Commission des affaires européennes
Réunion du 27 avril 2020 à 16h35
Sommaire
La réunion
Monsieur le Contrôleur, merci d'avoir accepté cette audition par visioconférence avec la commission des affaires européennes du Sénat français.
Vous êtes chargé de veiller dans l'Union européenne au respect du droit des citoyens à la protection de leur vie privée lors du traitement de données à caractère personnel. Vous avez donc un rôle éminent à jouer dans les circonstances actuelles, puisque la levée du confinement imposé par la pandémie de Covid-19 devrait s'accompagner d'un suivi de la population par le biais d'applications numériques susceptibles de traiter des données personnelles relatives à l'état de santé, aux relations ou aux déplacements de chacun.
La Commission européenne a publié, le 16 avril, une « boîte à outils » qui recommande notamment l'installation d'applications nationales de traçage sur une base volontaire. Ce volontariat est à distinguer du consentement, dont la mise en oeuvre dans les conditions prévues par le règlement européen général sur la protection des données (RGPD) peut être difficile. Nous souhaiterions que vous nous éclairiez sur cette distinction entre volontariat et consentement.
Dans la foulée de la Commission, le Comité européen de la protection des données (CEPD) a publié, le 21 avril dernier, des lignes directrices sur l'utilisation de la géolocalisation et des outils de traçage des contacts dans le contexte de l'épidémie de Covid-19. Le Comité préconise que l'usage de ces outils, qui doivent être intégrés dans une stratégie sanitaire globale, soit strictement limité à ce qui est nécessaire et proportionnel. Il recommande de publier les codes sources des applications et de préférer le tracing au tracking, ce dernier impliquant la géolocalisation, et insiste sur la nécessité d'anonymiser les données de géolocalisation utilisées pour modéliser la diffusion de l'épidémie et évaluer l'efficacité des mesures de confinement.
Des applications sont déjà mises en oeuvre dans les premiers pays qui sortent du confinement : Norvège, République tchèque, Italie. Elles ne respectent pas toutes vos préconisations, la Norvège ayant par exemple recours à la géolocalisation. Vous ont-elles été soumises pour consultation avant leur mise en oeuvre ? Le comité que vous présidez avait plaidé pour qu'une étude d'impact concernant la protection des données soit menée avant de mettre en oeuvre ces applications : cela a-t-il été fait chaque fois ?
Ces initiatives nationales semblent désordonnées et soulèvent la question de l'interopérabilité de ces diverses applications. Croyez-vous possible qu'émerge une solution européenne ? Au moins sept pays européens, dont la France, soutiennent l'initiative Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ; mais l'Espagne et la Suisse soutiennent désormais un autre projet, Decentralized Privacy-Preserving Proximity Tracing (DP-3T), qui privilégie le stockage décentralisé des données... L'architecture centralisée de stockage des données privilégiée par PEPP-PT vous semble-t-elle effectivement de nature à permettre une collecte excessive d'informations sensibles sur la population ?
Je vous laisse d'abord la parole pour répondre à ces premières questions. Mes collègues vous en poseront certainement d'autres ensuite.
Monsieur le président, je vous remercie de m'avoir invité pour cet échange de vues. Je suis désolé de devoir m'adresser à vous en anglais, mais mon niveau en français ne m'aurait pas permis d'entrer dans la complexité des questions que nous allons aborder.
Je souligne l'importance de ce que nous allons nous dire aujourd'hui, puisque les décisions que nous allons être amenés à prendre feront sentir leurs effets non seulement à court terme, mais également à plus long terme.
Au préalable, j'aimerais préciser le rôle, d'une part, du Contrôleur européen de la protection des données (CEPD), ou European Data Protection Supervisor (EDPS), et, d'autre part, du Comité européen de la protection des données, ou European Data Protection Board (EDPB).
Le Contrôleur européen de la protection des données est une autorité indépendante de contrôle des institutions et organes de l'Union européenne. Il est aussi le conseiller principal, sur ces sujets, de la présidence de la Commission et des institutions européennes impliquées dans le processus législatif. Mais je ne supervise en aucune manière les autorités nationales telles que la Commission nationale de l'informatique et des libertés en France (CNIL). Les gouvernements de chaque pays sont contrôlés par ces instances nationales et d'autres organes similaires. Et, comme vous le savez certainement, la CNIL a publié la semaine dernière un avis sur le projet d'application mobile « StopCovid » et sur les implications de sa mise en oeuvre.
Le Comité européen de la protection des données, quant à lui, rassemble les autorités de contrôle indépendantes de l'Union européenne telles que la CNIL. En tant que Contrôleur, j'en suis également membre.
En dépit du fait que ces deux institutions sont désignées par le même acronyme en français, le Contrôleur et le Comité sont deux entités distinctes, dont la composition et les compétences diffèrent. Le rôle du Contrôleur est de contribuer à trouver une solution paneuropéenne efficace de traçage, applicable dans tous les pays de l'Union européenne et nous avons été les premiers à appeler de nos voeux une telle approche. Je suis donc ravi de voir que les orientations de la Commission sont en accord avec notre position, qui est aussi celle du Comité.
Avoir une approche paneuropéenne ne signifie pas qu'il faille adopter une application unique partout en Europe, mais cela implique un cadrage identique partout.
Les données et les technologies peuvent faire partie de la solution, mais elles n'en sont qu'un élément et ne sont en aucun cas la panacée. Cela veut dire que les autres mesures qui sont actuellement mises en oeuvre doivent être maintenues ; sans un système de santé solide, sans accès aux tests, nous ne pourrons pas sortir de la situation dans laquelle nous nous trouvons actuellement.
Il est aussi nécessaire de comprendre qu'il est important que ces données et ces technologies soient utilisées comme des outils de responsabilisation plutôt que comme des outils de contrôle, de mainmise, de stigmatisation ou de répression des individus. Je crois fermement que la révolution numérique nous a donné des outils puissants qui, s'ils sont utilisés de manière responsable, pourront être d'un grand soutien pour les gouvernements, au moment où ils essaient de résoudre la quadrature du cercle : protéger les vies tout en levant les restrictions en vigueur.
Je voudrais aussi souligner que ce n'est qu'en travaillant ensemble, tous les Européens ensemble, que nous réussirons à retrouver notre Europe : notre Europe, espace de liberté, nous a été comme « volée » par cette épidémie, nous ne pouvons actuellement pas profiter de l'Union européenne telle que nous la connaissions avant la crise.
La question de la responsabilité doit être posée en ce qui concerne le fait d'utiliser à bon escient les outils disponibles, mais elle doit aussi être posée si nous n'utilisons pas ces outils existants : serait-ce responsable ?
