Intervention de Marie-Laure Denis

Je suis très honorée d'échanger avec vous lors de cette audition, de vous éclairer sur mon parcours et de vous présenter la façon dont j'aborderais mes fonctions si je rejoignais le collège de la CNIL en qualité de présidente. J'ai commencé mon parcours professionnel au Conseil d'État, où j'ai appris la rigueur du raisonnement juridique et le travail en formation collégiale. S'en sont suivies deux expériences en cabinet ministériel qui m'ont familiarisée avec la décision administrative et le fonctionnement de l'État. J'ai aussi trouvé beaucoup de plaisir à diriger des équipes et à coordonner l'action des administrations dans mes domaines de compétences. Depuis quinze ans, j'ai eu la chance de travailler dans plusieurs autorités administratives indépendantes. Après avoir été membre du collège du CSA, j'ai assumé des fonctions comparables pendant six ans à l'Arcep. Depuis deux ans, parallèlement à mon activité de juge au Conseil d'État, je suis membre de la formation de règlement des différends et des sanctions de la CRE.

J'ai vécu cette expérience de la régulation dans des secteurs en constante mutation et en constante évolution numérique au CSA, lors de l'arrivée de la télévision numérique terrestre, et à l'Arcep, au moment de la montée en puissance du quatrième opérateur de télécommunications. Alors que les équilibres de marché étaient bouleversés, j'ai pu mesurer qu'une régulation par le dialogue et l'échange était souvent plus productive pour une autorité de supervision que le recours à des méthodes unilatérales. Ainsi, à l'Arcep, j'ai travaillé sur la programmation de l'extinction de l'itinérance de Free sur le réseau d'Orange ; alors qu'une nouvelle disposition législative votée en 2015 donnait à l'Arcep le pouvoir de modifier unilatéralement le contrat d'itinérance conclu entre les deux opérateurs, il a semblé préférable au collège de l'Autorité de publier des lignes directrices. Les acteurs savaient ainsi quel était l'objectif, et nous les avons fortement incités à négocier. Orange et Free ont programmé eux-mêmes les conditions d'extinction de l'itinérance, sans que l'Arcep ait recours à des mesures unilatérales.

Le dialogue avec le Parlement est tout aussi essentiel. Il doit être régulier et confiant, et c'est déjà le cas : la CNIL a été auditionnée près de trente fois en 2018 sur de nombreux projets et propositions de loi. Elle traite de sujets relatifs au numérique et plus particulièrement à la protection des données. En 2017, elle a ainsi rendu 177 avis sur des projets de textes, et le chiffre pour 2018 devrait être du même ordre. Ces échanges permettent à la CNIL de nourrir ses propres réflexions grâce à l'expérience de terrain des élus. Je souhaite que ces relations se poursuivent dans la confiance et le respect réciproque du rôle de chacun.

Les échanges doivent être fréquents avec les autres autorités administratives indépendantes : la CNIL a par construction un fonds d'actions transversales. Les AAI doivent avoir en commun l'objectif de contribuer à la lisibilité et à l'efficacité de l'action publique.

Si j'ai l'honneur d'être désignée présidente de la CNIL, j'attacherai la plus grande importance à l'animation du collège de la Commission, dans le respect de la grande diversité de ses dix-huit membres, et avec le souci d'une démarche aussi participative et ouverte que possible. Je veillerai à ce que les 200 agents de la CNIL, dirigés par le secrétaire général sous l'autorité du président, puissent contribuer à leurs missions dans les meilleures conditions et avec professionnalisme.

Si la CNIL doit avoir une attitude ouverte et constructive, elle doit aussi se montrer très ferme dans l'exercice de ses missions de surveillance et de régulation, car son rôle est capital ; elle est chargée, dans le domaine qui la concerne, d'assurer la défense des libertés individuelles. Cet enjeu est essentiel pour l'équilibre de notre démocratie à l'heure de la massification des données personnelles et de l'essor des réseaux sociaux - sur lesquels la protection de la vie privée paraît quelque peu malmenée.

