CNIL, le GDPR consacre en réalité une évolution que nous avons entamée depuis plus de quatre ans consistant à repositionner notre métier avant tout sur l'accompagnement de la mise en conformité. Tout cela a des conséquences juridiques importantes.

Qui dit règlement, dit applicabilité directe d'un texte. Ce sera en 2018 notre nouvelle loi Informatique et libertés. Néanmoins, le règlement est muet sur les procédures et renvoie aux États membres sur de nombreux points. Il vous faudra donc revoir la loi relative à l'informatique, aux fichiers et aux libertés pour tirer les conséquences du règlement.

Vous devrez abroger tout ce que le règlement reprend ; vous devrez préciser les procédures nouvelles en matière répressive pour permettre les sanctions conjointes ; vous devrez enfin prévoir la situation des secteurs dérogatoires : le secteur régalien, la santé, les traitements journalistiques, etc.

Certaines de ces conséquences ont été anticipées par la loi pour une République numérique. Par exemple, le montant des sanctions a d'ores et déjà été revu à la hausse - 4 millions d'euros -, mais on est encore loin de 2 % à 4 % du chiffre d'affaires mondial. Pour autant, en dépit de ces quelques toilettages, le travail restant à faire est important et doit être mené dans un laps de temps extrêmement court.

Pour être opérationnelle, la nouvelle loi CNIL doit impérativement intervenir avant mai 2018. Un groupe de travail commun avec le ministère de la justice a été mis en place. Conformément à la loi pour une République numérique, un rapport vous sera remis par le Gouvernement le 30 juin 2017.

L'Assemblée nationale, quant à elle, a annoncé la mise en place d'une mission d'information, qui rendra ses conclusions en février prochain. Il serait nécessaire que le Sénat procède également à un travail de réflexion et d'analyse afin que vous soyez prêts à voter un texte courant 2017.

Une nouvelle directive a été adoptée en parallèle au règlement en matière de police et de justice. Elle devra être transposée en droit interne, soit au travers d'une loi spécialement dédiée à ces sujets, soit en toilettant la loi CNIL.

Sur le fond, la CNIL s'est considérablement mobilisée au sujet de cette directive. Nous voulions être certains que le texte ne diminuerait pas le niveau de protection qui est actuellement le nôtre en matière de protection des individus relativement à nos fichiers de police et de justice. Le résultat nous semble bon.

Au-delà du règlement, et à travers le foisonnement de textes ou d'initiatives, se profilent des enjeux plus généraux.

Premier enjeu, la question de la souveraineté. L'Europe est dans une mauvaise posture sur le plan de la protection des données ; certains parlent même de « colonie numérique », les données de ses résidents étant collectées par des acteurs principalement étrangers et traités en dehors de l'Europe, sans les garanties apportées par notre droit.

L'Europe a souhaité réagir à cette situation ; elle l'a fait de plusieurs manières.

Première réponse, le règlement européen sur la protection des données, qui apportera une réponse via le nouveau critère du ciblage : tout acteur international, dès lors qu'il preste un bien ou un service à destination d'un consommateur européen, est soumis au droit européen. C'est une avancée majeure, car nous éprouvons aujourd'hui les plus grandes difficultés à démontrer aux acteurs internationaux que le droit français, par exemple, leur est applicable. Le droit européen sera donc appliqué de façon beaucoup plus rapide et systématique aux acteurs situés hors de l'Europe, au bénéfice des citoyens européens.

La deuxième réponse de l'Europe consiste non pas, cette fois, à protéger les données des citoyens européens vis-à-vis d'acteurs étrangers intervenant en Europe, mais à protéger les données des citoyens européens lorsque celles-ci font l'objet d'un traitement et sont exportées hors d'Europe. C'est tout le problème du privacy shield, à savoir la capacité de l'Europe à limiter l'accès massif et indifférencié d'autorités politiques étrangères aux données de citoyens européens lorsque celles-ci quittent l'Europe. C'est l'autre versant de la souveraineté.

En quelques mots, je rappelle ce qui s'est passé avec le shield et, avant le shield, avec le Safe harbor. Le Safe harbor était un accord qui liait depuis une dizaine d'années l'Europe et les États-Unis sur l'encadrement juridique des flux transfrontaliers de données entre ces deux espaces géographiques. Il a été invalidé par la Cour de Luxembourg en octobre 2015, au motif que la Commission n'avait pas fait son travail : elle avait certes encadré la circulation des données commerciales de l'Europe vers les États-Unis, mais n'avait pas vérifié les conditions dans lesquelles les services de renseignement américains pouvaient accéder à ces mêmes données pour des raisons de sécurité nationale.

