Intervention de Marie-Laure Denis

Le RGPD repose en effet sur un principe de responsabilisation. J'ai des entretiens réguliers avec le ministre de l'éducation nationale. Notre régulation n'est pas spécifique aux plateformes mais le RGPD, fondé sur la notion de risque, permet d'avoir une vigilance spécifique à leur endroit, et la sanction peut atteindre 4 % de leur chiffre d'affaires mondial - la CNIL a d'ailleurs infligé une sanction de 50 millions d'euros à Google. La portabilité des données est aussi un nouveau droit introduit par le RGPD, qui renforcera la concurrence.

Le guide destiné aux collectivités territoriales est surtout orienté vers les petites communes, pour traiter de thématiques qui leur sont propres. Nous en enverrons un par commune, et il sera téléchargeable sur notre site. Nous aurons une forte exposition au salon des maires de France. Sur le RGPD, nous avons lancé un cours en ligne il y a deux mois, notamment pour les délégués à la protection des données. Et nous envisageons d'y ajouter une brique spécifiquement orientée vers les collectivités territoriales. Nous travaillons aussi avec les associations d'élus.

Plus d'un tiers des plaintes concernent la diffusion d'informations sur Internet. Viennent ensuite, pour environ 20 % du total, la prospection commerciale et la publicité, puis, pour 10 %, les questions de ressources humaines.

Nous travaillons spécifiquement pour les associations. J'ai récemment passé deux heures à écouter les appels qui nous arrivent et un président d'association, par exemple, demandait s'il devait fournir à la mairie la liste de ses membres ...

Comme dans tout État de droit, nos sanctions peuvent être contestées, ce qui ne dispense pas du paiement - et Google a payé les 50 millions d'euros qu'il devait avant même de faire appel. Malheureusement, cet argent ne va pas dans les caisses de la CNIL. (Sourires.)

La composition d'Educnum date de 2013, et comporte des associations comme par exemple l'UFC-Que choisir ? ou l'union nationale des associations familiales (UNAF). Sont aussi présents des acteurs du monde de l'éducation et de la recherche - fédérations de parents d'élèves, universités numériques, conférences des grandes écoles, réseau Canopé, talents du numérique... -, des fondations d'entreprise et des fédérations professionnelles - Fédération des industries électriques, électroniques et de communication, Renaissance numérique, Fédération française des télécoms, fondations de La Poste et du groupe Axa ... -, des confédérations patronales et syndicales, des acteurs institutionnels - notamment Radio France et France Télévisions, le Conseil économique social et environnemental, les chambres de commerce, l'Organisation internationale de la francophonie ... Nous travaillons beaucoup avec nos partenaires étrangers pour essayer de dégager des principes homogènes.

Le RGPD ne propose rien de spécifique pour les plateformes, sinon l'application des instruments dont il dispose déjà.

Vous m'avez interrogée sur l'affaire Cambridge Analytica et l'utilisation, par cette société, des données de près de 87 millions d'utilisateurs du site à des fins politiques. Le RGPD n'était pas encore en vigueur au moment des faits. Je peux vous assurer que nous sommes très attentifs à la communication politique. Le régulateur américain vient de proposer au département de la justice l'instauration de règles dont certains pensent qu'elles ne sont pas assez sévères et dont on ignore encore si elles seront assorties de mesures correctrices, indépendamment de l'amende de 5 milliards de dollars.

Avec le CSA, nous sommes un des acteurs chargés de l'encadrement des règles de la communication politique. Nous allons communiquer davantage en commun sur ces questions. Nous avons reçu, par exemple, près de 800 signalements pour les dernières élections européennes sur des questions de prospection par SMS ou par téléphone. Nous nous attendions à des dispositifs très innovants, mais il ne s'agit généralement que de messages préenregistrés de candidats. Nous nous mettons en ordre de bataille pour diffuser les bonnes pratiques et pouvoir réagir lors des prochaines élections municipales.

Le Comité européen de la protection des données a également édicté des règles en la matière.