Intervention de Franck Poupard

En matière de données de santé, et de données en général, la France, pour des raisons historiques, se montre particulièrement prudente. Nous avons une CNIL particulièrement forte, et je m'en félicite. Il est pertinent de considérer le risque en premier, et l'Anssi y contribue, mais cela ne doit pas être stérilisant. On peut être tenté de ne rien faire pour ne pas prendre de risques...

À titre personnel, je suis convaincu que l'État a de grandes marges de manoeuvre dans l'exploitation des données qu'il détient déjà, pour rendre un meilleur service. Cela implique une internalisation de savoir-faire et une démarche volontariste pour extraire la valeur de ces données, sans recourir à la sous-traitance - sinon la valeur sera captée par d'autres.

Dans le privé, la situation est analogue. Un exemple : le secteur de l'automobile. Faut-il continuer à construire des châssis avec des roues, comme nous le faisons depuis plus d'un siècle, ou évoluer vers un modèle numérique fondé sur l'exploitation de données, comme le fait Tesla ? Ce constructeur vend ses voitures à perte, mais réalise de la valeur ailleurs. Les constructeurs qui refusent de s'intéresser à la question des données disparaîtront.

De même, nous devons être en mesure d'exploiter nos données de santé, non pour surveiller les citoyens mais pour construire une santé plus efficace. L'enjeu est de trouver un compromis sur le traitement de la donnée - et les débats parlementaires passés sur les expérimentations en la matière montrent combien c'est difficile. Il faut en permanence objectiver le risque, car la peur non objectivée empêche d'agir, ou fait faire des erreurs. Il faut protéger les données, tout en les exploitant. À une échelle plus réduite, TousAntiCovid relève de la même problématique : comment s'autoriser ce qui est nécessaire, et pas davantage, en matière de contact tracing, sans prendre de risque supplémentaire ? Ce n'est pas aisé, mais je crois possible de trouver un équilibre.

Le contrôle de la protection des données est assuré par chaque organisation. Le RGPD l'a formalisé, avec le délégué à la protection des données (DPO) qui intervient en appui des décideurs.

L'Anssi plaide pour que les directeurs d'administration centrale assument des responsabilités de plus en plus importantes en matière de numérique, de données, de cybersécurité. Certains d'entre eux mettent en avant leur manque de compétences dans ce domaine. Or je suis convaincu que nos hauts fonctionnaires doivent être formés aux enjeux du numérique. Un haut fonctionnaire qui ne les comprend pas fera de mauvais choix, ou déléguera ces choix à des gens qui ne peuvent pas prendre de responsabilités à sa place. On ne peut décliner toute responsabilité en matière de numérique en se déclarant incompétent - de la même manière que, directeur de l'Anssi, je ne peux me défausser de mes responsabilités juridiques au prétexte que je n'ai pas de connaissances en droit.