Je vais maintenant répondre à certaines questions que vous avez soulevées dans votre propos introductif, monsieur le président.
Je veux souligner que les situations diffèrent d'un pays à l'autre, tout comme les solutions et options retenues par chacun. Vous avez raison de le souligner : nous nous focalisons pour l'instant sur plusieurs applications de traçage, certaines d'entre elles étant déjà en passe d'être déployées. Ainsi, certaines de ces applications sont déjà utilisées pour s'assurer que les personnes placées en quarantaine respectent bien leurs obligations. Mais c'est un autre sujet.
Aujourd'hui, il existe deux approches possibles s'agissant des applications de traçage des contacts : une approche centralisée et une approche décentralisée. Ce n'est pas un choix binaire et nous devons avoir à l'esprit que certaines fonctionnalités sont communes aux deux types d'applications.
Les débats autour de ces deux approches sont nombreux en ce moment et très polarisés. Pour nous, autorités de contrôle et de protection des données, ce à quoi correspond cette nomenclature n'est pas très clair. Ainsi, une forme de serveur centralisé est toujours nécessaire. La question principale est de savoir ce qui est centralisé et pour quelle raison, mais c'est surtout une question d'efficacité : la solution retenue est-elle efficace pour le traçage épidémiologique ?
Je n'entrerai pas dans le détail de ces deux approches, mais je serai ravi, à l'occasion, de vous en détailler les différences techniques. Les autorités de protection des données n'ont à ce jour pas tranché en faveur de l'option décentralisée ou de l'option centralisée.
Il convient également d'adopter une approche très nuancée s'agissant de l'évaluation des possibilités offertes par certaines applications. Vous avez indiqué que l'application norvégienne collectait des données de géolocalisation. Pour le traçage des contacts, il est possible d'inclure une option de géolocalisation. Ce qui pose question concernant l'application norvégienne, c'est que cette option de géolocalisation y est activée par défaut. Or, ce qu'il faudrait, c'est que chacun, individuellement, puisse choisir ou non de partager sa géolocalisation.
Vous avez raison, l'utilisation de ces applications doit se faire sur une base volontaire, mais cette approche est à distinguer du consentement. Si des données doivent être stockées ou transmises aux autorités de santé d'un pays, nous estimons que la base légale appropriée pour le traitement de ces données est l'intérêt public.
L'approche volontaire, qui consiste pour un utilisateur à télécharger l'application et à l'installer sur son smartphone, implique que, si l'utilisateur désinstalle l'application, les données déjà collectées ne sont pas systématiquement effacées : il subsiste la possibilité que les autorités traitent ces données dans l'intérêt public. Mais il est essentiel que ce traitement de données soit soumis à des garde-fous.
Pour les autorités de protection des données, voici quelles sont les conditions sine qua non.
D'une part, ces données doivent être utilisées et conservées de manière temporaire, et il doit être précisé ce qu'il en sera fait une fois l'épidémie terminée.
D'autre part, l'objectif du traitement des données doit être clairement explicité et on doit savoir qui y aura accès. En outre, la façon dont ces données sont traitées doit faire l'objet d'un contrôle.
Vous m'avez demandé si l'impact sur la vie privée des dispositifs mis en oeuvre a fait l'objet d'une évaluation. Malheureusement, je ne peux pas vous confirmer qu'une telle évaluation a été faite dans tous les cas.
Au regard de l'introduction en Europe de ce type de dispositif, voici ce qui me paraît être le plus important.
Premièrement, je pense que la situation dans laquelle ces données et technologies sont les plus efficaces, c'est lorsqu'on s'en sert pour responsabiliser le public, et non à des fins de contrôle ou de discrimination des individus. La confiance dans les autorités publiques est essentielle à cet égard. Est-ce que le citoyen peut avoir confiance en elles ? Si la réponse à cette question est positive, les citoyens seront nombreux à accepter le recours à ces technologies et leur efficacité sera ainsi renforcée. -C'est donc une question qui doit être abordée en premier lieu dans tous les pays de l'Union européenne, et à tous les niveaux. Plus une solution est ouverte, plus elle suscitera la confiance.
Deuxièmement, cette technologie n'est pas la panacée et elle ne fonctionnera pas toute seule, sans les autres outils déjà mis en oeuvre.
Troisièmement, il faut que ce soit clair pour tous les acteurs : la protection des données ne fait pas partie du problème ; elle fait partie de la solution.
Comme je l'ai dit, la protection des données implique de la transparence et du contrôle ; elle nécessite de la confiance. Le choix entre une approche centralisée et une approche décentralisée autour des applications fait débat, et cette question n'est pas résolue. Il faut examiner chaque situation au cas par cas.
Je vous remercie. Nous passons à une série de questions des membres de la commission.
On parle beaucoup des applications qui seraient installées sur des téléphones portables, mais la menace principale n'est pas là : des dizaines de milliers de personnes en Europe seront mobilisées pour mener des enquêtes sanitaires, remonter les chaînes de contamination, identifier les personnes avec lesquelles des malades ont été en contact et établir des fichiers, sans aucun volontariat, qu'on utilise ou pas des applications. Avez-vous des recommandations sur la manière dont devront être traitées toutes ces données ?
Dans le contexte actuel, de nombreuses élections, notamment pour les conseils municipaux, sont envisagées par vote électronique. En Pologne, le gouvernement envisage de procéder aux élections présidentielles exclusivement via la poste, alors que seront transmises des informations personnelles des citoyens... Avez-vous établi des recommandations particulières sur les dispositifs de vote à distance ? En tant que conseil de l'Union européenne, et par rapport à la situation polonaise, avez-vous fait des préconisations sur les menaces pesant sur les données personnelles ?
Je vous félicite pour la clarté et la précision de vos propos, d'ordre juridique, qui se distinguent dans le débat public que l'on peut avoir en France ou dans d'autres pays.
Selon vous, le système de traçage n'est pas la panacée même s'il est un instrument important et qu'il faut maintenir un dispositif de santé publique. Vous n'avez pas directement évoqué les tests de détection du virus, alors qu'ils me semblent essentiels.
Le protocole Robert (ROBust and privacy-presERving proximity Tracing), développé par l'Institut national de recherche en sciences et technologies du numérique (Inria) et un grand organisme allemand, le Fraunhofer AISEC, qui est un protocole de traçage - et non de tracking - est une très bonne solution, car ce n'est pas une application de surveillance ni de délation. Et si je comprends bien, juridiquement, il ne serait pas soumis à la règle du consentement posée par le RGPD. Néanmoins, comme il repose sur le volontariat et le déclaratif, il pourrait faire émaner des signalements personnels de faux cas positifs au coronavirus.
