Intervention de Marie-Laure Denis

Nous disposons actuellement de 200 agents, ils seront 215 fin 2019. Nous avons le troisième plus faible ratio des 28 États-membres entre nombre de collaborateurs et population. En 2020, les Anglais auront 900 agents, et ils ont pour ambition de devenir une sorte de hub européen. L'Allemagne en compte 600 ou 700, dont au moins 250 au niveau fédéral. La Pologne, dont la population est deux fois moins nombreuse que la nôtre, en a 250. Sans doute nos agents sont-ils très compétents ... Mais cela pose un problème pour le traitement des plaintes ou pour le programme de contrôle : si, dans la majorité des cas, nous cherchons un règlement amiable, nous avons fait près de 300 contrôles l'an dernier, adressé une cinquantaine de mises en demeure et pris une dizaine de sanctions. Et les avocats qui sont face à nous comptent parmi les meilleurs. La CNIL passe beaucoup de temps, aussi, à rendre des avis sur des projets de textes du Gouvernement : 120 fois l'an dernier ! Bref, nos moyens sont clairement inadaptés. C'est dommage à l'heure de la mise en oeuvre du RGPD, car nous avions une antériorité. Sur la cyber-sécurité, l'ANSSI fait un travail formidable, mais le RGPD demande aux entreprises de notifier les violations constatées à la CNIL dans les 72 heures, à charge pour nous de décider si les personnes concernées doivent être informées. C'est un travail considérable : nous avons reçu plus de 2 000 notifications en un an, ce qui est un chiffre probablement sous-estimé, malgré l'importance des enjeux.

La durée de traitement d'une plainte dépend de sa complexité et de son extension géographique. Nous essayons de répondre aussi rapidement que possible.

La CNIL s'est saisie du sujet de l'intelligence artificielle en 2017, et y promeut la transparence et la loyauté des algorithmes. Il faut une intervention humaine pour éviter les biais. Les textes qui nous sont soumis témoignent toutefois d'une plus grande attention sur ce point. Ainsi, le projet de loi sur la bioéthique prévoit un encadrement des algorithmes.

Y a-t-il des mauvais joueurs en Europe ? A ce stade, non. Bien sûr, les cultures diffèrent entre elles, et les pays anglo-saxons sont plus favorables à des règlements à l'amiable avec les entreprises. Certains pays concentrent un grand nombre de sièges sociaux. Bref, la voiture de la protection des données est conduite par plusieurs conducteurs, avec un code de la route en voie de transformation ... Notre homologue irlandais doit nous communiquer cet été son projet de sanctions. Le RGPD a en effet introduit la possibilité de plaintes collectives, dont la société s'est emparée, notamment pour des phénomènes transfrontaliers. Et nous avons demandé au comité européen de la protection des données un état des lieux régulier du traitement des plaintes par les différentes autorités.

Le législateur peut toujours modifier la loi, monsieur Ouzoulias ; la CNIL est de toute façon favorable à la transparence des algorithmes locaux. Pour faciliter les études d'impact, introduites par le RGPD, nous avons mis en ligne un logiciel gratuit procurant une maquette, qui a été téléchargé 150 000 fois et traduit en dix-neuf langues !