Intervention de Marie-Laure Denis

Je suis très honorée de m'exprimer devant votre commission ce matin et vous remercie pour votre invitation. Je suis accompagnée par M. Thomas Dautieu, directeur de la conformité, et Mme Tiphaine Havel, conseillère pour les questions institutionnelles et parlementaires.

Depuis mon entrée en fonctions il y a six mois, j'ai pu apprécier la richesse et la régularité des échanges entre la CNIL et les commissions permanentes du Sénat, en particulier les commissions des lois et de la culture, où siègent les deux sénateurs membres de la CNIL, M. Loïc Hervé et Mme Sylvie Robert.

La CNIL a été invitée deux fois ces derniers mois par votre commission : en novembre 2018, pour participer à une table-ronde consacrée à la régulation audiovisuelle et numérique et, en mars dernier, pour aborder la question très importante de la mise en oeuvre de Parcoursup.

Je connais également l'attention particulière que vous portez au numérique sous toutes les facettes des trois domaines de compétences de cette commission que sont la culture, l'éducation et la communication.

La protection des données se situe au coeur du pacte social et la CNIL, à travers ses différents métiers, est en lien avec le quotidien de tous les publics.

Le numérique percute trois des principaux écosystèmes intéressant directement les champs de compétence couverts par la commission de la culture.

L'éducation au numérique a fait l'objet d'un rapport d'information extrêmement fourni, sous votre autorité, en juin 2018. Elle est essentielle pour se prémunir contre l'intrusion dans la vie privée. Notre société connaît des mutations profondes, liées aux changements de technologies et d'usages : que l'on pense aux réseaux sociaux, au recours à la biométrie, au développement de nos identités numériques ou au ciblage publicitaire. Nous ne devons pas subir ces mutations, mais en être pleinement acteurs. Nous faisons face à de nouveaux risques - détournement de finalités, violations de données, profilage déloyal - que nous devons être en mesure de maîtriser, sauf à nous exposer à des fissures, voire à une rupture, du contrat social. Face à ces mutations et ces risques, il y a un enjeu majeur de montée collective en compétences, en maturité, pour que chacun sache comment protéger sa vie privée et celle des autres. C'est, au sens premier du terme, un enjeu d'éducation - mais à tous les âges.

La CNIL en a fait une priorité d'action depuis 2013, en agissant pour l'éducation dès le plus jeune âge. Dans son action, elle s'appuie en particulier sur les têtes de réseaux du collectif Educnum qu'elle a initié, qu'elle fédère et qui compte aujourd'hui près de 70 structures, privées ou publiques. De nombreux contenus pédagogiques ont été produits et mis à disposition sur le site www.educnum.fr. En outre, le collectif organise du 20 au 22 septembre, à Poitiers, un évènement sur la citoyenneté numérique à l'attention des familles, des classes et, bien au-delà, du grand public. Cet évènement sera ensuite décliné dans d'autres villes.

Éduquer le plus en amont possible permet de connaitre ses droits, de savoir protéger ses données et d'utiliser à bon escient l'outil numérique qui, par ailleurs, a permis un accès démultiplié aux contenus culturels.

C'est pourquoi la CNIL et le ministère de l'éducation nationale ont développé ces dernières années des relations régulières et constructives, notamment avec le délégué à la protection des données du ministère. Une convention de partenariat portant sur l'intégration de la protection des données personnelles dans les usages numériques de l'éducation a été signée en décembre 2018 ; elle fait suite à une première convention conclue en 2016.

Au-delà de l'éducation au numérique, la CNIL est impliquée plus largement dans le cadre de la vie scolaire et périscolaire : nous recevons des demandes de conseil pour organiser l'accueil, la sécurité et la prise en charge des enfants à l'école, la crèche, la cantine, les transports scolaires, les séjours et les activités périscolaires et extrascolaires.

La CNIL reçoit régulièrement des plaintes, en particulier concernant la mise en oeuvre de dispositif de surveillance vidéo au sein d'établissements scolaires publics et privés.

La CNIL considère que les caméras peuvent filmer les accès de l'établissement et les espaces de circulation sous certaines conditions, mais qu'il est exclu, sauf cas exceptionnels, de filmer les lieux de vie des établissements - cour de récréation, préau, salle de classe, cantine, foyer - pendant les heures d'ouverture.