Les CNIL européennes, dans le cadre du G29, se sont, dès octobre 2015, emparées du sujet, et ont demandé à la Commission de répondre de façon explicite, par un nouvel accord, aux demandes de garanties des Européens, s'agissant non seulement des acteurs économiques qui exportent leurs données, mais des autorités publiques américaines qui, de ce fait, avaient accès à un gisement de données.

C'est cette pression des CNIL européennes, portant sur le fond comme sur le calendrier - nous avions fixé à la Commission un délai court pour la conclusion d'un nouvel accord -, qui a conduit au nouveau mécanisme du shield, adopté en 2016.

La question du shield, néanmoins, reste entière. Quelles furent les conclusions du G29 sur le shield ? Des progrès, certes, ont été réalisés par rapport au précédent accord du Safe harbor, mais, pour autant, un certain nombre de questions et de réserves demeurent.

Existe-t-il ou non une surveillance massive et indiscriminée des États-Unis ? Les autorités américaines se sont engagées à ce que cette surveillance, si elle existe, reste totalement exceptionnelle. Est-ce vraiment le cas ? Qu'en sera-t-il dans le cadre de l'application du shield ?

Les États-Unis, à notre demande, et pour répondre au besoin de recours qui fait partie des droits et garanties essentiels du citoyen européen, ont mis en place un nouveau dispositif, celui de l'Ombudsperson. Il s'agit d'une institution indépendante dont la compétence est de traiter d'éventuelles plaintes de citoyens européens contre les autorités de renseignement américaines, en cas d'accès disproportionné à des données les concernant.

Nous avons à plusieurs reprises demandé que nous soit précisé le statut exact de cette Ombudsperson, les modalités de son indépendance, la nature précise de ses moyens d'action. Nous avons reçu des engagements écrits. Reste à savoir s'ils sont effectivement tenus.

La première réunion d'évaluation du shield, qui doit avoir lieu au terme de la première année, c'est-à-dire, en l'occurrence, en juin ou juillet 2017, sera donc absolument décisive. Il s'agira de savoir si le nouveau mécanisme d'encadrement des flux de données entre l'Europe et les États-Unis répond ou non aux exigences inscrites dans les textes européens en cas d'exportation de données de citoyens européens de l'Europe vers les États-Unis. J'ajoute que l'arrivée de M. Trump à la tête de l'administration américaine rend nécessaire une vigilance particulière : sur un certain nombre de points, nous devrons veiller à ce que les engagements pris, qui sont notamment de nature réglementaire - je pense au PPD-28, ou Presidential Policy Directive 28, ordonnance signée par le président des États-Unis - soient tenus par la nouvelle administration.

Vous voyez que l'Europe s'est efforcée de prendre ce débat sur la souveraineté à bras-le-corps. Quant au débat sur la surveillance, qui a été lancé à compter de 2013 par Snowden, il trouve aujourd'hui sa traduction dans ce shield. Il s'agit bien sûr d'un accord entre l'Europe et les États-Unis, mais aussi, de fait, d'un standard plus général, à vocation mondiale, élaboré comme un droit fondamental à partir d'une vision européenne de la protection des données. C'est ce qui a conduit à la position de la Cour de justice de l'Union européenne.

Le sujet à venir, en matière de souveraineté, est celui des « free flows of data », c'est-à-dire de tous les accords internationaux qui sont actuellement en négociation sur la circulation des données dans le monde - je pense au TTIP, le Partenariat transatlantique de commerce et d'investissement, ou au TiSA, pour Trade in Services Agreement, l'Accord sur le commerce des services.

L'élection de M. Trump semble certes repousser les échéances - il a annoncé qu'il n'était pas nécessairement intéressé par la signature immédiate de tels accords. Mais la CNIL alerte depuis plusieurs années sur le contenu de ces négociations. En effet, si le mandat de négociation européen exclut les données personnelles, le mandat américain inclut ce que les États-Unis appellent les « données commerciales ». Or les données commerciales, et notamment les données de consommation des clients, sont des données personnelles.

Il existe donc une contradiction entre les objectifs des négociateurs, de part et d'autre de l'Atlantique. Cette contradiction devra absolument être levée. Il est très important que nous soyons extrêmement vigilants, car le TTIP pourrait déconstruire, pour les acteurs américains, la réglementation européenne dont nous venons de parler : c'est un accord international dont le niveau juridique est supérieur à celui du règlement européen.