Il existe également un risque de « Covid bombing », c'est-à-dire le fait d'utiliser ce type d'applications pour ostraciser un magasin ou un autre lieu, en les désignant comme foyers de Covid-19, sans fondement réel. Le RGPD est particulièrement intéressant dans ce cadre, car il pose le principe de l'exactitude des données et prévoit des sanctions contre les fausses déclarations, et donc contre ce « Covid bombing ».
À partir du moment où le traçage est réalisé sur une base volontaire, ne craignez-vous pas une discrimination ou une culpabilisation de ceux qui, n'ayant pas choisi de télécharger l'application, se trouveraient malades ? Le volontariat est-il une solution tenable à long terme ? Au fur et à mesure, la preuve de l'efficacité de l'application et la culpabilisation de ceux qui ne l'ont pas téléchargée risqueraient de faire basculer du volontariat vers l'obligation - ce qui ne serait pas conforme au principe de respect de la dignité humaine consacré par l'Union européenne.
Merci pour vos explications claires. Nous avons souvent ce type de débats sur le partage et la protection des données ; j'interviens régulièrement pour ma part sur la protection des données de santé. J'ai participé récemment à un forum à Paris, et au Cybertech de Tel-Aviv. Les Européens, et en particulier les Français, sont toujours réticents à partager leurs données de santé ; cette phobie est incompréhensible alors que les GAFAM ont déjà ces données et s'apprêtent à en faire commerce. Il faut donc relativiser le danger... J'ai peur que nous ne tombions dans un débat purement juridique alors que nous sommes en situation d'urgence absolue, en guerre contre un virus.
Prenons exemple sur des pays ayant agi avec succès contre le virus, notamment la Corée du Sud, Taïwan ou le Vietnam, de culture confucéenne... Au Vietnam, le premier cas de Covid-19 a été connu le 23 janvier ; le 1er février, le pays fermait frontières et écoles et décrétait le confinement. Ne devons-nous pas, comme eux, faire preuve d'intelligence collective, et placer la protection des populations au-dessus des intérêts et des libertés individuels ? Si l'Union européenne n'a pas les moyens d'imposer ou au moins de conseiller à ses États membres une solution collective, nous nous battrons longtemps contre ce virus...
Le préfet de mon département de Haute-Garonne me signalait qu'un individu, testé positif dans un squat, a refusé d'être hospitalisé et même soigné, et est reparti chez lui. Ne faut-il pas prendre des mesures plus autoritaires afin de ne pas instaurer un « droit de contaminer » ?
La crise actuelle a révélé la nécessité, pour l'Europe, de s'affranchir de sa trop forte dépendance par rapport à d'autres pays, notamment la Chine. La protection des données est un sujet important pour développer notre autonomie stratégique. La plupart des outils numériques utilisés en Europe requièrent des logiciels développés aux États-Unis. Nous avons pourtant un arsenal juridique essentiel grâce au RGPD, à la CNIL et aux autres régulateurs, mais nous manquons d'outils techniques pour mettre en oeuvre notre stratégie de protection des données.
Où en est le développement de systèmes d'exploitation européens pour ordinateurs et téléphones portables respectueux du principe de « privacy by design » ? L'Union européenne n'a-t-elle pas intérêt à promouvoir le développement et l'utilisation de tels outils en open source pour garantir la protection des données personnelles, en appui de sa réglementation concernant les données personnelles ?
Merci pour toutes ces questions, auxquelles je vais essayer de répondre succinctement. La plupart d'entre elles touchent aux interrogations philosophiques fondamentales de protection des données et de la vie privée.
Sur les données de santé, vous avez raison : les volumes de données transmises dans la lutte contre le Covid-19 sont absolument colossaux. Il est vrai que les entités et les personnes impliquées dans le traitement de ces données sont pour la plupart nouvelles. Mais les initiatives et les solutions juridiques se trouvent souvent au niveau national. La CNIL est la mieux placée pour vous répondre pour le territoire français. Le Comité européen de la protection des données a commencé à examiner cette question : la semaine dernière, il a publié un avis sur l'utilisation des applications de traçage, et un autre sur l'utilisation scientifique des données de santé. Ce dernier a été préparé par deux rapporteurs : le membre français et le Contrôleur européen de la protection des données. Ce sujet était donc au coeur des débats.
Malheureusement, je ne peux pas vous répondre sur la situation en Pologne. Le Contrôleur européen de la protection des données n'a aucune compétence pour commenter les procédures de vote à distance au sein des États membres - même s'il s'agit de mon pays d'origine et que j'aimerais beaucoup vous partager mon avis personnel sur ce sujet. C'est à la Commission européenne qu'il pourrait revenir de faire des observations. Il n'y a pas de directive communautaire sur le déploiement des systèmes de vote électronique, puisqu'ils sont de la compétence de chaque État membre.
Les applications ne sont effectivement pas une panacée, il faut aussi des tests, et que ceux-ci soient accessibles. Sans doute les ai-je mentionnés trop rapidement. Avoir des tests accessibles est essentiel pour le bon déploiement de ce système. L'application mobile ne sera efficace que si, lors de son déploiement, les personnes risquant d'avoir été infectées ont la possibilité de se faire tester. L'application ne dira jamais si vous êtes infecté, mais seulement si vous vous êtes trouvé à proximité d'une personne infectée... À vous d'évaluer s'il est nécessaire ou non que vous vous fassiez tester. Par exemple, si je reçois l'information que j'ai été proche d'une personne infectée à un moment où je me trouvais chez moi, la personne se trouvait probablement de l'autre côté du mur... Alors que si je reçois une telle notification concernant un moment où j'étais dans les transports en commun, il est clair que je dois me faire tester pour vérifier que je n'ai pas été contaminé...
Certes, il y a en outre un risque de « faux positifs » : dans ce cas, des personnes seront informées qu'elles risquent d'avoir été contaminées, alors qu'il n'y avait en réalité aucun risque à ce moment-là, aucune possibilité qu'elles se soient trouvées en contact, à ce moment-là, avec une personne infectée. En effet, ce n'est pas l'individu qui est tracé, mais son téléphone. Or on peut laisser son téléphone dans sa voiture, sur un parking...