La CNIL est aussi impliquée dans la mise en oeuvre des traitements à portée nationale tels que Parcoursup : je ne reviendrai pas en détail sur le point d'étape qui avait été fait devant vous par les services de la CNIL au mois de mars mais pourrai bien entendu répondre à vos questions par la suite.

Deuxième écosystème percuté par les enjeux de protection des données : le secteur de la communication et de l'audiovisuel. Votre commission, qui a initié à l'automne dernier une réflexion sur la régulation audiovisuelle et le numérique, connaît tout particulièrement le sujet. La CNIL avait été, dans ce cadre, auditionnée. L'exploitation des données personnelles des utilisateurs des services culturels ou des services de communication audiovisuelle est de plus en plus centrale dans la chaîne de valeur des acteurs de cet écosystème.

Compte tenu des préférences, d'ordre personnel voire intime, que véhiculent ces données, les enjeux de protection de la vie privée occuperont donc eux-mêmes une place toujours plus centrale dans les politiques publiques à concevoir dans ce champ d'action.

De ce point de vue, le paysage de la régulation est appelé à évoluer. L'avenir passe par un renforcement de l'inter-régulation. Tous les prismes de l'action publique doivent être combinés pour appréhender de manière fine et efficace cet écosystème complexe. Ce sont des choses très concrètes : programmes de travail commun, échanges de personnels, mise en commun d'outils ou d'analyse. J'y suis très attachée.

La CNIL s'inscrit déjà pleinement dans ce schéma. Les échanges sont nombreux avec les autres autorités indépendantes : participation à la réflexion du Conseil supérieur de l'audiovisuel (CSA) sur la place de la donnée dans l'audiovisuel, échanges avec l'Autorité de régulation des communications électroniques et des Postes (Arcep) sur l'utilisation de données pour mesurer la qualité de services des opérateurs, missions de réflexion avec la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi). Si les données sont incontestablement le pétrole, voire le terreau, de l'économie numérique, leur protection ne doit pas être une variable d'ajustement.

Troisième écosystème, vaste : le champ de la réflexion éthique sur les enjeux liés au numérique. La loi pour une République numérique de 2016 a confié à la CNIL la mission de conduire une réflexion sur les enjeux éthiques et les questions de société soulevés par l'évolution des technologies numériques. En 2019, la CNIL se saisira du sujet des Civic Tech, dans le sillon d'un agenda électoral chargé - européennes en 2019, municipales en 2020 - et d'un travail interne actuellement animé par notre Pôle « Innovation, Études et Prospective ». Ces technologies proposent de coupler démocratie et technologie au service d'une participation citoyenne plus directe et augmentée.

Au travers de cette mission éthique, la CNIL poursuit plusieurs objectifs : faire des citoyens des utilisateurs éclairés et critiques des technologies, poser les jalons d'un raisonnement commun et alimenter la réflexion des pouvoirs publics.

Plus globalement, je souhaiterais souligner l'impact du RGPD depuis son entrée en application. Le RGPD, en effet, n'était pas une réforme technique, mais un acte politique majeur. Il est donc important de mesurer l'avancement concret de la mise en oeuvre de ce texte, qui avait pour ambition essentielle de renforcer la maîtrise des citoyens sur leurs données personnelles.

Que peut-on en dire un peu plus d'un an après ? Premier constat : sa mise en oeuvre effective s'est accompagnée en France d'une refonte importante de notre cadre juridique relatif à l'informatique et aux libertés, ce qui n'est neutre ni pour les particuliers ni pour les professionnels. Cette adaptation s'est faite en plusieurs étapes, et notamment par la loi du 20 juin 2018. Vous avez participé aux nombreuses heures de débat au Sénat, qui avait identifié parfaitement les grands enjeux structurants d'avenir pour la protection des données personnelles. Le décret du 29 mai dernier a constitué la dernière étape de la mise en conformité du droit national avec le RGPD et la Directive « police-justice », applicable aux fichiers de la sphère pénale.