Cet appel à la vigilance s'adresse aux gouvernements et aux parlements nationaux : il y va de la défense de notre souveraineté et de nos valeurs en matière de protection des données personnelles.

Deuxième thème : le rôle des données dans l'innovation.

Ce n'est pas une nouveauté pour vous : les données personnelles sont de plus en plus centrales dans les modèles économiques et les stratégies d'innovation, qu'il s'agisse du domaine culturel ou d'autres domaines. On parle de « barbares », de « disruption » : tous les secteurs de la vie économique sont concernés.

Cela nous a conduits, à la CNIL, à faire évoluer considérablement notre métier, et à nous repositionner sur l'accompagnement à la mise en conformité et le soutien à l'innovation autour des données, via l'élaboration, avec les acteurs, d'un certain nombre d'outils nouveaux.

Je mentionne, en la matière, quatre sujets.

Premièrement, la directive « e-privacy ». Elle est ancienne - elle date de 2002 -, mais en cours de révision. Ce texte s'adresse avant tout au secteur des télécoms. Mais ses incidences sont plus larges, concernant notamment la réglementation sur les cookies, ces petits fichiers témoins qui permettent de produire de la publicité comportementale ciblée et sont au coeur de tous les modèles économiques du net.

La question est celle de l'articulation de la révision de cette directive avec le règlement européen sur la protection des données. Les failles de sécurité, autre sujet extrêmement important de l'internet, sont traitées dans les deux textes ; les dispositions ne sont pas exactement identiques selon qu'il s'agit d'une faille de sécurité des opérateurs de télécommunications ou d'une faille traitée par le règlement européen. Dans le règlement européen, les dispositions sur les failles de sécurité s'appliquent à tous les acteurs, quel que soit le secteur industriel ou commercial concerné.

Il vous faudra donc, lorsque vous serez saisi de la loi de transposition de cette directive « e-privacy », et peut-être aussi en amont de cette transposition, que vous veilliez à l'articulation entre ce texte spécifique, qui règle la protection des données relatives au secteur des télécoms, et le texte général qui s'applique à l'ensemble des secteurs, le règlement GDPR.

Deuxième sujet : les questions culturelles.

La CNIL a essayé, dans le cadre de son comité de la prospective, d'étudier le développement, dans ce secteur, de la personnalisation et de l'hyperpersonnalisation. Le domaine de la culture est particulièrement sensible, non pas au sens de la loi relative à l'informatique, aux fichiers et aux libertés, mais au regard de la vie des personnes. La consommation culturelle, en effet, dit énormément de l'intimité et du caractère des personnes : quelles chansons écoutez-vous ? À quel moment ? Les écoutez-vous dans leur intégralité, ou passez-vous de l'une à l'autre ? Toute cette vie culturelle dit beaucoup de choses sur le type de personne que vous êtes ! Dans l'étude que nous avons faite, nous avons tenté d'attirer sur ce point l'attention des acteurs culturels - ceux-ci ne sont pas toujours totalement au fait ni des risques ni des attentes éventuelles de leurs consommateurs eu égard à cet hyperciblage.

Troisième sujet, sur le rôle des données dans l'innovation : l'importance des algorithmes. Les algorithmes sont, depuis très longtemps déjà, au coeur de la personnalisation. Avec le développement des nouvelles technologies, ils ont pris une importance et une efficacité sans précédent. Toute la question est de savoir comment ils fonctionnent. Sont-ils transparents ? Quelle est leur fiabilité ? On a vu ces problèmes à l'oeuvre dans le domaine automobile ou dans celui de l'allocation des places d'université après le baccalauréat.

Cette question est absolument transversale ; elle conditionne dans une large mesure la confiance que les individus placent dans les services privés et publics qui leur sont fournis. Cela fait quelque temps que la CNIL y réfléchit ; nous y réfléchirons désormais dans le cadre d'une nouvelle mission qui nous a été confiée par la loi pour une République numérique, à savoir l'organisation du débat sur les questions éthiques liées à l'univers numérique.

Le premier thème dont nous allons nous emparer est précisément celui des algorithmes. Nos objectifs seront de décrypter, dans les différents secteurs de la vie économique, mais peut-être aussi dans d'autres secteurs, les problèmes soulevés par ces algorithmes, d'évaluer notre capacité à les maîtriser, et, en définitive, de définir ce que nous pouvons exiger, en tant que communauté nationale, de ceux qui les utilisent. Nous lancerons ce débat début 2017, en coopération avec Axelle Lemaire ; il devrait donc se dérouler au cours de l'année prochaine.

