Intervention de Alex Türk

Puis M. Alex Türk, président de la CNIL, a présenté les profondes mutations qu'a connues cet organisme depuis 2004. Tout d'abord, la commission joue un rôle de régulateur en élaborant des règles permettant aux entreprises de développer leurs activités dans un champ juridique sécurisé. En outre, elle exerce une fonction d'expertise lorsqu'il s'agit d'autoriser la commercialisation de nouveaux produits à haute valeur technologique. Enfin, elle compte très prochainement s'engager dans une procédure de labellisation dès que le décret idoine d'application de la loi du 6 août 2004 sera enfin publié.

La CNIL porte une attention soutenue à deux secteurs d'activité spécifiques. D'une part, le secteur bancaire souhaite la création d'un fichier appelé « centrale positive de crédit » qui pourrait permettre un « profilage » des ménages visant à favoriser une meilleure adéquation des offres de crédit avec les spécificités des emprunteurs. A cet égard, il a rappelé qu'il incombait au Parlement et non à la CNIL de décider s'il faut ou non créer ce type de fichiers en France. D'autre part, le secteur des entreprises privées requiert beaucoup de vigilance compte tenu de l'explosion du nombre de demandes relatives à la biométrie, à la géolocalisation, au traçage sur internet ou encore à la vidéosurveillance. En effet, la CNIL doit à la fois contrôler les entreprises productrices de projets informatiques innovants et en même temps conseiller les entreprises clientes. A cet égard, il lui revient notamment d'évaluer la sécurisation des systèmes biométriques et M. Alex Türk a souhaité diffuser un court métrage de quatre minutes pour témoigner de la facilité avec laquelle les données personnelles enregistrées par un logiciel standard de biométrie pouvaient être piratées.

Soulignant le rôle de conseil et d'information de la CNIL, il a rappelé les conventions conclues avec les chambres de commerce et d'industrie et les rencontres régionales organisées tous les deux mois. Rappelant que l'on comptait désormais 4.350 correspondants « informatique et liberté » sur le territoire national, il a regretté que seulement une centaine de collectivités territoriales se soient dotées de ce relai qui procure pourtant des facilités administratives non négligeables.

Abordant ensuite la question du contrôle et des sanctions, il a indiqué que des contrôleurs assermentés de la CNIL, assistés de commissaires, se rendaient chaque semaine dans des entreprises pour examiner les fichiers informatiques contenant des données à caractère personnel. A cette occasion, il a indiqué que le contenu de ces fichiers révélait parfois de très désagréables surprises. Rappelant l'échelle des sanctions dont disposait la CNIL, il a précisé que son homologue espagnol pouvait prononcer des sanctions allant jusqu'à 1 million d'euros contre 300.000 euros en France.

Concernant le volet international de l'action de la CNIL, il a regretté le désaccord profond entre l'Europe et les Etats-Unis quant à la protection des données informatiques personnelles. La directive communautaire 2002/58/CE dite « Vie privée et communications électroniques » n'autorise la transmission de fichiers informatiques à des pays destinataires situés en dehors de l'Union européenne que si ces pays disposent d'un niveau de protection équivalent à celui en vigueur dans l'Union. Autrement dit, les pays destinataires doivent disposer à la fois d'une loi fondamentale relative à la protection des données personnelles et d'une autorité de contrôle indépendante et efficace. Or, ces critères ne sont respectés ni aux Etats-Unis, ni en Inde ou au Japon. Compte tenu de l'importance du commerce entre les Etats-Unis et l'Union européenne, qui représente la moitié du trafic mondial, il est indispensable de trouver un concept juridique permettant de concilier ces deux approches de part et d'autre de l'Atlantique.

a alors énuméré toute une série de sujétions imposées par les Etats-Unis à l'Union européenne, dans le cadre de la lutte contre le terrorisme, qu'il a jugé inacceptables : l'obligation des compagnies aériennes européennes de communiquer aux autorités américaines une trentaine d'informations relatives aux passagers, l'information des Etats-Unis sur toutes les relations interbancaires, mêmes intra-européennes, ou encore la diffusion des dispositifs d'alerte professionnelle dans les entreprises privées fondés sur la dénonciation entre salariés d'agissements illégaux.

Puis il a attiré l'attention des commissaires sur la problématique de l'externalisation de services d'entreprises françaises dans des pays francophones. Les centres d'appel connaissent un développement sans précédent en Afrique et en particulier au Maroc -où 30.000 emplois ont été créés pour répondre aux besoins des sociétés françaises et 120.000 sont prévus dans les années à venir- ou encore au Sénégal, au Bénin et au Gabon. Déplorant à cet égard que l'exportation des informations à caractère médical des patients français ne bénéficie pas d'une protection suffisante dans ces pays, il a plaidé pour le renforcement de l'assistance juridique de la France à destination de ces pays et la création d'une convention internationale dans le cadre de l'ONU qui permettrait une harmonisation juridique minimale.

Ainsi donc, un enjeu essentiel à court terme consiste à convaincre l'Asie de se rallier au modèle européen afin de contraindre ensuite les Etats-Unis à adopter des standards de protection des données personnelles plus contraignants qu'aujourd'hui. Il a conclu en indiquant que la CNIL faisait face depuis 2004 à des bouleversements considérables dans le domaine technologique et qu'elle bénéficiait désormais de pouvoirs accrus pour répondre à ces enjeux.

Puis un large débat s'est engagé.