Les personnes qui travaillent sur le développement de telles applications ou dans le domaine de la santé estiment qu'un soutien social et psychologique est très important pour les personnes qui reçoivent l'information qu'ils ont été en contact avec une personne infectée - et donc qu'ils ont un risque d'être infectés - via une application. Dans un système de traçage manuel, il est plus facile d'informer ces personnes potentiellement contaminées de ce qu'ils peuvent faire ou ne pas faire, après avoir reçu cette information ; avec une application numérique, ce n'est plus possible. Et nous ne sommes pas sûrs que tous comprendront que la notification donnée par l'application n'est qu'une information sur la possibilité d'avoir été contaminé et non un verdict de contamination.
Une de vos questions portait sur le protocole Robert qui reprend les principes de l'utilisation volontaire, de la transparence, de la préservation de l'anonymat et de l'interopérabilité. Son but est de préserver l'aspect privé des données ainsi que la sécurité. À notre connaissance, il s'agit d'un modèle centralisé, mais où il est garanti que les autorités n'auront pas accès aux données personnelles des utilisateurs ni à leur localisation. Cependant, comme nous ne savons pas précisément comment les données seront traitées sur le serveur, il ne nous est pas possible de donner un avis. Malgré tout, ce protocole semble intéressant du point de vue de la sécurité des données.
Une autre question concernait l'éventuelle discrimination des personnes choisissant de ne pas utiliser l'application de traçage. Je vous confirme qu'il s'agit d'un problème que nous étudions actuellement. Je serais le premier à conseiller à tout un chacun de télécharger cette application, dans la mesure où il est établi que le dispositif est soumis à un contrôle efficace ; en même temps, je serais le dernier à conseiller des solutions obligatoires. En premier lieu, comment peut-on s'assurer que l'obligation est respectée ? Un agent de police pourra-t-il contrôler dans la rue qu'un citoyen a bien son téléphone sur lui, qu'il a téléchargé la dernière version de l'application et que sa batterie est suffisamment chargée pour que le Bluetooth soit opérationnel ? Je ne peux l'imaginer... Je partage les inquiétudes que vous avez exprimées quant à la stigmatisation des personnes qui ne téléchargeraient pas l'application ; pour autant, ce n'est pas l'obligation de télécharger qui doit primer ; nous devons nous focaliser sur la confiance.
La question du partage des données et de leur utilisation par des entités commerciales a été posée. Je suis très heureux de constater que tout le monde a conscience que les données relatives à la santé ne sont pas seulement utiles du point de vue de la santé publique, mais peuvent aussi donner lieu à une utilisation commerciale. Cela veut dire que tout le monde se pose la question de l'accès à ses données personnelles et de leur utilisation. Je peux vous dire que, quand Google et Apple se sont alliés pour le développement des applications utilisables sur les téléphones portables, ils ont insisté sur le fait qu'ils ne collecteraient pas de données d'ordre médical, parce qu'ils avaient conscience que ce serait la première question qui leur serait posée en Europe et que les différents législateurs, en Europe, sont très au fait de la crainte de leurs concitoyens quant à l'utilisation de leurs données personnelles à des fins autres que la santé publique. Il est certain qu'il y a de plus en plus de données partagées dans le contexte de cette crise du Covid-19, mais je suis heureux de constater que les défis que cela soulève en matière de protection des données et de la vie privée ont été identifiés par les utilisateurs et les développeurs de ces solutions technologiques comme extrêmement importants.
Concernant l'utilisation de solutions développées dans des pays asiatiques comme la Corée du Sud, le Japon et le Vietnam, même les représentants de ces pays ont reconnu que les solutions efficaces dans leur société ne sont pas nécessairement transposables dans d'autres sociétés. Ce sont exactement les propos qu'a tenus le principal développeur de la solution mise en oeuvre à Singapour : la société singapourienne est très différente des sociétés européennes, les compétences y sont très différentes, c'est une société très urbaine ; c'est aussi une société où les données biométriques, par exemple les empreintes digitales, figurent sur la carte d'identité depuis plus de soixante-dix ans. Les sociétés de la Corée du Sud ou de Taïwan ne diffèrent pas seulement des nôtres par leurs conceptions philosophiques : ces pays vivent sous la menace permanente d'une invasion par un ennemi extérieur et sont isolés géographiquement. Le recours aux solutions pratiquées à Taïwan ou en Corée du Sud, ou même en Nouvelle-Zélande, qui est également isolée géographiquement, ne serait pas nécessairement couronné de succès en France. Je ne peux pas répondre à la question concernant la nécessité d'isoler un pays ou un autre de ses voisins et l'intérêt de telles méthodes : ce type de question dépasse largement ma compétence de Contrôleur européen de la protection des données.
En revanche, en relation avec l'exemple du squatteur qui a été donné tout à l'heure, je suis tout à fait d'accord avec l'idée que nous devons pouvoir prendre des mesures exceptionnelles dans des circonstances exceptionnelles, mais le droit européen, en particulier le RGPD, est conçu pour faire face à ce type de situation.
Pour finir, j'aborderai la question de la souveraineté stratégique de l'Union européenne dans le domaine numérique, posée par la sénatrice Colette Mélot. Si l'on prend l'exemple des systèmes d'exploitation (« OS ») des téléphones mobiles, leur niveau d'« européanisation » est proche de zéro, parce que tous les téléphones, en Europe, utilisent des technologies proposées par des sociétés américaines. Le problème n'est pas que ces produits soient fabriqués hors de nos frontières, par des producteurs américains, chinois, chiliens ou sud-africains, mais que ces producteurs respectent le droit applicable sur le territoire européen. Si certains pays et certains producteurs ont été en mesure de démontrer que leurs produits sont conformes au droit européen et respectent les droits des citoyens européens, il est très difficile de l'affirmer pour d'autres. Certains pays partagent nos valeurs, mais d'autres ne les partagent pas. Je ne vais pas essayer de vous convaincre que la Chine s'approche des préoccupations qui sont les nôtres en Europe, mais je vous appellerais à examiner les caractéristiques concrètes des solutions proposées plutôt que les pays d'où ces solutions émanent.
Les solutions en open source sont une bonne manière de garantir la transparence, mais je crois que le système de supervision et de contrôle développé en Europe, qui garantit que les solutions développées respectent la vie privée, est bon, même dans les cas où ces solutions ne sont pas à 100 % en open source. Quand je monte dans un avion, je suis bien convaincu que 100 % des équipements ont été vérifiés et fonctionnent correctement, même si la transparence ne va pas jusqu'à me permettre de vérifier sur internet l'ensemble des systèmes dont ma vie dépend...
