Intervention de Isabelle Falque-Pierrotin

Le secteur de la protection des données personnelles figure parmi ceux dans lesquels l'Europe peut jouer un rôle de premier plan. Il constitue un bon laboratoire de la gouvernance.

Je souhaiterais aborder la question sous trois angles : juridique, technique et politique.

Sur le plan juridique, le temps est aux grandes manoeuvres. On assiste à une concurrence entre les grandes régions juridiques ; la question se pose de savoir laquelle offrira l'espace le plus adapté à l'économie de demain, fondée sur le numérique et les données. L'Union européenne présente l'avantage de disposer de règles déjà anciennes, avec la directive n° 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette directive apparaît en effet aujourd'hui dépassée. Sa révision est l'occasion de moderniser le cadre juridique pour l'adapter dans trois domaines : la reconnaissance de nouveaux droits, comme la portabilité ou le droit à l'oubli, qui n'existent pas forcément ailleurs ; l'allègement de contrôles a priori qui n'ont aujourd'hui plus de sens ; enfin, le renforcement des sanctions. Il convient de construire un nouveau schéma de régulation, dans lequel la charge passera de l'amont à l'aval, à travers une responsabilisation des acteurs.

Le projet de règlement en cours d'examen dessine un schéma de coopération entre autorités de régulation assez inédit. Jusqu'à présent, celles-ci étaient tournées vers leur marché national et coopéraient peu. La logique du projet de règlement est de favoriser une plus grande coopération, en évitant les deux écueils du « chacun chez soi » et de la décision bureaucratique centralisée. Le modèle de gouvernance à l'étude repose sur trois niveaux. Au niveau national, chaque autorité de régulation est compétente sur son territoire, lorsque les résidents du pays concerné sont ciblés par un service particulier. Cela signifie que, potentiellement, plusieurs autorités peuvent se prononcer sur un même sujet (Google, Facebook etc.). Le deuxième niveau de la gouvernance relève de la coopération entre autorités lorsqu'il existe un sujet d'intérêt commun : cette coopération intra-européenne doit permettre le cas échéant de prendre une décision sur la base du consensus. À défaut - c'est le troisième niveau, l'autorité européenne de protection des données (EDPB pour European data protection board), appelée à succéder au groupe de travail prévu par l'article 29 de la directive de 1995, dit « G 29 », sera compétente pour résoudre les questions qui n'auront pu être réglées par la seule coopération des autorités de régulation. Ce schéma présente ainsi à la fois un caractère décentralisé et distribué, mais également des incitations fortes à la coopération. Il permet de concilier « le guichet unique » demandé par les entreprises et la possibilité pour les citoyens de porter les litiges au niveau national. Il est remarquable que toutes les autorités réunies au sein du G 29 aient pu, malgré leurs différences, convergé vers ce schéma de gouvernance.

Le troisième exemple d'avancée juridique concerne l'accord conclu en février 2014 entre l'Union européenne et les États membres de la coopération économique pour l'Asie-Pacifique (APEC) pour encadrer les flux internationaux de données. Chacune des deux régions dispose de son propre système pour garantir les transferts de données internes à des entreprises ou à des groupes (binding corporate rules dites « BCR » pour l'Union européenne, cross-border privacy rules dites « CBPR » pour l'APEC). Or, les grands groupes veulent échanger des données à travers le monde entier. Un référentiel a pu être élaboré, pour dégager un bloc de règles commun aux deux zones concernées et des blocs additionnels spécifiques. Ainsi, l'Union européenne, en même temps qu'elle promeut avec le projet de règlement un meilleur encadrement des données, est capable d'ouvrir un chemin d'interopérabilité. Elle ne se ferme pas au reste du monde, bien au contraire.