Quatrième et dernier sujet : assistons-nous, dans le domaine de la protection des données, mais peut-être aussi plus largement - de ce point de vue, ce domaine peut être un bon laboratoire -, à l'émergence de ce que j'appellerais un nouveau type de démocratie ? Pour quelle raison les usages numériques donnent-ils lieu à un ressentiment croissant des personnes, s'agissant en particulier de la circulation de leurs données ? Le dernier baromètre de la confiance des Français dans le numérique enregistre le plus bas niveau de satisfaction depuis neuf ans, c'est-à-dire depuis que cet indice existe : 67 % des Français considèrent qu'ils n'ont plus ou pas confiance dans l'univers numérique, et la quasi-totalité de ce malaise se polarise autour des données. Les Français ont un sentiment de perte de confiance, de maîtrise et d'autonomie. En d'autres termes, ils ne comprennent pas cet univers, qui leur apparaît comme une sorte de boîte noire : le numérique, paradoxalement, met les données personnelles au coeur de son fonctionnement, mais sans que les principaux intéressés soient aux commandes.

Le règlement a clairement pour vocation de répondre à cette situation, à travers la création de nouveaux droits : le droit à l'oubli, le droit à la portabilité, le droit au consentement, ou du moins à un consentement renforcé.

Le règlement vise à remettre l'individu au centre du numérique, pour rééquilibrer la relation entre cet individu, les données qui le concernent et ceux qui les traitent.

En France, le droit à l'oubli a donné lieu à bien des débats. L'histoire n'est pas nouvelle. Dans votre résolution de 2012, vous l'aviez mentionné comme un droit essentiel. Ce droit est en train de faire école, puisque la société civile le réclame désormais dans un certain nombre de pays. La société Google a initié un débat sur la portée géographique du droit à l'oubli, en proposant que le déréférencement soit cantonné géographiquement, par exemple dans le cadre français ou européen. N'en oublions pas pour autant la substance du droit à l'oubli : occulter la visibilité d'un individu dans son périmètre de proximité et le supprimer d'un fichier sont deux opérations de nature très différente.

En écho à ce renforcement des droits, la loi sur la justice du XXIe siècle prévoit l'action de groupe, c'est-à-dire qu'elle donne à un groupe d'individus la capacité de se mobiliser pour être acteurs de régulation. Ces évolutions ne pourront fonctionner que si l'on développe une éducation au numérique, qui ne se réduira pas simplement à apprendre le codage ou à se prémunir contre les risques de harcèlement sur la toile. Le collectif de plus de 70 acteurs que nous avons pris l'initiative de créer, il y a quelques années, définit cette éducation comme l'apprentissage d'une culture générale du numérique, mêlant éléments techniques, économiques et historiques pour garantir une maîtrise des usages, mais aussi une compréhension de l'environnement dans lequel les internautes évoluent. Telle est la condition pour que chaque Français puisse se protéger, mais surtout puisse utiliser à son profit toutes les potentialités de l'univers numérique.

Cette conviction est désormais partagée à l'échelle mondiale, puisque la Conférence mondiale des autorités de protection des données qui s'est tenue à Marrakech, il y a un mois et demi, a adopté un référentiel commun d'apprentissage et d'éducation au numérique commun à tous les pays. Malgré les différences de leurs traditions juridiques, les pays participant ont réussi à s'accorder sur la création d'une sorte de boîte à outils éducative à portée opérationnelle, offrant les compétences de base indispensables à tout citoyen numérique averti. C'est un exemple très positif qui démontre la capacité d'action collective de l'ensemble des pays concernés.

Comme vous l'aviez pressenti en mars 2012, le règlement européen sur les données personnelles constitue un enjeu majeur. Le débat qui s'est développé sur le sujet montre la force de nos valeurs communes. Le règlement européen a été adopté à la quasi-unanimité, avec un taux de votes record, toutes sensibilités confondues. Notre projet sur la République numérique a également fait l'unanimité. Ces valeurs communes que nous portons sur la protection des données sont ancrées en Europe. La France et l'Europe ont une longueur d'avance, car ces valeurs humanistes correspondent aux attentes de nos concitoyens et des consommateurs européens. Elles témoignent de notre influence sur les autres acteurs étrangers et mettent en valeur notre capacité d'action.