La présidence de la CNIL suppose une indépendance, une neutralité, une impartialité et des valeurs auxquelles je suis, par nature et par caractère, profondément attachée. Les différentes étapes de ma vie professionnelle, principalement partagée entre la juridiction administrative et les AAI, en témoignent.

Il y a un peu plus de quarante ans, un des premiers présidents de la CNIL, le sénateur Jacques Thyraud, avait posé un constat clairvoyant en estimant que « l'informatique est porteuse d'une vie meilleure, mais aussi de graves appréhensions ». C'est toujours vrai, mais les enjeux liés à la protection des données informatisées ne sont plus les mêmes. La régulation de ces données privées vient de subir un changement majeur de paradigme et le pouvoir de sanction de la CNIL est entré dans une nouvelle ère : la révolution numérique démultiplie la capacité de collecte et de traitement des données personnelles qui sont exploitées à une échelle industrielle dans une économie mondialisée. Facteurs d'innovation et de progrès - comme dans le domaine de la santé - et de nouveaux services bien souvent gratuits, de tels développements s'accompagnent d'abus, voire de dérives qui mettent gravement et directement en cause les libertés individuelles. La précédente décennie a été marquée par des révélations sur des ventes de données à des fins commerciales, qui ont pu interférer avec le fonctionnement de la démocratie. La confiance des utilisateurs de services numériques a été entamée, et chacun mesure à quel point le ciblage publicitaire numérique peut être intrusif dans nos vies. C'est la raison pour laquelle s'exprime une demande sociale de transparence et de sécurisation de plus en plus forte. Sur le site internet de la CNIL, qui reçoit plus de 8 millions de connexions par an, la rubrique la plus consultée est celle de la sécurisation - notamment des mots de passe.

Le Parlement s'est saisi de cette demande du public lors du vote de la loi du 20 juin 2018. Celle-ci renforce le droit des personnes à maîtriser les usages de leurs données personnelles en prévoyant notamment un accès à une information plus claire et accessible, un nouveau droit à la portabilité des données, et le renforcement de la protection des enfants de moins de quinze ans. Le Gouvernement et le Parlement ont ainsi choisi de mettre en conformité la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés avec la directive du 27 avril 2016 - dite directive « Police-justice » - et avec le RGPD. Ce règlement européen, entré en vigueur le 25 mai 2018, est l'exemple même de la régulation qui a évolué, en abandonnant un contrôle a priori devenu inadapté et qui visait à l'origine les grands fichiers administratifs, au profit d'un système de contrôle a posteriori qui responsabilise tous ceux qui traitent des données personnelles. Ceux-ci sont engagés dans une logique de conformité qu'il leur faut pouvoir démontrer. La CNIL les accompagne par la mise à disposition d'outils, de guides, de référentiels et d'échanges avec les 80 000 délégués à la protection des données personnelles qui sont en train d'être désignés dans de nombreux organismes publics.

Il me paraît essentiel que la CNIL s'adapte à la spécificité des acteurs : ils n'ont pas tous les mêmes moyens pour se conformer aux obligations découlant du RGPD, notamment les PME et les TPE, ou les communes de petite taille. Celles-ci peuvent regrouper leurs moyens pour se mettre en conformité avec le RGPD, en mutualisant, par exemple, la mission de délégués à la protection des données. Vigilants, vous avez veillé, au Sénat, à ce que la CNIL accompagne les collectivités territoriales, leurs groupements et les PME, et leur donne une information adaptée. Cela doit être une priorité, et la CNIL publiera au premier semestre 2019 un guide pour les collectivités locales.