L'espace juridique européen a donc apporté la preuve qu'il était suffisamment robuste pour intégrer l'innovation, même lorsque sont remises en cause les approches traditionnelles comme c'est par exemple le cas avec le big data. Au fond, les Américains nous disent que le principe de finalité n'a plus de sens à l'heure du big data, puisque l'on croise des données sans forcément connaître à l'avance le bénéfice que l'on va pouvoir en tirer. C'est la corrélation qui va déterminer la finalité. En outre, les Américains ont le sentiment que les modes d'utilisation actuels des données sont tellement compliqués qu'il devient impossible de demander aux citoyens leur consentement. Or, c'est un principe fondateur de la réglementation européenne. L'idée du projet de règlement est donc de convaincre les Américains, mais aussi et surtout les Européens, que le cadre juridique de l'Union européenne est suffisamment souple pour intégrer l'innovation tout en offrant des garanties pour les consommateurs. Au regard de la gouvernance juridique des données, l'Union européenne peut donc se prévaloir d'outils robustes à la fois offensifs et défensifs.

De plus, sous l'angle de l'innovation technologique et industrielle, l'Europe dispose, à travers la proposition de règlement, d'une arme juridique utile vis-à-vis des grands acteurs internationaux, ouvrant ainsi la faculté d'orienter la gouvernance juridique de la donnée selon notre propre schéma, sans avoir à subir celui des autres puissances.

Le deuxième élément concerne l'aspect technique de la gouvernance dont on ne peut se désintéresser car l'adage qui prédomine en cette matière est « code is law ». Cela signifie qu'il est nécessaire de normer techniquement ce que dit le droit. Par exemple, il est fondamental de définir ce qu'est l'anonymisation des données car, à l'heure du big data, le croisement de données permet la réidentification des internautes même lorsqu'ils ont fait le choix de l'anonymat. Nous avons procédé à la CNIL à cet exercice de réidentification sur un site de rencontres en ligne et nous nous sommes aperçus que cette opération prenait moins de dix minutes, malgré l'utilisation de pseudonymes. Il faut donc tirer des conséquences juridiques de cette situation pour garantir les droits des personnes.

À cet égard, je remarque que, très récemment, le G 29 a émis un avis appelant l'Europe à définir un standard d'anonymisation tant sur les principes (projet de règlement, conventions internationales) que sur leur traduction technique. Cela signifie que pour être respectées dans ses orientations, l'Europe doit être présente dans la gouvernance technique.

Un deuxième exemple nous est fourni par la décision du 8 avril dernier de la Cour de justice de l'Union européenne. Celle-ci a invalidé la directive sur la conservation des données de connexion en raison d'un défaut de proportionnalité dans l'atteinte au droit des personnes. La conséquence à tirer est la nécessité de localiser en Europe les serveurs qui traitent ces données. Cette position est intéressante en ce qu'elle dit que pour que les principes juridiques soient respectés, il faut établir une règle technique allant dans le sens de la constitution du cloud souverain.

Le troisième volet sur lequel je souhaite conclure est la gouvernance politique. En matière de protection des données personnelles, cela signifie que l'avance de l'Europe et de pays tels que l'Allemagne et la France qui ont été les premiers pays à légiférer à partir de la fin des années 70, acquise avant l'ère du numérique doit être remise à plat car le message de l'Europe sur sa conception de la protection des données n'a pas été suffisamment audible. En tous cas, il ne l'a pas été pendant les dernières décennies de développement de l'économie digitale. Les affaires Snowden et Prism, mis à part en Allemagne, n'ont pas provoqué une mobilisation aussi importante qu'on aurait pu le souhaiter. Pourtant, elles illustrent une rupture absolue dans le paradigme de surveillance. Jusqu'à présent, le pacte tacite était que les activités des services de renseignements ne visaient que les populations dites à risque et les dirigeants. Avec Snowden, nous changeons d'univers car tout le monde est maintenant concerné par la surveillance : cela signifie que le système par défaut est devenu la collecte généralisée de données. Il s'agit d'une inversion de la surveillance et donc de la présomption d'innocence.