Nous accueillons Mme Marie-Laure Denis, présidente de la commission nationale de l'informatique et des libertés (CNIL), avant d'entendre une communication de M. Grosperrin sur les algorithmes locaux dans Parcoursup. Madame la présidente, vous connaissez déjà certains de nos collègues, notamment M. Loïc Hervé - qui siège désormais à la commission des lois - et Mme Sylvie Robert, qui sont membres du collège de la CNIL. Le 13 mars dernier, nous avons reçu trois représentants de la CNIL au sujet des algorithmes dans Parcoursup : M. Paul Hébert et Mmes Emilie Seruga-Cau et Tiphaine Havel. Ce sujet sera à nouveau au coeur de votre audition.
Mais de nombreux autres thèmes intéressent notre commission, tout particulièrement la place du numérique dans notre société et la question de sa régulation, ou encore le bilan d'application du règlement général sur la protection des données (RGPD). À titre personnel, je suis particulièrement attentive aux questions relatives à l'éducation au numérique, auxquelles j'ai consacré un rapport d'information. L'actualité vous concerne aussi, avec la proposition de loi sur la lutte contre les propos haineux ou encore la question du rapprochement des régulateurs de l'audiovisuel et du numérique. L'utilisation des données personnelles fait aujourd'hui débat, notamment en ce qui concerne la publicité adressée.
Je suis très honorée de m'exprimer devant votre commission ce matin et vous remercie pour votre invitation. Je suis accompagnée par M. Thomas Dautieu, directeur de la conformité, et Mme Tiphaine Havel, conseillère pour les questions institutionnelles et parlementaires.
Depuis mon entrée en fonctions il y a six mois, j'ai pu apprécier la richesse et la régularité des échanges entre la CNIL et les commissions permanentes du Sénat, en particulier les commissions des lois et de la culture, où siègent les deux sénateurs membres de la CNIL, M. Loïc Hervé et Mme Sylvie Robert.
La CNIL a été invitée deux fois ces derniers mois par votre commission : en novembre 2018, pour participer à une table-ronde consacrée à la régulation audiovisuelle et numérique et, en mars dernier, pour aborder la question très importante de la mise en oeuvre de Parcoursup.
Je connais également l'attention particulière que vous portez au numérique sous toutes les facettes des trois domaines de compétences de cette commission que sont la culture, l'éducation et la communication.
La protection des données se situe au coeur du pacte social et la CNIL, à travers ses différents métiers, est en lien avec le quotidien de tous les publics.
Le numérique percute trois des principaux écosystèmes intéressant directement les champs de compétence couverts par la commission de la culture.
L'éducation au numérique a fait l'objet d'un rapport d'information extrêmement fourni, sous votre autorité, en juin 2018. Elle est essentielle pour se prémunir contre l'intrusion dans la vie privée. Notre société connaît des mutations profondes, liées aux changements de technologies et d'usages : que l'on pense aux réseaux sociaux, au recours à la biométrie, au développement de nos identités numériques ou au ciblage publicitaire. Nous ne devons pas subir ces mutations, mais en être pleinement acteurs. Nous faisons face à de nouveaux risques - détournement de finalités, violations de données, profilage déloyal - que nous devons être en mesure de maîtriser, sauf à nous exposer à des fissures, voire à une rupture, du contrat social. Face à ces mutations et ces risques, il y a un enjeu majeur de montée collective en compétences, en maturité, pour que chacun sache comment protéger sa vie privée et celle des autres. C'est, au sens premier du terme, un enjeu d'éducation - mais à tous les âges.
La CNIL en a fait une priorité d'action depuis 2013, en agissant pour l'éducation dès le plus jeune âge. Dans son action, elle s'appuie en particulier sur les têtes de réseaux du collectif Educnum qu'elle a initié, qu'elle fédère et qui compte aujourd'hui près de 70 structures, privées ou publiques. De nombreux contenus pédagogiques ont été produits et mis à disposition sur le site www.educnum.fr. En outre, le collectif organise du 20 au 22 septembre, à Poitiers, un évènement sur la citoyenneté numérique à l'attention des familles, des classes et, bien au-delà, du grand public. Cet évènement sera ensuite décliné dans d'autres villes.
Éduquer le plus en amont possible permet de connaitre ses droits, de savoir protéger ses données et d'utiliser à bon escient l'outil numérique qui, par ailleurs, a permis un accès démultiplié aux contenus culturels.
C'est pourquoi la CNIL et le ministère de l'éducation nationale ont développé ces dernières années des relations régulières et constructives, notamment avec le délégué à la protection des données du ministère. Une convention de partenariat portant sur l'intégration de la protection des données personnelles dans les usages numériques de l'éducation a été signée en décembre 2018 ; elle fait suite à une première convention conclue en 2016.
Au-delà de l'éducation au numérique, la CNIL est impliquée plus largement dans le cadre de la vie scolaire et périscolaire : nous recevons des demandes de conseil pour organiser l'accueil, la sécurité et la prise en charge des enfants à l'école, la crèche, la cantine, les transports scolaires, les séjours et les activités périscolaires et extrascolaires.
La CNIL reçoit régulièrement des plaintes, en particulier concernant la mise en oeuvre de dispositif de surveillance vidéo au sein d'établissements scolaires publics et privés.
La CNIL considère que les caméras peuvent filmer les accès de l'établissement et les espaces de circulation sous certaines conditions, mais qu'il est exclu, sauf cas exceptionnels, de filmer les lieux de vie des établissements - cour de récréation, préau, salle de classe, cantine, foyer - pendant les heures d'ouverture.
La CNIL est aussi impliquée dans la mise en oeuvre des traitements à portée nationale tels que Parcoursup : je ne reviendrai pas en détail sur le point d'étape qui avait été fait devant vous par les services de la CNIL au mois de mars mais pourrai bien entendu répondre à vos questions par la suite.
Deuxième écosystème percuté par les enjeux de protection des données : le secteur de la communication et de l'audiovisuel. Votre commission, qui a initié à l'automne dernier une réflexion sur la régulation audiovisuelle et le numérique, connaît tout particulièrement le sujet. La CNIL avait été, dans ce cadre, auditionnée. L'exploitation des données personnelles des utilisateurs des services culturels ou des services de communication audiovisuelle est de plus en plus centrale dans la chaîne de valeur des acteurs de cet écosystème.