Second constat : tous secteurs confondus, privés et publics, l'activité de la CNIL est révélatrice des évolutions sociétales et des attentes de nos citoyens. Ainsi, en 2018, plus de 8 millions de visiteurs ont consulté notre site internet, soit une hausse de 85 % par rapport à 2017 ; près de 17 000 requêtes électroniques ont été reçues via l'outil en ligne « Besoin d'aide », soit une hausse de 15 % par rapport à 2017 ; il y a eu presque 300 000 consultations des questions et réponses mises en ligne, soit une hausse de près de 60 % par rapport à 2017 ; et nous avons reçu près de 200 000 appels téléphoniques, soit une hausse de 22,5 % par rapport à 2017.

Ces chiffres révèlent une volonté forte des individus de connaitre et de s'approprier leurs droits. Ce besoin d'information coexiste avec la volonté des individus de défendre leurs droits pour mieux maîtriser l'utilisation de leurs données personnelles.

En témoigne le nombre des plaintes, lui aussi en très forte hausse. Entre mai 2018 et mai 2019, la CNIL a reçu près de 12 500 plaintes, dont un tiers concerne la suppression de données sur internet - nom, prénom, coordonnées, photographies. Ceci représente une hausse de 42 % par rapport à la même période 2017-2018.

Dernier constat : ce nouveau cadre nous oblige, car il nous engage dans une forte dynamique d'appropriation et de consolidation du modèle RGPD. C'est pourquoi nous avons décidé, pour cette année, de fixer trois priorités d'action.

Premièrement, l'intensification de notre mission d'accompagnement des particuliers comme des professionnels : si l'on nous voit souvent comme des gendarmes, notre mission d'accompagnement n'est pas moins importante que celle de dissuasion. C'est pourquoi nous publierons d'ici la rentrée en version papier, et sans doute dès cet été en version numérique sur notre site, un guide conçu pour répondre aux attentes que nous savons très fortes des collectivités territoriales, à l'image du guide TPE-PME publié l'année dernière en partenariat avec la BPI-France. De même, notre actuel programme annuel des contrôles se concentre, entre autres, sur le traitement des données des mineurs. La CNIL souhaite en effet apporter une attention particulière à ce public vulnérable, au sujet duquel elle reçoit régulièrement des plaintes. Il peut s'agir, par exemple, de la publication de contenus sur les réseaux sociaux ou de la mise en oeuvre de traitements biométriques dans les écoles.

Deuxièmement, nous allons développer la capacité d'expertise technique et prospective de la CNIL, au plus près des usages. Son expertise est d'ailleurs reconnue au-delà de l'hexagone. Elle a notamment contribué, par la conduite d'un débat public et la publication d'un rapport en 2017, à faire émerger des principes éthiques forts dans le domaine des algorithmes et de l'intelligence artificielle. Nous devons analyser et anticiper de nouveaux usages et de nouvelles technologies. Le développement de l'expertise est également capital dans un univers où la cyber-sécurité - domaine auquel la CNIL n'est pas assez associée - prend une place prépondérante pour garantir la confiance dans l'univers numérique.

Troisièmement, la dimension européenne et internationale de la CNIL sera renforcée, à travers son action dans le domaine de la diplomatie de la donnée. Un nouveau modèle de gouvernance de la régulation a été mis en place avec le RGPD. Lorsque les traitements de données concernent des individus dans plusieurs États-membres, chaque autorité ne décide plus seule mais en réseau avec les autres autorités concernées, par le biais d'un mécanisme de guichet unique - le « One-Stop-Shop » en anglais - afin de prononcer une décision applicable pour l'ensemble de l'Union.

Pour ce faire, les autorités de protection des données coopèrent au sein d'un nouvel organe de l'Union : le comité européen à la protection des données (CEPD, ou EDPB en anglais). C'est en son sein que se prennent les décisions structurantes - notamment l'élaboration de lignes directrices garantissant la cohérence du droit européen de la protection des données - et que s'opère la distribution des rôles dans l'instruction des plaintes transnationales, notamment afin de déterminer quelle autorité sera cheffe de file - avec 20 % des plaintes, la CNIL est en quatrième position en la matière.

Du succès de son application dépendra l'avenir de la régulation au niveau international, et nous savons que plusieurs modèles de protection des données entrent en confrontation. À travers cet instrument extraterritorial, l'Union européenne a un rôle majeur à jouer - et l'ancienneté de la CNIL la place aux premières loges.

À cet égard, j'ai été auditionnée la semaine dernière par la commission d'enquête du Sénat sur la souveraineté numérique.