Intervention de Jean Lessi

La Cnil est le régulateur de la protection des données à caractère personnel et elle repose sur deux piliers : elle est un gendarme qui reçoit des plaintes, qui procède à des contrôles et qui éventuellement prononce des sanctions. Mais elle a aussi pour mission d'accompagner en amont les responsables de traitements de données pour que les dossiers qu'ils déposent prennent en compte celles à caractère personnel.

En matière de régulation, la Cnil dispose de deux types de compétences : juridique et technologique. La Cnil dispose de juristes spécialisés dans les politiques publiques et dans les secteurs industriels et commerciaux. Elle emploie aussi des ingénieurs experts et des auditeurs de systèmes d'information. Cette compétence technologique permet de comprendre les projets et d'avoir un dialogue éclairé avec les responsables de traitement, qu'il s'agisse des administrations ou des entreprises numériques.

Pour la fiscalité, nous accompagnons les administrations de trois façons. Tout d'abord, nous formulons des avis sur les projets de lois et de décrets. Nous gérons également les formalités préalables même si elles devraient disparaître dans deux jours avec la mise en place du Règlement général sur la protection des données (RGPD). Enfin, nous nouons des dialogues informels très en amont avec les porteurs de projets publiés : nous leur demandons de venir nous voir très tôt afin que, dès le départ, la protection des données personnelles soit prise en compte.

Cet accompagnement ne se résume pas à un affrontement stérile entre objectif de politique publique versus protection des données à caractère personnel, mais sur un triptyque : objectif de politique publique, enjeu de protection des données mais aussi garanties à mettre en place. L'essentiel est de bien moduler les garanties pour parvenir à l'objectif poursuivi.

Nous nous sommes ainsi très tôt penchés sur le prélèvement à la source et nous avons traité la question fondamentale de la transmission du taux des salariés aux employeurs. Nous avons beaucoup travaillé avec l'administration et le Parlement pour cadrer les conditions d'accès par l'employeur à ce taux et pour instaurer un taux neutre.

Autre exemple : l'offre de paiement en ligne PayFiP qui a donné lieu à un arrêté publié le 19 avril 2018. La Cnil a été vigilante sur les durées de conservation des données bancaires. Elle a notamment insisté sur le nécessaire consentement des utilisateurs.

J'en viens à l'ouverture des données de l'administration fiscale. Il faut distinguer deux types d'ouverture dont les enjeux sont différents pour la protection de la vie privée. L'ouverture à des fins de recherche n'est pas en open data : il s'agit de la mise à disposition par l'administration fiscale de ses données, qui sont en effet d'une richesse considérable, à un nombre restreint de chercheurs dans un cadre très précis. Ce sont des données à caractère personnel qui doivent être protégées, d'où la création de bulles de sécurité qui permettent de manier les données tout en interdisant leur extraction et leur fuite à l'extérieur. Ensuite, il y a l'open data, c'est-à-dire la mise à disposition au grand public de données qui doivent être anonymisées, afin qu'il soit impossible de remonter à une personne physique identifiée. Pour protéger la vie privée, la Cnil développe des outils d'accompagnement pour sécuriser les données. Elle travaille avec la Cada et la Dinsic à un « pack » open data : il s'agit d'outils techniques qui accompagnent l'ouverture des données. Ainsi en est-il de l'anonymisation des jeux de données, travail mené par le G29, c'est-à-dire le groupe des « Cnil » européennes. Nous rédigeons aussi des fiches pratiques pour l'ouverture des données en matière d'urbanisme, ou de fiscalité.