Compte tenu des préférences, d'ordre personnel voire intime, que véhiculent ces données, les enjeux de protection de la vie privée occuperont donc eux-mêmes une place toujours plus centrale dans les politiques publiques à concevoir dans ce champ d'action.
De ce point de vue, le paysage de la régulation est appelé à évoluer. L'avenir passe par un renforcement de l'inter-régulation. Tous les prismes de l'action publique doivent être combinés pour appréhender de manière fine et efficace cet écosystème complexe. Ce sont des choses très concrètes : programmes de travail commun, échanges de personnels, mise en commun d'outils ou d'analyse. J'y suis très attachée.
La CNIL s'inscrit déjà pleinement dans ce schéma. Les échanges sont nombreux avec les autres autorités indépendantes : participation à la réflexion du Conseil supérieur de l'audiovisuel (CSA) sur la place de la donnée dans l'audiovisuel, échanges avec l'Autorité de régulation des communications électroniques et des Postes (Arcep) sur l'utilisation de données pour mesurer la qualité de services des opérateurs, missions de réflexion avec la Haute autorité pour la diffusion des oeuvres et la protection des droits sur Internet (Hadopi). Si les données sont incontestablement le pétrole, voire le terreau, de l'économie numérique, leur protection ne doit pas être une variable d'ajustement.
Troisième écosystème, vaste : le champ de la réflexion éthique sur les enjeux liés au numérique. La loi pour une République numérique de 2016 a confié à la CNIL la mission de conduire une réflexion sur les enjeux éthiques et les questions de société soulevés par l'évolution des technologies numériques. En 2019, la CNIL se saisira du sujet des Civic Tech, dans le sillon d'un agenda électoral chargé - européennes en 2019, municipales en 2020 - et d'un travail interne actuellement animé par notre Pôle « Innovation, Études et Prospective ». Ces technologies proposent de coupler démocratie et technologie au service d'une participation citoyenne plus directe et augmentée.
Au travers de cette mission éthique, la CNIL poursuit plusieurs objectifs : faire des citoyens des utilisateurs éclairés et critiques des technologies, poser les jalons d'un raisonnement commun et alimenter la réflexion des pouvoirs publics.
Plus globalement, je souhaiterais souligner l'impact du RGPD depuis son entrée en application. Le RGPD, en effet, n'était pas une réforme technique, mais un acte politique majeur. Il est donc important de mesurer l'avancement concret de la mise en oeuvre de ce texte, qui avait pour ambition essentielle de renforcer la maîtrise des citoyens sur leurs données personnelles.
Que peut-on en dire un peu plus d'un an après ? Premier constat : sa mise en oeuvre effective s'est accompagnée en France d'une refonte importante de notre cadre juridique relatif à l'informatique et aux libertés, ce qui n'est neutre ni pour les particuliers ni pour les professionnels. Cette adaptation s'est faite en plusieurs étapes, et notamment par la loi du 20 juin 2018. Vous avez participé aux nombreuses heures de débat au Sénat, qui avait identifié parfaitement les grands enjeux structurants d'avenir pour la protection des données personnelles. Le décret du 29 mai dernier a constitué la dernière étape de la mise en conformité du droit national avec le RGPD et la Directive « police-justice », applicable aux fichiers de la sphère pénale.
Second constat : tous secteurs confondus, privés et publics, l'activité de la CNIL est révélatrice des évolutions sociétales et des attentes de nos citoyens. Ainsi, en 2018, plus de 8 millions de visiteurs ont consulté notre site internet, soit une hausse de 85 % par rapport à 2017 ; près de 17 000 requêtes électroniques ont été reçues via l'outil en ligne « Besoin d'aide », soit une hausse de 15 % par rapport à 2017 ; il y a eu presque 300 000 consultations des questions et réponses mises en ligne, soit une hausse de près de 60 % par rapport à 2017 ; et nous avons reçu près de 200 000 appels téléphoniques, soit une hausse de 22,5 % par rapport à 2017.
Ces chiffres révèlent une volonté forte des individus de connaitre et de s'approprier leurs droits. Ce besoin d'information coexiste avec la volonté des individus de défendre leurs droits pour mieux maîtriser l'utilisation de leurs données personnelles.
En témoigne le nombre des plaintes, lui aussi en très forte hausse. Entre mai 2018 et mai 2019, la CNIL a reçu près de 12 500 plaintes, dont un tiers concerne la suppression de données sur internet - nom, prénom, coordonnées, photographies. Ceci représente une hausse de 42 % par rapport à la même période 2017-2018.
Dernier constat : ce nouveau cadre nous oblige, car il nous engage dans une forte dynamique d'appropriation et de consolidation du modèle RGPD. C'est pourquoi nous avons décidé, pour cette année, de fixer trois priorités d'action.
Premièrement, l'intensification de notre mission d'accompagnement des particuliers comme des professionnels : si l'on nous voit souvent comme des gendarmes, notre mission d'accompagnement n'est pas moins importante que celle de dissuasion. C'est pourquoi nous publierons d'ici la rentrée en version papier, et sans doute dès cet été en version numérique sur notre site, un guide conçu pour répondre aux attentes que nous savons très fortes des collectivités territoriales, à l'image du guide TPE-PME publié l'année dernière en partenariat avec la BPI-France. De même, notre actuel programme annuel des contrôles se concentre, entre autres, sur le traitement des données des mineurs. La CNIL souhaite en effet apporter une attention particulière à ce public vulnérable, au sujet duquel elle reçoit régulièrement des plaintes. Il peut s'agir, par exemple, de la publication de contenus sur les réseaux sociaux ou de la mise en oeuvre de traitements biométriques dans les écoles.
Deuxièmement, nous allons développer la capacité d'expertise technique et prospective de la CNIL, au plus près des usages. Son expertise est d'ailleurs reconnue au-delà de l'hexagone. Elle a notamment contribué, par la conduite d'un débat public et la publication d'un rapport en 2017, à faire émerger des principes éthiques forts dans le domaine des algorithmes et de l'intelligence artificielle. Nous devons analyser et anticiper de nouveaux usages et de nouvelles technologies. Le développement de l'expertise est également capital dans un univers où la cyber-sécurité - domaine auquel la CNIL n'est pas assez associée - prend une place prépondérante pour garantir la confiance dans l'univers numérique.
