Intervention de Marie-Laure Denis

Nous sommes reconnaissants au Sénat d'associer la CNIL à ses travaux sur ce sujet éminemment important. Le foisonnement des innovations a envahi l'ensemble des espaces de la vie quotidienne et publique, mais aussi de la vie privée. Les systèmes d'échanges instantanés bousculent les frontières de ces différents domaines en raison de la vitesse à laquelle circulent les informations.

Dans ce contexte, la souveraineté doit être repensée pour deux raisons.

Tout d'abord, la capacité des États à faire appliquer leurs règles est remise en cause, celles-ci étant plus difficile à ancrer que dans des territoires physiques ; le monde numérique dessine ainsi un vaste territoire au sein duquel les données constituent un élément essentiel par leur collecte, leur croisement, leur enrichissement, leur transfert et leur valorisation. Si certains comparent souvent les données au pétrole de l'économie numérique, je préfère pour ma part utiliser l'image du terreau, plus représentative de leur rôle.

Ensuite, le monde numérique fait interagir plusieurs acteurs qui se comportent différemment des modèles classiques. En nous offrant diverses solutions technologiques, ils ont acquis une puissance inédite sur le plan économique. Cette situation pourrait nous conduire à subir des choix d'organisation sociale, imposés par ces acteurs à notre insu et en dehors de tout cadre démocratique.

L'État, dans toutes ces facettes - expert, stratège, législateur - se trouve donc confronté à plusieurs défis majeurs. L'intervention de la puissance publique doit être repensée autour de leviers forts. Bien que les autorités nationales et européennes disposent de pouvoirs étendus dans le secteur du droit de la concurrence, d'autres cadres doivent être posés dans les domaines de la fiscalité, du droit d'auteur et de la régulation des contenus. Pour ma part, j'aimerais qu'un aspect soit davantage exploré par le législateur, celui de la démultiplication de l'exposition de soi.

Vous m'avez interrogée au sujet du bilan de la CNIL à la suite de l'entrée en vigueur du RGPD. Nous constatons que l'ensemble des publics et des secteurs économiques est concerné par la tendance à vouloir s'approprier ses droits. Ainsi, nous avons relevé plus de huit millions de visiteurs sur notre site internet. Près de 17 000 requêtes électroniques ont été reçues. Notre rubrique questions - réponses a été consultée presque 300 000 fois. Nous avons reçu 200 000 appels téléphoniques.

L'ampleur de ces chiffres démontre à quel point les citoyens recherchent l'information au sujet de leurs droits. Cette tendance va de pair avec la volonté de mieux défendre ses droits en maîtrisant l'utilisation de ses données personnelles. Le nombre de plaintes entre le 25 mai 2018, date de l'entrée en vigueur du RGPD, et le 25 mai 2019, s'élève à 12 500, ce qui dénote une hausse de 42 % par rapport à l'année précédente. Un tiers d'entre elles concerne la diffusion des données personnelles sur internet. Notre bilan au sujet des données personnelles est un enjeu de la souveraineté numérique. La CNIL se doit donc d'être en capacité de répondre aux attentes des citoyens.

Nous partageons généralement bien volontiers nos données privées sur les réseaux sociaux ou les blogs. Or, énormément de personnes s'émeuvent de ce que leurs données soient mises en ligne à leur insu. À l'heure actuelle, les données personnelles dont certaines touchent aux aspects les plus intimes de l'individu, circulent dans des proportions inédites. Le numérique a changé les usages, les pratiques, mais aussi les risques et les enjeux présents dans l'ensemble de la société.

Pour conserver notre souveraineté numérique, nous devons garder comme objectif la préservation de notre autonomie décisionnelle sur le traitement de nos données personnelles, c'est un principe cardinal du RGPD. Outre cet aspect individuel, la protection des données a évidemment une dimension collective : il s'agit de protéger notre contrat social et de défendre notre modèle humaniste et notre conception des droits et libertés.

Le RGPD a instauré un cadre juridique ambitieux et puissant. Il a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent en tant que tel. Il repose sur un cadre juridique novateur qui prévoit, grande nouveauté, une application extraterritoriale même à l'égard des entreprises qui ne disposent pas d'un établissement en Europe dès lors que ce sont les données personnelles d'un Européen qui sont ciblées. L'ensemble du système utilise la notion de risque : les responsabilités varient en fonction du risque représenté par le traitement - volume, sensibilité des données - et les grands acteurs sont donc appelés à être soumis à des obligations particulières.

Le montant des sanctions pécuniaires change d'échelle avec le RGPD : une condamnation peut aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. De plus, elle peut être rendue publique, comme l'a fait la CNIL en janvier dernier contre Google, pour un montant de 50 millions d'euros. Les plaintes engagées en vertu du RGPD peuvent désormais être collectives et c'est sur cette base que la société civile a engagé quelques actions à l'encontre des GAFA.