En résumé, ce modèle de supervision et de contrôle développé en Europe repose sur quatre piliers : premièrement, les initiatives administratives prises par les autorités de protection des données ; deuxièmement, le contrôle par les parlements - c'est votre rôle ; troisièmement, le contrôle par la société civile, les ONG ; quatrièmement - la base de tout l'édifice -, un droit européen bien rédigé, qui comprend deux volets : le droit communautaire et le droit national de chaque pays membre.
Permettez-moi de saluer l'action du Sénat français, qui consulte bien évidemment la CNIL, mais également l'autorité européenne de protection des données, afin de bien appréhender les aspects européens des défis actuels et des solutions proposées.
Monsieur le Contrôleur, je vous remercie au nom de tous les membres de la commission des affaires européennes d'avoir bien voulu répondre à nos questions lors de cette visioconférence.
La réunion est close à 18 h 20.
Merci du temps que vous nous avez accordé et de la qualité de vos réponses.
La réunion est close à 15 heures 35.
La réunion est ouverte à 16 h 35.
Monsieur le Contrôleur, merci d'avoir accepté cette audition par visioconférence avec la commission des affaires européennes du Sénat français.
Vous êtes chargé de veiller dans l'Union européenne au respect du droit des citoyens à la protection de leur vie privée lors du traitement de données à caractère personnel. Vous avez donc un rôle éminent à jouer dans les circonstances actuelles, puisque la levée du confinement imposé par la pandémie de Covid-19 devrait s'accompagner d'un suivi de la population par le biais d'applications numériques susceptibles de traiter des données personnelles relatives à l'état de santé, aux relations ou aux déplacements de chacun.
La Commission européenne a publié, le 16 avril, une « boîte à outils » qui recommande notamment l'installation d'applications nationales de traçage sur une base volontaire. Ce volontariat est à distinguer du consentement, dont la mise en oeuvre dans les conditions prévues par le règlement européen général sur la protection des données (RGPD) peut être difficile. Nous souhaiterions que vous nous éclairiez sur cette distinction entre volontariat et consentement.
Dans la foulée de la Commission, le Comité européen de la protection des données (CEPD) a publié, le 21 avril dernier, des lignes directrices sur l'utilisation de la géolocalisation et des outils de traçage des contacts dans le contexte de l'épidémie de Covid-19. Le Comité préconise que l'usage de ces outils, qui doivent être intégrés dans une stratégie sanitaire globale, soit strictement limité à ce qui est nécessaire et proportionnel. Il recommande de publier les codes sources des applications et de préférer le tracing au tracking, ce dernier impliquant la géolocalisation, et insiste sur la nécessité d'anonymiser les données de géolocalisation utilisées pour modéliser la diffusion de l'épidémie et évaluer l'efficacité des mesures de confinement.
Des applications sont déjà mises en oeuvre dans les premiers pays qui sortent du confinement : Norvège, République tchèque, Italie. Elles ne respectent pas toutes vos préconisations, la Norvège ayant par exemple recours à la géolocalisation. Vous ont-elles été soumises pour consultation avant leur mise en oeuvre ? Le comité que vous présidez avait plaidé pour qu'une étude d'impact concernant la protection des données soit menée avant de mettre en oeuvre ces applications : cela a-t-il été fait chaque fois ?
Ces initiatives nationales semblent désordonnées et soulèvent la question de l'interopérabilité de ces diverses applications. Croyez-vous possible qu'émerge une solution européenne ? Au moins sept pays européens, dont la France, soutiennent l'initiative Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) ; mais l'Espagne et la Suisse soutiennent désormais un autre projet, Decentralized Privacy-Preserving Proximity Tracing (DP-3T), qui privilégie le stockage décentralisé des données... L'architecture centralisée de stockage des données privilégiée par PEPP-PT vous semble-t-elle effectivement de nature à permettre une collecte excessive d'informations sensibles sur la population ?
Je vous laisse d'abord la parole pour répondre à ces premières questions. Mes collègues vous en poseront certainement d'autres ensuite.
Monsieur le président, je vous remercie de m'avoir invité pour cet échange de vues. Je suis désolé de devoir m'adresser à vous en anglais, mais mon niveau en français ne m'aurait pas permis d'entrer dans la complexité des questions que nous allons aborder.
Je souligne l'importance de ce que nous allons nous dire aujourd'hui, puisque les décisions que nous allons être amenés à prendre feront sentir leurs effets non seulement à court terme, mais également à plus long terme.
Au préalable, j'aimerais préciser le rôle, d'une part, du Contrôleur européen de la protection des données (CEPD), ou European Data Protection Supervisor (EDPS), et, d'autre part, du Comité européen de la protection des données, ou European Data Protection Board (EDPB).
Le Contrôleur européen de la protection des données est une autorité indépendante de contrôle des institutions et organes de l'Union européenne. Il est aussi le conseiller principal, sur ces sujets, de la présidence de la Commission et des institutions européennes impliquées dans le processus législatif. Mais je ne supervise en aucune manière les autorités nationales telles que la Commission nationale de l'informatique et des libertés en France (CNIL). Les gouvernements de chaque pays sont contrôlés par ces instances nationales et d'autres organes similaires. Et, comme vous le savez certainement, la CNIL a publié la semaine dernière un avis sur le projet d'application mobile « StopCovid » et sur les implications de sa mise en oeuvre.
Le Comité européen de la protection des données, quant à lui, rassemble les autorités de contrôle indépendantes de l'Union européenne telles que la CNIL. En tant que Contrôleur, j'en suis également membre.
En dépit du fait que ces deux institutions sont désignées par le même acronyme en français, le Contrôleur et le Comité sont deux entités distinctes, dont la composition et les compétences diffèrent. Le rôle du Contrôleur est de contribuer à trouver une solution paneuropéenne efficace de traçage, applicable dans tous les pays de l'Union européenne et nous avons été les premiers à appeler de nos voeux une telle approche. Je suis donc ravi de voir que les orientations de la Commission sont en accord avec notre position, qui est aussi celle du Comité.
Avoir une approche paneuropéenne ne signifie pas qu'il faille adopter une application unique partout en Europe, mais cela implique un cadrage identique partout.
Les données et les technologies peuvent faire partie de la solution, mais elles n'en sont qu'un élément et ne sont en aucun cas la panacée. Cela veut dire que les autres mesures qui sont actuellement mises en oeuvre doivent être maintenues ; sans un système de santé solide, sans accès aux tests, nous ne pourrons pas sortir de la situation dans laquelle nous nous trouvons actuellement.
Il est aussi nécessaire de comprendre qu'il est important que ces données et ces technologies soient utilisées comme des outils de responsabilisation plutôt que comme des outils de contrôle, de mainmise, de stigmatisation ou de répression des individus. Je crois fermement que la révolution numérique nous a donné des outils puissants qui, s'ils sont utilisés de manière responsable, pourront être d'un grand soutien pour les gouvernements, au moment où ils essaient de résoudre la quadrature du cercle : protéger les vies tout en levant les restrictions en vigueur.