Troisièmement, la dimension européenne et internationale de la CNIL sera renforcée, à travers son action dans le domaine de la diplomatie de la donnée. Un nouveau modèle de gouvernance de la régulation a été mis en place avec le RGPD. Lorsque les traitements de données concernent des individus dans plusieurs États-membres, chaque autorité ne décide plus seule mais en réseau avec les autres autorités concernées, par le biais d'un mécanisme de guichet unique - le « One-Stop-Shop » en anglais - afin de prononcer une décision applicable pour l'ensemble de l'Union.
Pour ce faire, les autorités de protection des données coopèrent au sein d'un nouvel organe de l'Union : le comité européen à la protection des données (CEPD, ou EDPB en anglais). C'est en son sein que se prennent les décisions structurantes - notamment l'élaboration de lignes directrices garantissant la cohérence du droit européen de la protection des données - et que s'opère la distribution des rôles dans l'instruction des plaintes transnationales, notamment afin de déterminer quelle autorité sera cheffe de file - avec 20 % des plaintes, la CNIL est en quatrième position en la matière.
Du succès de son application dépendra l'avenir de la régulation au niveau international, et nous savons que plusieurs modèles de protection des données entrent en confrontation. À travers cet instrument extraterritorial, l'Union européenne a un rôle majeur à jouer - et l'ancienneté de la CNIL la place aux premières loges.
À cet égard, j'ai été auditionnée la semaine dernière par la commission d'enquête du Sénat sur la souveraineté numérique.
En outre, vous avez eu ou aurez à connaitre prochainement de propositions de loi destinées à lutter contre les fausses informations et les propos de haine en ligne. Si ces textes n'impactent pas directement la CNIL, nous sommes très attentifs aux initiatives prises en ces domaines.
Je me permets de conclure ce propos introductif par la question des moyens humains qui nous sont alloués. La CNIL a été sensible au soutien des sénateurs, en particulier le vôtre, madame la présidente, au moment des débats budgétaires de l'hiver dernier.
Cette question reste un point de vigilance permanent pour nous car, même si nous saluons les 15 équivalent temps plein (ETP) attribués l'année dernière, ce qui portera les effectifs de la CNIL à 215 à la fin de cette année, nos ressources restent inadaptées au regard de l'ampleur des enjeux auxquels nous devons faire face - comme le montrent les comparaisons internationales.
Nous sommes plusieurs à être intervenus pour que votre budget ne soit pas amputé davantage que celui de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Je donne d'abord la parole à Mme Robert, qui est membre du collège de la CNIL.
J'y siège en effet, avec M. Loïc Hervé, et nous sommes tous deux très investis dans ces fonctions, qui réclament un engagement important. En effet, les dix-huit commissaires ont chacun en charge un secteur. C'est donc plus qu'un rôle de représentation politique : nous participons à une vraie réflexion, à de vrais débats - parfois très techniques, notamment sur les données de santé, comme l'a montré le récent projet de loi.
Le Sénat est l'assemblée des collectivités territoriales, et celles-ci vont devoir se mettre en conformité. Un guide sera mis à leur disposition pour les y aider.
Vous y avez beaucoup contribué.
Pour les communes qui n'ont pas les ressources nécessaires, c'est un vrai sujet. En tous cas, nous devrons être vigilants sur les questions liées au RGPD et à notre souveraineté numérique, qui fait actuellement l'objet d'une commission d'enquête au Sénat.
Notre commission travaille depuis six mois sur les algorithmes locaux de Parcoursup, qui sont utilisés par certaines commissions d'examen des voeux pour établir un pré-classement des dossiers. Quelle est votre appréciation sur le régime dérogatoire actuellement en vigueur pour ces algorithmes ? Que diriez-vous si le législateur décidait d'y mettre fin et de revenir au régime de droit commun ?
En apparence ...
Je tiens à remercier les parlementaires qui siègent dans la commission pour leur implication, car elle représente un gros travail, et leur expérience nous est précieuse.
La CNIL a mis en demeure le ministère de l'éducation nationale, en 2017, sur le traitement d'affectation alors en vigueur, car son caractère automatisé ne correspondait pas aux standards de protection des données. Le traitement automatisé se fait désormais en deux phases et, en mars 2018, la loi sur l'orientation et la réussite des étudiants a prévu une intervention humaine. La transparence des critères d'affectation, au cours de cette seconde phase, est une question importante. Pour autant, il n'y a qu'un seul traitement, dont la finalité est d'aboutir à un classement, et qui fait l'objet d'une intervention humaine - ce qui empêche d'imposer une divulgation de l'algorithme, selon les termes du RGPD, qui ne l'impose qu'en cas de traitement entièrement automatisé. Pour autant, la CNIL recommande, comme une bonne pratique, la diffusion des critères. Le décret paru récemment préconise d'ailleurs de les expliciter. Le 12 juin, le Conseil d'État a relevé que le législateur a lui-même institué un régime dérogatoire, comme vous l'avez relevé. À lui de choisir s'il veut revenir ou non sur cette dérogation.
Les plaintes que nous recevons portent de plus en plus sur d'autres questions liées à Parcoursup. Certains établissements demandent en effet des informations susceptibles de poser problème. Ainsi, de cet IUT qui réclamait une vidéo d'appui à la candidature postée sur YouTube ...
Nous sommes tous favorables à ce que la CNIL dispose des moyens nécessaires au plein accomplissement de ses missions. J'avais d'ailleurs veillé sur ce point dans le cadre d'une résolution européenne. En effet, la mise en oeuvre du RGPD a conduit à un accroissement des effectifs de vos homologues. Le nombre de requêtes augmente, dites-vous. En combien de temps sont-elles traitées ? S'il y a engorgement, nous devons insister sur la question des moyens.
J'ai participé à une réflexion sur l'Intelligence artificielle et ses conséquences. La Commission européenne a déterminé des lignes éthiques en début d'année. Votre prédécesseur, à qui je demandais s'il fallait une régulation spécifique, m'a dit que tout était dans le RGPD. J'ai quelques doutes ... En matière d'intelligence artificielle, nous faut-il poser un cadre normatif, au-delà du RGPD ?
