Ce site est une archive.
Il reflète uniquement l'activité des sénateurs sur la période d'octobre 2004 à mars 2023.
Intervention de Éric Delisle
Mission d'information Uberisation — Réunion du 7 septembre 2021 à 10h00
Audition de M. éric delIsle chef du service des questions sociales et rh à la cnil et de M. Nicolas Kanhonou et Mme Sarah Benichou directeur et adjointe chargés de la promotion de l'égalité et de l'accès au droit auprès de la défenseure des droits
Il me serait difficile de répondre exactement sur la conformité actuelle des plateformes aux articles 15 et 22 du RGPD, dans la mesure où cela nécessiterait de se rendre sur place. Néanmoins, je peux vous dire que ces obligations s'appliquent à tous les acteurs.
Certes, le respect du RGPD n'est pas toujours simple pour les acteurs tant privés que publics. Il est donc nécessaire que la CNIL offre un accompagnement afin de leur permettre de comprendre leurs obligations et de les respecter. Si cela ne suffit pas, la CNIL peut s'appuyer sur sa jambe répressive, qui permet de rappeler leurs obligations aux organismes. J'ose en tout cas espérer que les articles visés sont plutôt respectés. Je n'ai pas connaissance des procédures qui pourraient être en cours.
Au-delà du secret des affaires, la CNIL pourrait-elle disposer d'une compétence pour certifier les algorithmes ? Vous avez tout à fait raison, monsieur le sénateur : à effectif constant, ce serait compliqué... Imaginons qu'elle ait des effectifs suffisants. Elle dispose d'ores et déjà de compétences techniques très poussées dans le cadre tant des contrôles que de l'accompagnement, avec des ingénieurs, des doctorants, des cryptologues... Toutes ces compétences techniques sont nécessaires pour l'appréciation de la conformité des traitements de données qui nous sont soumis. Si le législateur donnait à la CNIL des compétences en matière de certification des algorithmes, nous les assumerions - il faudrait cependant que nous disposions des moyens nécessaires. Cela dit, la commission dispose d'ores et déjà, en vertu du RDGD, de compétences en matière de certification, pas spécifiquement sur les algorithmes, mais sur des services ou des produits. J'ignore si ces compétences nouvelles deviendraient notre coeur de métier, mais nous pourrions certainement le faire en complémentarité d'autres acteurs, dans la mesure où nous avons déjà une capacité d'analyse technique et juridique des traitements de données qui nous sont soumis, dans le cadre de la conformité, en amont, ou dans le cadre des contrôles, plaintes et sanctions, en aval.
Sur le principe de vigilance, j'ose espérer que les producteurs sont déjà responsables des effets des algorithmes, tant au regard de la réglementation en matière de discrimination que de celle en matière de protection des données ! Si les technologies qu'ils mettent en oeuvre ne respectent pas les principes posés par les différentes recommandations, ils en sont comptables et doivent procéder à des mesures correctrices.