Un droit nouveau à la portabilité des données est consacré par le RGPD il doit permettre aux petits acteurs économiques de défier plus facilement les grands, en attirant les clients qui peuvent ainsi leur apporter leurs données, diminuant ainsi le pouvoir de captation des grandes plateformes. À l'occasion hier, d'un colloque organisé à Bruxelles sur la régulation numérique auquel participait le président de l'autorité de la concurrence allemande, j'ai été frappée de constater que le droit à la portabilité des données était évoqué comme un levier d'action essentiel.

En outre, le RGPD a introduit un nouveau modèle de gouvernance de la régulation, jusqu'alors inédit au niveau européen : intégré et décentralisé Ainsi, si un traitement de données concerne des individus dans plusieurs États membres, chaque autorité doit agir de concert avec les autres - c'est un mécanisme de guichet unique - pour adopter une décision applicable dans l'ensemble de l'Union européenne. Pour permettre cette coopération, un nouvel organe européen de régulation a notamment été créé, le Comité Européen de Protection des Données (CEPD).

Par ses lignes directrices, le CEPD garantit la cohérence et assure la pédagogie des principes du droit européen de la protection des données. Le CEPD adopte des décisions structurantes visant à répartir les rôles entre les différentes autorités : il distribue ainsi les rôles dans l'instruction des plaintes de dimension transnationale, et c'est lui qui peut être amené à déterminer quelle autorité sera la chef de file pour une action donnée. Le système mis en place repose donc sur les deux principes essentiels que sont la coopération et la cohérence, permettant de combattre toute volonté d'évitement ou de « forum shopping ».

Bien que le RGPD soit rentré en vigueur il y a plus d'un an, il reste très présent dans les agendas politiques et médiatiques. Au sein de l'Union européenne et au-delà, cette tendance est assez inédite. Le RGPD a su rayonner au niveau mondial en proposant une approche nouvelle. D'autres standards sont à l'oeuvre au niveau mondial, ne l'oublions pas, et une véritable diplomatie de la protection des données mérite d'être engagée pour défendre ces valeurs. Certains États ont mis à jour leurs législations pour se rapprocher de nos standards, comme le Japon, la Corée du Sud, le Bénin, l'Australie. On peut également citer les processus en cours en Tunisie, en Suisse ou le Burkina Faso. D'autres ont adopté, pour la première fois, un cadre comparable au RGPD comme la Californie - dont la loi doit entrer en vigueur en janvier prochain et nourrit même des réflexions pour un texte de portée fédérale ou le Brésil, qui a adopté une telle loi en 2019. Les outils de transfert prévu par le RGPD - et en particulier les décisions d'adéquation par lesquelles la Commission peut les autoriser vers des pays tiers - ont contribué à une élévation internationale générale des standards de protection de la vie privée.

J'insiste : l'Europe ne s'est pas enfermée dans une forteresse avec le RGPD, cadre juridique ouvert qui continue bien sûr à permettre la libre circulation des données. J'ai d'ailleurs été frappée de voir que le G20 organisé à Osaka consacrait un paragraphe entier à la protection des données et au principe du « data free flow with trust », la libre circulation dans la confiance.

Il est important de défendre nos outils de régulation et nos standards en parallèle aux négociations commerciales internationales - ; la protection des données ne saurait être intégrée au sein des accords commerciaux conclus par l'Union européenne, un consensus existe sur ce point.

L'application effective du nouveau cadre européen de protection des données permettra également de renforcer notre résilience et notre cybersécurité en Europe, et donc d'affronter les dérives liées aux stratégies de désinformation - qui reposent sur l'exploitation des données et le ciblage des individus - ainsi qu'aux menaces portées contre l'intégrité de nos processus électoraux. Dans ce contexte, le RGPD n'apporte qu'une partie des réponses. Toutefois, c'est du succès de son application que dépendra la réussite de ces enjeux.

Il est également question de souveraineté numérique avec l'accès transfrontalier aux données dans le cadre d'enquête de police ou de procédures judiciaires. Nous discutons ainsi en ce moment avec nos homologues de l'impact du Cloud Act. Cette loi américaine adoptée récemment permet aux autorités américaines un accès direct, en dehors des accords de coopération judiciaire, aux données stockées en dehors des États-Unis, et donc y compris en Europe. La commission européenne a présenté une proposition de règlement en matière d'accès aux preuves électroniques actuellement en discussion. Nous devons certes être en mesure d'apporter des réponses concrètes à des problématiques juridiques pour garantir une certaine efficacité aux enquêtes, mais pas au détriment de la protection de la vie privée des individus.

Pour conclure, je tiens à rappeler que la CNIL a vocation à contribuer à une stratégie globale visant à assurer la souveraineté numérique tant au plan national qu'européen. Tout en restant dans le cadre de ses prérogatives réglementaires, elle se tient à la disposition des pouvoirs publics et des citoyens pour atteindre cet objectif. Pour autant, je ne peux que constater à quel point les ressources dont dispose la CNIL sont inadaptées au regard de l'ampleur des enjeux qui se dressent face à elle.