La coordination européenne est un élément important de la réussite du RGPD. Y a-t-il de mauvais joueurs ? Certains pays sont-ils récalcitrants à l'appliquer ? Pouvez-vous nous en dire plus sur les moyens de la CNIL ? Quels devraient être les effectifs, selon vous ?
J'ai été sensible à votre propos préliminaire sur le contrat social et la manière dont vous le préservez. Notre démocratie connaît en effet une évolution majeure avec le numérique, qui modifie la relation que nos concitoyens ont avec la République et son administration. Nous avons besoin d'une institution comme la vôtre, ou comme celle du Défenseur des droits, pour rappeler certains principes fondamentaux.
Même si le ministère communique peu, la pratique montre que le traitement des données se fait en deux temps. Il y a d'abord un pré-classement, qui s'apparente à du profilage au sens du RGPD, et c'est ensuite que vient l'intervention humaine, mais celle-ci ne peut pas concerner la totalité des dossiers. Les algorithmes locaux peuvent donc écarter à eux seuls certains dossiers. Il faudrait avoir accès aux traitements mis en place par les établissements, mais c'est à peu près impossible.
Les établissements d'enseignement supérieur ont-ils réalisé les études d'impact sur la protection des données ? Que révèlent ces études ?
Il y des logiciels de traitement de l'information liés à l'éducation. Vous parlez de terreau plutôt que de pétrole - archéologue, je vous dirais que ce n'est qu'une question de temps ! En tous cas, il y a là des données essentielles, et l'on voit bien qui pourrait s'y intéresser. Le logiciel Pronote, par exemple, recueille énormément d'informations. Quelle garantie qu'elles ne soient pas un jour utilisées par d'autres ? Les Gafam s'intéressent aux données de l'éducation.
Comment le guide du RGPD sera-t-il diffusé ? Les petites communes n'ont guère de personnel, et les élus sont déjà au four et au moulin. Les plaintes sont en augmentation, dites-vous. Sur quoi portent-elles ?
Pour les associations aussi, l'application du RGPD est difficile, faute de personnel compétent pour trouver les bonnes informations. Le guide que vous annoncez leur serait aussi très utile.
Vous prononcez régulièrement des sanctions, des amendes. Elles sont souvent contestées. Quel est la proportion qui aboutit ? Où va l'argent ? Pas à la CNIL, j'imagine ... Je ne connaissais pas Educnum. Où sont situées les 70 structures qu'il comporte ? Bénéficient-elles d'un label spécifique ?
L'éducation nationale contractualise avec Microsoft ou Google, souvent sans appel d'offre. Les avis divergent sur le bien-fondé de tels partenariats. La CNIL est-elle amenée à en connaître ? Le RGPD est-il efficace face à des pratiques mafieuses comme celles révélées par l'affaire Cambridge Analytica ? Outre-Atlantique, certains considèrent que le RGPD devrait être dupliqué. Avez-vous été sollicitée en ce sens ?
Nous disposons actuellement de 200 agents, ils seront 215 fin 2019. Nous avons le troisième plus faible ratio des 28 États-membres entre nombre de collaborateurs et population. En 2020, les Anglais auront 900 agents, et ils ont pour ambition de devenir une sorte de hub européen. L'Allemagne en compte 600 ou 700, dont au moins 250 au niveau fédéral. La Pologne, dont la population est deux fois moins nombreuse que la nôtre, en a 250. Sans doute nos agents sont-ils très compétents ... Mais cela pose un problème pour le traitement des plaintes ou pour le programme de contrôle : si, dans la majorité des cas, nous cherchons un règlement amiable, nous avons fait près de 300 contrôles l'an dernier, adressé une cinquantaine de mises en demeure et pris une dizaine de sanctions. Et les avocats qui sont face à nous comptent parmi les meilleurs. La CNIL passe beaucoup de temps, aussi, à rendre des avis sur des projets de textes du Gouvernement : 120 fois l'an dernier ! Bref, nos moyens sont clairement inadaptés. C'est dommage à l'heure de la mise en oeuvre du RGPD, car nous avions une antériorité. Sur la cyber-sécurité, l'ANSSI fait un travail formidable, mais le RGPD demande aux entreprises de notifier les violations constatées à la CNIL dans les 72 heures, à charge pour nous de décider si les personnes concernées doivent être informées. C'est un travail considérable : nous avons reçu plus de 2 000 notifications en un an, ce qui est un chiffre probablement sous-estimé, malgré l'importance des enjeux.
La durée de traitement d'une plainte dépend de sa complexité et de son extension géographique. Nous essayons de répondre aussi rapidement que possible.
La CNIL s'est saisie du sujet de l'intelligence artificielle en 2017, et y promeut la transparence et la loyauté des algorithmes. Il faut une intervention humaine pour éviter les biais. Les textes qui nous sont soumis témoignent toutefois d'une plus grande attention sur ce point. Ainsi, le projet de loi sur la bioéthique prévoit un encadrement des algorithmes.
Y a-t-il des mauvais joueurs en Europe ? A ce stade, non. Bien sûr, les cultures diffèrent entre elles, et les pays anglo-saxons sont plus favorables à des règlements à l'amiable avec les entreprises. Certains pays concentrent un grand nombre de sièges sociaux. Bref, la voiture de la protection des données est conduite par plusieurs conducteurs, avec un code de la route en voie de transformation ... Notre homologue irlandais doit nous communiquer cet été son projet de sanctions. Le RGPD a en effet introduit la possibilité de plaintes collectives, dont la société s'est emparée, notamment pour des phénomènes transfrontaliers. Et nous avons demandé au comité européen de la protection des données un état des lieux régulier du traitement des plaintes par les différentes autorités.
Le législateur peut toujours modifier la loi, monsieur Ouzoulias ; la CNIL est de toute façon favorable à la transparence des algorithmes locaux. Pour faciliter les études d'impact, introduites par le RGPD, nous avons mis en ligne un logiciel gratuit procurant une maquette, qui a été téléchargé 150 000 fois et traduit en dix-neuf langues !