Je voudrais aussi souligner que ce n'est qu'en travaillant ensemble, tous les Européens ensemble, que nous réussirons à retrouver notre Europe : notre Europe, espace de liberté, nous a été comme « volée » par cette épidémie, nous ne pouvons actuellement pas profiter de l'Union européenne telle que nous la connaissions avant la crise.
La question de la responsabilité doit être posée en ce qui concerne le fait d'utiliser à bon escient les outils disponibles, mais elle doit aussi être posée si nous n'utilisons pas ces outils existants : serait-ce responsable ?
Je vais maintenant répondre à certaines questions que vous avez soulevées dans votre propos introductif, monsieur le président.
Je veux souligner que les situations diffèrent d'un pays à l'autre, tout comme les solutions et options retenues par chacun. Vous avez raison de le souligner : nous nous focalisons pour l'instant sur plusieurs applications de traçage, certaines d'entre elles étant déjà en passe d'être déployées. Ainsi, certaines de ces applications sont déjà utilisées pour s'assurer que les personnes placées en quarantaine respectent bien leurs obligations. Mais c'est un autre sujet.
Aujourd'hui, il existe deux approches possibles s'agissant des applications de traçage des contacts : une approche centralisée et une approche décentralisée. Ce n'est pas un choix binaire et nous devons avoir à l'esprit que certaines fonctionnalités sont communes aux deux types d'applications.
Les débats autour de ces deux approches sont nombreux en ce moment et très polarisés. Pour nous, autorités de contrôle et de protection des données, ce à quoi correspond cette nomenclature n'est pas très clair. Ainsi, une forme de serveur centralisé est toujours nécessaire. La question principale est de savoir ce qui est centralisé et pour quelle raison, mais c'est surtout une question d'efficacité : la solution retenue est-elle efficace pour le traçage épidémiologique ?
Je n'entrerai pas dans le détail de ces deux approches, mais je serai ravi, à l'occasion, de vous en détailler les différences techniques. Les autorités de protection des données n'ont à ce jour pas tranché en faveur de l'option décentralisée ou de l'option centralisée.
Il convient également d'adopter une approche très nuancée s'agissant de l'évaluation des possibilités offertes par certaines applications. Vous avez indiqué que l'application norvégienne collectait des données de géolocalisation. Pour le traçage des contacts, il est possible d'inclure une option de géolocalisation. Ce qui pose question concernant l'application norvégienne, c'est que cette option de géolocalisation y est activée par défaut. Or, ce qu'il faudrait, c'est que chacun, individuellement, puisse choisir ou non de partager sa géolocalisation.
Vous avez raison, l'utilisation de ces applications doit se faire sur une base volontaire, mais cette approche est à distinguer du consentement. Si des données doivent être stockées ou transmises aux autorités de santé d'un pays, nous estimons que la base légale appropriée pour le traitement de ces données est l'intérêt public.
L'approche volontaire, qui consiste pour un utilisateur à télécharger l'application et à l'installer sur son smartphone, implique que, si l'utilisateur désinstalle l'application, les données déjà collectées ne sont pas systématiquement effacées : il subsiste la possibilité que les autorités traitent ces données dans l'intérêt public. Mais il est essentiel que ce traitement de données soit soumis à des garde-fous.
Pour les autorités de protection des données, voici quelles sont les conditions sine qua non.
D'une part, ces données doivent être utilisées et conservées de manière temporaire, et il doit être précisé ce qu'il en sera fait une fois l'épidémie terminée.
D'autre part, l'objectif du traitement des données doit être clairement explicité et on doit savoir qui y aura accès. En outre, la façon dont ces données sont traitées doit faire l'objet d'un contrôle.
Vous m'avez demandé si l'impact sur la vie privée des dispositifs mis en oeuvre a fait l'objet d'une évaluation. Malheureusement, je ne peux pas vous confirmer qu'une telle évaluation a été faite dans tous les cas.
Au regard de l'introduction en Europe de ce type de dispositif, voici ce qui me paraît être le plus important.
Premièrement, je pense que la situation dans laquelle ces données et technologies sont les plus efficaces, c'est lorsqu'on s'en sert pour responsabiliser le public, et non à des fins de contrôle ou de discrimination des individus. La confiance dans les autorités publiques est essentielle à cet égard. Est-ce que le citoyen peut avoir confiance en elles ? Si la réponse à cette question est positive, les citoyens seront nombreux à accepter le recours à ces technologies et leur efficacité sera ainsi renforcée. -C'est donc une question qui doit être abordée en premier lieu dans tous les pays de l'Union européenne, et à tous les niveaux. Plus une solution est ouverte, plus elle suscitera la confiance.
Deuxièmement, cette technologie n'est pas la panacée et elle ne fonctionnera pas toute seule, sans les autres outils déjà mis en oeuvre.
Troisièmement, il faut que ce soit clair pour tous les acteurs : la protection des données ne fait pas partie du problème ; elle fait partie de la solution.
Comme je l'ai dit, la protection des données implique de la transparence et du contrôle ; elle nécessite de la confiance. Le choix entre une approche centralisée et une approche décentralisée autour des applications fait débat, et cette question n'est pas résolue. Il faut examiner chaque situation au cas par cas.
Je vous remercie. Nous passons à une série de questions des membres de la commission.
On parle beaucoup des applications qui seraient installées sur des téléphones portables, mais la menace principale n'est pas là : des dizaines de milliers de personnes en Europe seront mobilisées pour mener des enquêtes sanitaires, remonter les chaînes de contamination, identifier les personnes avec lesquelles des malades ont été en contact et établir des fichiers, sans aucun volontariat, qu'on utilise ou pas des applications. Avez-vous des recommandations sur la manière dont devront être traitées toutes ces données ?
Dans le contexte actuel, de nombreuses élections, notamment pour les conseils municipaux, sont envisagées par vote électronique. En Pologne, le gouvernement envisage de procéder aux élections présidentielles exclusivement via la poste, alors que seront transmises des informations personnelles des citoyens... Avez-vous établi des recommandations particulières sur les dispositifs de vote à distance ? En tant que conseil de l'Union européenne, et par rapport à la situation polonaise, avez-vous fait des préconisations sur les menaces pesant sur les données personnelles ?
Je vous félicite pour la clarté et la précision de vos propos, d'ordre juridique, qui se distinguent dans le débat public que l'on peut avoir en France ou dans d'autres pays.