Fort logiquement, la contrepartie de la responsabilisation des acteurs s'est traduite par un renforcement très significatif du pouvoir de sanction de la CNIL. L'actualité récente a braqué les projecteurs sur ce changement d'échelle. Les sanctions prononcées ne se comptent plus en centaines de milliers d'euros - le maximum de ce qu'avait fait la CNIL jusqu'à présent - mais peuvent désormais atteindre 4 % du chiffre d'affaires annuel mondial d'une entreprise. Certes, la CNIL ne doit sanctionner les manquements que lorsque c'est nécessaire, avec un souci de proportionnalité et en étant particulièrement attentive au fondement juridique de ses décisions, mais elle ne doit pas hésiter à recourir à la sanction : il y va de son autorité et de sa crédibilité. Le RGPD a prévu des dispositions allant de pair : un accompagnement des acteurs lors de leur mise en conformité, et en contrepartie un contrôle beaucoup plus dissuasif.

La dimension européenne de la mission de la CNIL est désormais essentielle. Le RGPD impose à tout acteur international, dès lors qu'il propose un bien ou un service à destination du consommateur européen, de se soumettre au droit européen, même s'il n'est pas établi en Europe. C'est une avancée considérable puisque le droit européen est celui qui comporte le plus de standards de protection. Le règlement a aussi organisé une régulation de l'instruction des plaintes de données transfrontalières entre les différentes CNIL européennes et ouvert la possibilité de prendre des sanctions communes - ce qu'aucune autre entité géographique au monde ne fait. Réunies dans un comité européen de la protection des données, les autorités de régulation pourront adopter des positions communes, voire arbitrer d'éventuelles divergences par des décisions contraignantes. La CNIL devra oeuvrer pour que le niveau de protection des données soit le plus harmonisée possible sur le territoire européen. En effet, le règlement ayant laissé des marges de manoeuvre aux États membres pour durcir la réglementation ou l'assouplir, il ne faudrait pas, comme en matière fiscale, avoir une compétition intra-européenne pour attirer ou conserver le siège des grandes entreprises du numérique.

La bulle de protection qui entoure une donnée en Europe est-elle conservée lorsque cette donnée est exploitée en dehors du territoire de l'Union ? De quelle capacité l'Europe dispose-t-elle pour limiter l'accès d'autorités étrangères aux données des citoyens européens ? L'encadrement juridique des flux transfrontaliers de données entre l'Europe et les États-Unis comporte un enjeu de défense de nos valeurs et de protection de la vie privée. Des accords ont été négociés entre les États-Unis et l'Europe, mais sont parfois insuffisants. Ainsi, la Cour de justice de l'Union européenne (CJUE) a-t-elle invalidé le Safe Harbor en 2015. Le nouvel accord, Privacy Shield, doit donc faire l'objet d'une évaluation rigoureuse et d'une grande vigilance ; c'est un enjeu de souveraineté, dans un contexte où les États-Unis ont adopté juste avant la mise en oeuvre du RGPD un Cloud Act qui facilite l'accès par les autorités américaines, dans le cadre d'une procédure judiciaire, aux données stockées à l'étranger par des entreprises américaines.

La CNIL doit continuer à prendre toute sa part dans la construction d'une régulation européenne unifiée de la protection des données, comme sa présidente Isabelle Falque-Pierrotin s'est appliquée à le faire en présidant de 2014 à 2018 la Réunion des CNIL européennes (G29), et l'année dernière la Conférence internationale des commissaires à la protection des données. L'Europe est en train de devenir une référence mondiale en matière de régulation de la protection des données personnelles ; la Californie s'en est récemment inspirée et certains des plus grands acteurs mondiaux du numérique ont appelé les États-Unis à se doter d'une réglementation fédérale reprenant largement celle adoptée en Europe. L'accord qui vient d'être conclu entre l'Union européenne et le Japon en est aussi une illustration. La CNIL a donc vocation à être une référence en Europe, au moment où la réglementation relative à la protection des données personnelles est une grande ambition.

C'est avec ces convictions que je me présente aujourd'hui devant vous. J'espère vous avoir fait partager la détermination qui serait la mienne à contribuer à ce que la CNIL incarne dans les cinq prochaines années une référence en matière de protection numérique de la vie privée. Il ne s'agit pas d'opposer la vie privée aux politiques publiques ou à la vie des affaires, mais de trouver un équilibre fructueux qui soit gage d'efficacité et de protection.