La CNIL ayant considéré que les traitements locaux étaient à risque, il est obligatoire pour chaque établissement d'enseignement supérieur de réaliser une étude d'impact. Comme c'est un exercice nouveau, la CNIL a contribué à former les délégués à la protection des données et à sa méthodologie. Nous poussons à une mutualisation entre établissements mais chacun sera responsable de l'identification des risques. Ces études d'impact sont des documents internes, qui n'ont pas obligatoirement à nous être soumis.
Le RGPD repose en effet sur un principe de responsabilisation. J'ai des entretiens réguliers avec le ministre de l'éducation nationale. Notre régulation n'est pas spécifique aux plateformes mais le RGPD, fondé sur la notion de risque, permet d'avoir une vigilance spécifique à leur endroit, et la sanction peut atteindre 4 % de leur chiffre d'affaires mondial - la CNIL a d'ailleurs infligé une sanction de 50 millions d'euros à Google. La portabilité des données est aussi un nouveau droit introduit par le RGPD, qui renforcera la concurrence.
Le guide destiné aux collectivités territoriales est surtout orienté vers les petites communes, pour traiter de thématiques qui leur sont propres. Nous en enverrons un par commune, et il sera téléchargeable sur notre site. Nous aurons une forte exposition au salon des maires de France. Sur le RGPD, nous avons lancé un cours en ligne il y a deux mois, notamment pour les délégués à la protection des données. Et nous envisageons d'y ajouter une brique spécifiquement orientée vers les collectivités territoriales. Nous travaillons aussi avec les associations d'élus.
Plus d'un tiers des plaintes concernent la diffusion d'informations sur Internet. Viennent ensuite, pour environ 20 % du total, la prospection commerciale et la publicité, puis, pour 10 %, les questions de ressources humaines.
Nous travaillons spécifiquement pour les associations. J'ai récemment passé deux heures à écouter les appels qui nous arrivent et un président d'association, par exemple, demandait s'il devait fournir à la mairie la liste de ses membres ...
Comme dans tout État de droit, nos sanctions peuvent être contestées, ce qui ne dispense pas du paiement - et Google a payé les 50 millions d'euros qu'il devait avant même de faire appel. Malheureusement, cet argent ne va pas dans les caisses de la CNIL. (Sourires.)
La composition d'Educnum date de 2013, et comporte des associations comme par exemple l'UFC-Que choisir ? ou l'union nationale des associations familiales (UNAF). Sont aussi présents des acteurs du monde de l'éducation et de la recherche - fédérations de parents d'élèves, universités numériques, conférences des grandes écoles, réseau Canopé, talents du numérique... -, des fondations d'entreprise et des fédérations professionnelles - Fédération des industries électriques, électroniques et de communication, Renaissance numérique, Fédération française des télécoms, fondations de La Poste et du groupe Axa ... -, des confédérations patronales et syndicales, des acteurs institutionnels - notamment Radio France et France Télévisions, le Conseil économique social et environnemental, les chambres de commerce, l'Organisation internationale de la francophonie ... Nous travaillons beaucoup avec nos partenaires étrangers pour essayer de dégager des principes homogènes.
Le RGPD ne propose rien de spécifique pour les plateformes, sinon l'application des instruments dont il dispose déjà.
Vous m'avez interrogée sur l'affaire Cambridge Analytica et l'utilisation, par cette société, des données de près de 87 millions d'utilisateurs du site à des fins politiques. Le RGPD n'était pas encore en vigueur au moment des faits. Je peux vous assurer que nous sommes très attentifs à la communication politique. Le régulateur américain vient de proposer au département de la justice l'instauration de règles dont certains pensent qu'elles ne sont pas assez sévères et dont on ignore encore si elles seront assorties de mesures correctrices, indépendamment de l'amende de 5 milliards de dollars.
Avec le CSA, nous sommes un des acteurs chargés de l'encadrement des règles de la communication politique. Nous allons communiquer davantage en commun sur ces questions. Nous avons reçu, par exemple, près de 800 signalements pour les dernières élections européennes sur des questions de prospection par SMS ou par téléphone. Nous nous attendions à des dispositifs très innovants, mais il ne s'agit généralement que de messages préenregistrés de candidats. Nous nous mettons en ordre de bataille pour diffuser les bonnes pratiques et pouvoir réagir lors des prochaines élections municipales.
Le Comité européen de la protection des données a également édicté des règles en la matière.
Nous avons fêté les quarante ans d'existence de la CNIL voilà quelques mois. On ignore encore trop souvent que cette autorité de régulation, protectrice des libertés publiques, est née au Sénat. Nous sommes donc particulièrement attachés à son devenir et à la façon dont elle remplit ses missions.
À la demande de notre présidente, je mène depuis plusieurs mois un travail de suivi de la loi relative à l'orientation et à la réussite des étudiants (ORE) que nous avons votée voilà un peu moins de dix-huit mois.
Cette mission de suivi a porté très spécifiquement sur la question des algorithmes utilisés dans le cadre de la plateforme Parcoursup.
Nous avons mené de nombreuses auditions particulièrement intéressantes, certaines en commission plénière, d'autres en plus petit comité, mais toujours ouvertes à l'ensemble de nos commissaires. Je tenais à remercier ceux d'entre vous qui m'ont accompagné et qui ont partagé leurs réflexions. Je fais un salut tout particulier à Pierre Ouzoulias - grand spécialiste de cette question - qui a très grandement contribué aux réflexions que je vous présente aujourd'hui.
Faut-il rendre obligatoire la publication des algorithmes utilisés par la plateforme Parcoursup ? Permettez-moi de partir d'un engagement très net du Président de la République, le 29 mars 2018, à Paris, lors de son discours sur l'intelligence artificielle : « l'État, pour ce qui le concerne, rendra donc par défaut public le code de tous les algorithmes qu'il serait amené à utiliser au premier rang desquels [...] celui de Parcoursup car je pense que c'est une pratique démocratique ». Je cite encore : « la clé est de [...] rendre les algorithmes publics ». Il prônait aussi, s'agissant de l'entrée à l'université, une « transparence complète ». Au-delà du discours présidentiel, qu'en est-il réellement de cette transparence ?
Parcoursup, c'est d'abord un algorithme central qui transforme les listes ordonnées de candidats transmises par les formations en réponses auxdits candidats et qui ensuite les réponses des candidats. Le code source et le cahier des charges de cet algorithme ont bien été publiés, conformément à l'objet d'un amendement de notre collègue député Cédric Villani, adopté lors de l'examen de la loi ORE.