Selon vous, le système de traçage n'est pas la panacée même s'il est un instrument important et qu'il faut maintenir un dispositif de santé publique. Vous n'avez pas directement évoqué les tests de détection du virus, alors qu'ils me semblent essentiels.
Le protocole Robert (ROBust and privacy-presERving proximity Tracing), développé par l'Institut national de recherche en sciences et technologies du numérique (Inria) et un grand organisme allemand, le Fraunhofer AISEC, qui est un protocole de traçage - et non de tracking - est une très bonne solution, car ce n'est pas une application de surveillance ni de délation. Et si je comprends bien, juridiquement, il ne serait pas soumis à la règle du consentement posée par le RGPD. Néanmoins, comme il repose sur le volontariat et le déclaratif, il pourrait faire émaner des signalements personnels de faux cas positifs au coronavirus.
Il existe également un risque de « Covid bombing », c'est-à-dire le fait d'utiliser ce type d'applications pour ostraciser un magasin ou un autre lieu, en les désignant comme foyers de Covid-19, sans fondement réel. Le RGPD est particulièrement intéressant dans ce cadre, car il pose le principe de l'exactitude des données et prévoit des sanctions contre les fausses déclarations, et donc contre ce « Covid bombing ».
À partir du moment où le traçage est réalisé sur une base volontaire, ne craignez-vous pas une discrimination ou une culpabilisation de ceux qui, n'ayant pas choisi de télécharger l'application, se trouveraient malades ? Le volontariat est-il une solution tenable à long terme ? Au fur et à mesure, la preuve de l'efficacité de l'application et la culpabilisation de ceux qui ne l'ont pas téléchargée risqueraient de faire basculer du volontariat vers l'obligation - ce qui ne serait pas conforme au principe de respect de la dignité humaine consacré par l'Union européenne.
Merci pour vos explications claires. Nous avons souvent ce type de débats sur le partage et la protection des données ; j'interviens régulièrement pour ma part sur la protection des données de santé. J'ai participé récemment à un forum à Paris, et au Cybertech de Tel-Aviv. Les Européens, et en particulier les Français, sont toujours réticents à partager leurs données de santé ; cette phobie est incompréhensible alors que les GAFAM ont déjà ces données et s'apprêtent à en faire commerce. Il faut donc relativiser le danger... J'ai peur que nous ne tombions dans un débat purement juridique alors que nous sommes en situation d'urgence absolue, en guerre contre un virus.
Prenons exemple sur des pays ayant agi avec succès contre le virus, notamment la Corée du Sud, Taïwan ou le Vietnam, de culture confucéenne... Au Vietnam, le premier cas de Covid-19 a été connu le 23 janvier ; le 1er février, le pays fermait frontières et écoles et décrétait le confinement. Ne devons-nous pas, comme eux, faire preuve d'intelligence collective, et placer la protection des populations au-dessus des intérêts et des libertés individuels ? Si l'Union européenne n'a pas les moyens d'imposer ou au moins de conseiller à ses États membres une solution collective, nous nous battrons longtemps contre ce virus...
Le préfet de mon département de Haute-Garonne me signalait qu'un individu, testé positif dans un squat, a refusé d'être hospitalisé et même soigné, et est reparti chez lui. Ne faut-il pas prendre des mesures plus autoritaires afin de ne pas instaurer un « droit de contaminer » ?
La crise actuelle a révélé la nécessité, pour l'Europe, de s'affranchir de sa trop forte dépendance par rapport à d'autres pays, notamment la Chine. La protection des données est un sujet important pour développer notre autonomie stratégique. La plupart des outils numériques utilisés en Europe requièrent des logiciels développés aux États-Unis. Nous avons pourtant un arsenal juridique essentiel grâce au RGPD, à la CNIL et aux autres régulateurs, mais nous manquons d'outils techniques pour mettre en oeuvre notre stratégie de protection des données.
Où en est le développement de systèmes d'exploitation européens pour ordinateurs et téléphones portables respectueux du principe de « privacy by design » ? L'Union européenne n'a-t-elle pas intérêt à promouvoir le développement et l'utilisation de tels outils en open source pour garantir la protection des données personnelles, en appui de sa réglementation concernant les données personnelles ?
Merci pour toutes ces questions, auxquelles je vais essayer de répondre succinctement. La plupart d'entre elles touchent aux interrogations philosophiques fondamentales de protection des données et de la vie privée.
Sur les données de santé, vous avez raison : les volumes de données transmises dans la lutte contre le Covid-19 sont absolument colossaux. Il est vrai que les entités et les personnes impliquées dans le traitement de ces données sont pour la plupart nouvelles. Mais les initiatives et les solutions juridiques se trouvent souvent au niveau national. La CNIL est la mieux placée pour vous répondre pour le territoire français. Le Comité européen de la protection des données a commencé à examiner cette question : la semaine dernière, il a publié un avis sur l'utilisation des applications de traçage, et un autre sur l'utilisation scientifique des données de santé. Ce dernier a été préparé par deux rapporteurs : le membre français et le Contrôleur européen de la protection des données. Ce sujet était donc au coeur des débats.
Malheureusement, je ne peux pas vous répondre sur la situation en Pologne. Le Contrôleur européen de la protection des données n'a aucune compétence pour commenter les procédures de vote à distance au sein des États membres - même s'il s'agit de mon pays d'origine et que j'aimerais beaucoup vous partager mon avis personnel sur ce sujet. C'est à la Commission européenne qu'il pourrait revenir de faire des observations. Il n'y a pas de directive communautaire sur le déploiement des systèmes de vote électronique, puisqu'ils sont de la compétence de chaque État membre.
Les applications ne sont effectivement pas une panacée, il faut aussi des tests, et que ceux-ci soient accessibles. Sans doute les ai-je mentionnés trop rapidement. Avoir des tests accessibles est essentiel pour le bon déploiement de ce système. L'application mobile ne sera efficace que si, lors de son déploiement, les personnes risquant d'avoir été infectées ont la possibilité de se faire tester. L'application ne dira jamais si vous êtes infecté, mais seulement si vous vous êtes trouvé à proximité d'une personne infectée... À vous d'évaluer s'il est nécessaire ou non que vous vous fassiez tester. Par exemple, si je reçois l'information que j'ai été proche d'une personne infectée à un moment où je me trouvais chez moi, la personne se trouvait probablement de l'autre côté du mur... Alors que si je reçois une telle notification concernant un moment où j'étais dans les transports en commun, il est clair que je dois me faire tester pour vérifier que je n'ai pas été contaminé...