Toutefois, contrairement à admission post-bac (APB), son prédécesseur, ce n'est pas au niveau central que tout se joue dans Parcoursup. C'est le rang du candidat sur la liste établie par la commission d'examen des voeux de la formation concernée qui va déterminer ses chances d'inscription.
Les dossiers sont regardés un à un et classés manuellement dans les formations ne comportant qu'un petit nombre de candidats, conformément aux engagements de la ministre d'assurer un traitement humain des dossiers.
Toutefois, dans la plupart des formations, chaque candidat pouvant faire jusqu'à dix voeux et vingt sous-voeux non hiérarchisés, les équipes pédagogiques ont eu recours soit à des tableurs Excel de leur facture, soit à l'outil d'aide à la décision du ministère. En 2018, un petit quart des 14 500 formations avait eu recours à cet outil, dont 56 % des licences et 47 % des instituts universitaires de technologie (IUT).
À partir de tels tableurs, les commissions d'examen des voeux ont pu sélectionner les notes des matières et les éléments de la fiche Avenir qu'elles souhaitaient retenir, ainsi que les pondérations souhaitées. Le tableur leur a ainsi permis d'établir une liste classée de candidats, au sein de laquelle les commissions n'avaient plus qu'à départager les éventuels ex aequo et à réintégrer les dossiers atypiques.
Comme le souligne depuis déjà longtemps notre collègue Pierre Ouzoulias, le travail de la commission d'examen des voeux s'opère clairement en deux phases. De même, l'existence des algorithmes locaux est indéniable, contrairement à ce que soutient la ministre qui s'obstine à nier cette évidence.
Un algorithme est une suite finie d'étapes ou d'instructions produisant un résultat à partir d'éléments fournis en entrée. Une recette de cuisine est un algorithme. Dans le cas de Parcoursup, les notes, les pondérations et les éléments de la fiche Avenir constituent les éléments en entrée ; on obtient alors une note de dossier qui permet d'opérer un classement.
M. Frédéric Dardel, président de l'Université Paris-Descartes, a publié sur son fil Twitter un exemple de prétraitement des dossiers. Il s'agit de l'une des rares expériences de transparence totale menée par une université car si la publication en ligne des critères n'est pas obligatoire, elle n'est pas non plus interdite. Pour départager les 3 212 candidatures en licence de sciences de l'éducation, laquelle ne comptait que 80 places, la commission d'examen des voeux a déterminé cinq matières - français, histoire-géographie, philosophie, langue vivante I et mathématiques - auxquelles elle a appliqué des coefficients relativement simples : 1 pour chaque matière, sauf pour le philosophie, 0,5 afin de ne pas créer de disproportion entre matières littéraires et scientifiques et parce que la philosophie est plus aléatoire. Ont également été rentrés deux éléments de la fiche Avenir : les avis du conseil de classe sur la cohérence du projet et sur la capacité à réussir du candidat. L'outil d'aide à la décision a alors calculé de manière automatisée, à l'aide d'algorithmes très simples, une note de dossier sur 120 points.
Une fois ce pré-classement opéré, les opérations humaines ont débuté : la commission a regardé tous les dossiers des candidats du secteur - environ 600 dossiers - et les 100 premiers hors secteur - en raison du quota, seules 4 places sur les 80 disponibles étaient destinées à des candidats hors secteur.
Chaque dossier a reçu une note au regard de la lettre de motivation, du CV et de la fiche Avenir. Cette nouvelle note, entre 0 et 5, a été ajoutée au score initial. Tous les dossiers atypiques ou incomplets ont fait l'objet d'une notation globale. La liste définitive a ensuite été établie et transmise au recteur.
Le régime de publication et de communication de ces algorithmes locaux est un régime spécial, dérogatoire du droit commun. Pour mémoire, le droit commun prévoit une publication en ligne obligatoire de toutes les règles définissant les traitements algorithmiques utilisés en vertu de l'article L. 312-1-3 du code des relations entre le public et l'administration. Le droit commun prévoit également la communication par l'administration, à la demande de l'intéressé, des principales règles définissant le traitement algorithmique, ainsi que des principales caractéristiques de sa mise en oeuvre, en vertu de l'article L. 312-3-1 du même code.
Le régime spécial instauré par la loi ORE pour Parcoursup déroge expressément à ces deux articles. Il prévoit que seules des informations relatives aux critères et modalités d'examen des candidatures seront communiquées, a posteriori, au candidat qui en fait la demande. Les candidats et le public ne sont pas sans information : on trouve sur Parcoursup les attendus de chaque formation et, à partir de la prochaine campagne, les critères généraux d'examen des candidatures. L'attendu d'une licence de droit, par exemple, consiste à « savoir mobiliser les compétences en matière d'expression écrite afin de pouvoir argumenter un raisonnement ». Les critères généraux demandés par la formation seront « les notes de première et de terminale en français, philosophie, histoire-géographique et SES ».
Lors de l'examen de la loi ORE, il n'était pas envisageable de demander aux établissements, lesquels disposaient de très peu de temps pour monter leurs commissions d'examen des voeux, de publier en ligne les critères d'examen des candidatures. Il fallait aussi leur laisser le temps nécessaire pour roder ces critères et les éprouver face à la réalité des dossiers reçus.
Aujourd'hui, après deux campagnes plutôt réussies de Parcoursup - je tiens à rendre hommage aux commissions d'examen des voeux qui ont fait un gros travail -, le temps est venu de reposer la question de la publication de tous les critères utilisés dans l'outil d'aide à la décision. Et cela pour plusieurs raisons : le choix éclairé des candidats - ces informations permettront aux lycéens de faire des voeux réalistes ; la confiance dans Parcoursup - elle est encore fragile après les quelques ratés du mois de juin ; la demande sociale de transparence, qui est devenue l'un des fondamentaux de nos sociétés.
Les arguments de ceux qui s'y opposent ne manquent pas : d'abord, le secret des délibérations de la commission - j'y suis tout à fait favorable, mais les délibérations ne commençant qu'au moment où la commission se penche au cas par cas sur les dossiers, il n'y a pas de raison d'étendre le secret à la phase automatisée de pré-classement des dossiers ; la commission devra se réunir avant novembre pour statuer sur les critères utilisés et donc publiés sur Parcoursup - cet argument ne me paraît pas insurmontable ; les candidats vont crouler sous l'information - c'est un risque, mais notre société préfère aujourd'hui trier l'information plutôt que d'en être privée ; enfin, cela risquerait d'encourager des comportements stratégiques - selon moi, mieux vaut faire savoir à tous les candidats sur quels critères ils seront jugés, plutôt que limiter cette information à quelques happy few bien informés.
Pour ces raisons, je recommande le retour au régime de droit commun. Ce n'est ni une nouveauté, ni une idée isolée. Je vous rappelle que le Sénat a déjà voté ce retour l'an dernier, sur l'initiative de sa commission des lois et de son rapporteur, Sophie Joissains, dans le cadre du projet de loi relatif à la protection des données personnelles. Je tiens d'ailleurs à saluer l'action volontariste de Mme Joissains.
La Commission d'accès aux documents administratifs (CADA), dans son avis du 10 janvier 2019, a clairement déploré l'existence de ce régime d'accès, ce qui nous a été encore confirmé le mois dernier.
Le Défenseur des droits a recommandé à la ministre, dans sa décision du 18 janvier 2019, de « rendre publiques toutes les informations relatives au traitement, y compris algorithmique, et à l'évaluation des dossiers des candidats ».
Le rapporteur public du Conseil d'État, au cours de la séance du 20 mai dernier, a suggéré qu'une réflexion soit menée sur la transparence de Parcoursup.
Enfin, à tout seigneur tout honneur : comme je vous l'indiquais au début de mon intervention, le Président de la République a lui-même demandé la transparence des algorithmes de Parcoursup en mars 2018. Je m'explique difficilement que sa parole, son engagement, particulièrement clairs, aient été si peu suivis d'effets.
Je déposerai prochainement, avec Sophie Joissains, une proposition de loi que je vous demanderai de bien vouloir cosigner. J'aurais aimé que ce texte soit également repris par d'autres groupes politiques, ce qui n'a pu être possible. L'adoption de cette proposition de loi me paraît essentielle pour parvenir à une plus grande transparence sur la question des algorithmes.
J'ajouterai la Commission européenne, que j'avais saisie sur cette question, à la liste des institutions ayant demandé la publication des algorithmes locaux. Il ne manque que l'ONU : laissez-moi un peu de temps et nous y arriverons. (Sourires.)
M. Dardel, qui est le seul à avoir présenté la totalité de ces algorithmes, nous a dit très clairement que cette transparence n'influençait en rien la façon dont les étudiants s'inscrivaient dans sa filière. Au contraire, il pourrait s'agir d'un élément d'attractivité, les étudiants allant plus facilement vers une formation dont les critères de sélection des dossiers sont connus.
J'ai beaucoup travaillé avec des bacheliers pour comprendre leur manière de procéder. Dans leur très grande majorité, ils disent qu'une plus grande clarté dans les algorithmes leur permettrait de diminuer le nombre des demandes qu'ils présentent, ce qui fluidifierait tout le système. Faute de savoir exactement comment ils seront jugés, ils multiplient les demandes. C'est notamment le cas dans les formations faisant passer des oraux, comme les écoles d'architecture. Tous réclament unanimement davantage de clarté.
Comme vous l'avez souligné, monsieur le rapporteur, il ne s'agit pas de toucher au secret des délibérations. Nous souhaitons seulement plus de transparence dans la phase de prétraitement. Tout ce qui relève du jury fait partie des libertés académiques et du socle constitutionnel. Nous n'y touchons absolument pas.
Lors de sa dernière audition, la CNIL a envoyé un cri d'alarme. La transparence de la gestion des dossiers par l'administration est un principe de droit commun. Or, dans chaque nouveau texte, on instaure une nouvelle dérogation. Au final, ce principe de droit commun s'est énormément réduit. On ne peut offrir des droits et en réduire systématiquement la portée. C'est un souci d'ordre constitutionnel.
Je partage le souci de transparence souligné par Jacques Grosperrin et Pierre Ouzoulias. Toutefois, pousser le raisonnement à l'excès pourrait déboucher sur une forme d'automaticité.
Jacques Grosperrin a donné une définition des algorithmes tout à fait correcte. Tous ceux qui ont participé à des jurys savent que des éléments non écrits peuvent être pris en compte pour l'évaluation d'une candidature. Attention à ne pas aller vers un système entièrement automatisé dans lequel le classement deviendrait opposable par le candidat.
Je suis d'accord pour une diffusion très large des critères. Il me semble tout à fait normal de préciser les attendus. Mais dès lors que l'on commence à mettre des coefficients face à des notes, il faut faire attention. Sur une année, des fluctuations du contrôle continu d'un élève peuvent s'expliquer pour une raison ou une autre. Encore une fois, prenons garde de ne pas aller vers trop d'automaticité. Il faut permettre au jury de tenir compte de critères humains.
Je ne me prononcerai pas sur le projet de proposition de loi qu'il faudra examiner avec beaucoup de précaution. La loi ORE tenait compte d'un certain nombre des préoccupations évoquées par Jacques Grosperrin, notamment l'appropriation, par les établissements d'enseignement supérieur, des nouvelles règles de Parcourusp. Je ne suis pas certain, après deux exercices, que l'ensemble des établissements concernés maîtrisent ces règles. L'exemple de Frédédric Dardel, qui est tout de suite allé très loin dans la réflexion, dans l'organisation et dans la transparence, est sans doute atypique. Je doute que tout soit aussi fluide et limpide ailleurs.
Je partage la préoccupation de Pierre Ouzoulias : mieux informer sur les critères peut aider les futurs bacheliers à mieux s'orienter. S'il s'agit d'aller dans cette direction, je souscris sans réserve à cette volonté de transparence.
Toutefois, les choses ne semblent pas si évidentes. M. Dardel explique qu'un panel de notes est pris en compte. Avec un 15 en histoire-géographie et un 5 en langue vivante I, faut-il tout de même s'inscrire ? La question des pondérations est donc tout aussi essentielle que celle des critères. Jusqu'où va-t-on dans la transparence sur les données ? Il faut se montrer assez prudent sur cette question.
Les critères et les pondérations changent-ils en fonction des années, du nombre de dossiers ou d'autres évènements ? Le problème du bac survenu cette année pourrait-il, par exemple, induire une inflexion dans la prise en compte des critères par les commissions ? Prenons garde de ne pas mettre en place un système trop rigide.
Notre commission compte de grands spécialistes de Parcoursup et des algorithmes. Lors de l'examen de la loi ORE, les réponses de la ministre avaient entretenu une forme de confusion qui nous avait mis dans une situation extrêmement délicate. Je veux vraiment remercier le rapporteur pour son travail qui a permis de clarifier ces questions. Les réponses du Gouvernement étaient alors toujours les mêmes : il n'y a pas de sujet. Je vous remercie donc d'en avoir fait un vrai sujet !
Peut-on accepter toutes ces dérogations qui, comme le soulignait Pierre Ouzoulias, sont autant d'atteintes à la portée de droits que nous avons inscrits dans la loi pour une démocratie citoyenne et partagée reposant sur la confiance ? Au regard de l'augmentation significative des plaintes, des recours, des demandes de dossier auprès de la CNIL, on comprend qu'il s'agit d'une question essentielle.
Je rejoins Laurent Lafon sur l'articulation entre réforme du baccalauréat et Parcoursup. Les attendus de certaines universités témoignent d'une volonté presque excessive de se mettre en conformité avec la réforme du baccalauréat et la suppression des différentes séries. Il me semble qu'il ne s'agit pas de la façon la plus vertueuse d'appliquer une réforme dont je partage en partie la philosophie pour ouvrir, dans la transversalité, les aptitudes et les compétences des jeunes.
La réforme du bac étant d'ordre réglementaire, nous en avons très peu parlé. Cette question de l'articulation entre réforme du bac et Parcoursup mériterait sans doute d'être traitée.
Je ne sais pas encore ce qui figurera dans votre proposition de loi, monsieur le rapporteur. Nous avons tous pu éprouver les difficultés liées à Parcoursup - je pense notamment au terrible bug des écoles d'infirmières ...
Bien évidemment, tout n'est pas à jeter. Pour autant, nous devons faire preuve de vigilance. Tant pis si nous fatiguons la ministre en revenant systématiquement à la charge ...
Dans une question écrite, j'avais interrogé le ministre de l'éducation sur le lien entre nouveau baccalauréat et Parcoursup. Les deux ministres ne peuvent se renvoyer la « patate chaude ». À eux de nous montrer qu'ils travaillent ensemble.
La commission d'enquête sur la souveraineté numérique permet de tirer la sonnette d'alarme et de montrer que certaines choses ne fonctionnent pas. Aux uns et aux autres d'en prendre conscience et à nous de rester vigilants.
Je partage totalement les propos de M. Ouzoulias. Le maintien du secret des délibérations est essentiel, ce qui n'est pas antinomique avec plus de transparence.
Vous avez raison, monsieur Piednoir : il faut prendre garde de ne pas aller trop loin. Informatiser les choses ne servirait à rien. Nous avons le souci de conserver cette partie « humaine » de la délibération du jury et il faut aussi s'assurer de laisser la main aux jurys sur les dossiers atypiques.
Lors de l'examen de la loi ORE, j'avais expliqué à la ministre que l'avis de la commission sur l'amendement du Gouvernement était plutôt défavorable. Je lui avais alors demandé des informations complémentaires, en particulier sur la question de la transparence des algorithmes locaux. Elle m'avait répondu textuellement : « La publication des algorithmes est inscrite dans la loi : ce n'est pas le sujet ici. » J'avais finalement émis un avis favorable sur l'amendement. Il s'agissait alors de répondre à une urgence et de rassurer les futurs étudiants. Aujourd'hui, nous ne pouvons plus accepter cette réponse.
Comme vous l'avez souligné, madame Robert, on ne peut plus accepter ces régimes dérogatoires. Nous sommes tous d'accord, il faut rentrer dans un régime de droit commun. L'articulation entre le baccalauréat et Parcoursup est fondamentale, même si les lycéens ne reconstituent pas en totalité les filières : ils opèrent d'autres choix qui leur permettre d'être en accord avec les attendus de Parcoursup.
L'année dernière, en raison du calendrier et de l'urgence relative, nous n'avions pu effectuer ce travail de fond. Je me souviens du soir où nous avions débattu de cette question, lors de l'examen de la loi ORE. Nous étions quelque peu démunis, faute d'avoir pu travailler suffisamment.
Notre rôle est d'améliorer la loi dans le sens de l'intérêt général. Il était important de mener ce travail conjointement avec la commission des lois et son rapporteur, Sophie Joissains, qui avait mis le doigt sur cette même problématique lors de l'examen de la loi relative à la protection des données personnelles.
Peut-être pourrions-nous organiser, à la rentrée, une audition conjointe de Jean-Michel Blanquer et de Frédérique Vidal pour leur poser les bonnes questions.
Je vous propose par ailleurs de désigner les membres de la commission mixte paritaire appelée à se réunir dans le cadre de l'examen du projet de loi relatif à la création de l'Agence nationale du sport et à diverses dispositions relatives à l'organisation des jeux Olympiques et paralympiques de 2024.
Après consultation de l'ensemble des groupes politiques, je vous suggère de soumettre au Sénat la nomination comme membres titulaires de : Mme Catherine Morin-Desailly (Union Centriste), M. Claude Kern (Union Centriste), Mme Mireille Jourda (Les Républicains), M. Jean-Raymond Hugonet (Les Républicains), M. Patrick Kanner (Socialiste et républicain), M. Jean-Jacques Lozach (Socialiste et républicain) et M. Didier Rambaud (La République En Marche).
Pour les membres suppléants, les noms sont les suivants : Mme Céline Boulay-Espéronnier (Les Républicains), Mme Céline Brulin (CRCE), Mme Laure Darcos (Les Républicains), Mme Nicole Duranton (Les Républicains), M. Jacques Grosperrin (Les Républicains), Mme Mireille Jouve (Rassemblement Démocratique et social Européen) et Mme Sylvie Robert (Socialiste et républicain).
Je ne vois pas d'opposition. Il en est ainsi décidé.
La réunion est close à 11 h 35.