Certes, il y a en outre un risque de « faux positifs » : dans ce cas, des personnes seront informées qu'elles risquent d'avoir été contaminées, alors qu'il n'y avait en réalité aucun risque à ce moment-là, aucune possibilité qu'elles se soient trouvées en contact, à ce moment-là, avec une personne infectée. En effet, ce n'est pas l'individu qui est tracé, mais son téléphone. Or on peut laisser son téléphone dans sa voiture, sur un parking...
Les personnes qui travaillent sur le développement de telles applications ou dans le domaine de la santé estiment qu'un soutien social et psychologique est très important pour les personnes qui reçoivent l'information qu'ils ont été en contact avec une personne infectée - et donc qu'ils ont un risque d'être infectés - via une application. Dans un système de traçage manuel, il est plus facile d'informer ces personnes potentiellement contaminées de ce qu'ils peuvent faire ou ne pas faire, après avoir reçu cette information ; avec une application numérique, ce n'est plus possible. Et nous ne sommes pas sûrs que tous comprendront que la notification donnée par l'application n'est qu'une information sur la possibilité d'avoir été contaminé et non un verdict de contamination.
Une de vos questions portait sur le protocole Robert qui reprend les principes de l'utilisation volontaire, de la transparence, de la préservation de l'anonymat et de l'interopérabilité. Son but est de préserver l'aspect privé des données ainsi que la sécurité. À notre connaissance, il s'agit d'un modèle centralisé, mais où il est garanti que les autorités n'auront pas accès aux données personnelles des utilisateurs ni à leur localisation. Cependant, comme nous ne savons pas précisément comment les données seront traitées sur le serveur, il ne nous est pas possible de donner un avis. Malgré tout, ce protocole semble intéressant du point de vue de la sécurité des données.
Une autre question concernait l'éventuelle discrimination des personnes choisissant de ne pas utiliser l'application de traçage. Je vous confirme qu'il s'agit d'un problème que nous étudions actuellement. Je serais le premier à conseiller à tout un chacun de télécharger cette application, dans la mesure où il est établi que le dispositif est soumis à un contrôle efficace ; en même temps, je serais le dernier à conseiller des solutions obligatoires. En premier lieu, comment peut-on s'assurer que l'obligation est respectée ? Un agent de police pourra-t-il contrôler dans la rue qu'un citoyen a bien son téléphone sur lui, qu'il a téléchargé la dernière version de l'application et que sa batterie est suffisamment chargée pour que le Bluetooth soit opérationnel ? Je ne peux l'imaginer... Je partage les inquiétudes que vous avez exprimées quant à la stigmatisation des personnes qui ne téléchargeraient pas l'application ; pour autant, ce n'est pas l'obligation de télécharger qui doit primer ; nous devons nous focaliser sur la confiance.
La question du partage des données et de leur utilisation par des entités commerciales a été posée. Je suis très heureux de constater que tout le monde a conscience que les données relatives à la santé ne sont pas seulement utiles du point de vue de la santé publique, mais peuvent aussi donner lieu à une utilisation commerciale. Cela veut dire que tout le monde se pose la question de l'accès à ses données personnelles et de leur utilisation. Je peux vous dire que, quand Google et Apple se sont alliés pour le développement des applications utilisables sur les téléphones portables, ils ont insisté sur le fait qu'ils ne collecteraient pas de données d'ordre médical, parce qu'ils avaient conscience que ce serait la première question qui leur serait posée en Europe et que les différents législateurs, en Europe, sont très au fait de la crainte de leurs concitoyens quant à l'utilisation de leurs données personnelles à des fins autres que la santé publique. Il est certain qu'il y a de plus en plus de données partagées dans le contexte de cette crise du Covid-19, mais je suis heureux de constater que les défis que cela soulève en matière de protection des données et de la vie privée ont été identifiés par les utilisateurs et les développeurs de ces solutions technologiques comme extrêmement importants.
Concernant l'utilisation de solutions développées dans des pays asiatiques comme la Corée du Sud, le Japon et le Vietnam, même les représentants de ces pays ont reconnu que les solutions efficaces dans leur société ne sont pas nécessairement transposables dans d'autres sociétés. Ce sont exactement les propos qu'a tenus le principal développeur de la solution mise en oeuvre à Singapour : la société singapourienne est très différente des sociétés européennes, les compétences y sont très différentes, c'est une société très urbaine ; c'est aussi une société où les données biométriques, par exemple les empreintes digitales, figurent sur la carte d'identité depuis plus de soixante-dix ans. Les sociétés de la Corée du Sud ou de Taïwan ne diffèrent pas seulement des nôtres par leurs conceptions philosophiques : ces pays vivent sous la menace permanente d'une invasion par un ennemi extérieur et sont isolés géographiquement. Le recours aux solutions pratiquées à Taïwan ou en Corée du Sud, ou même en Nouvelle-Zélande, qui est également isolée géographiquement, ne serait pas nécessairement couronné de succès en France. Je ne peux pas répondre à la question concernant la nécessité d'isoler un pays ou un autre de ses voisins et l'intérêt de telles méthodes : ce type de question dépasse largement ma compétence de Contrôleur européen de la protection des données.
En revanche, en relation avec l'exemple du squatteur qui a été donné tout à l'heure, je suis tout à fait d'accord avec l'idée que nous devons pouvoir prendre des mesures exceptionnelles dans des circonstances exceptionnelles, mais le droit européen, en particulier le RGPD, est conçu pour faire face à ce type de situation.
Pour finir, j'aborderai la question de la souveraineté stratégique de l'Union européenne dans le domaine numérique, posée par la sénatrice Colette Mélot. Si l'on prend l'exemple des systèmes d'exploitation (« OS ») des téléphones mobiles, leur niveau d'« européanisation » est proche de zéro, parce que tous les téléphones, en Europe, utilisent des technologies proposées par des sociétés américaines. Le problème n'est pas que ces produits soient fabriqués hors de nos frontières, par des producteurs américains, chinois, chiliens ou sud-africains, mais que ces producteurs respectent le droit applicable sur le territoire européen. Si certains pays et certains producteurs ont été en mesure de démontrer que leurs produits sont conformes au droit européen et respectent les droits des citoyens européens, il est très difficile de l'affirmer pour d'autres. Certains pays partagent nos valeurs, mais d'autres ne les partagent pas. Je ne vais pas essayer de vous convaincre que la Chine s'approche des préoccupations qui sont les nôtres en Europe, mais je vous appellerais à examiner les caractéristiques concrètes des solutions proposées plutôt que les pays d'où ces solutions émanent.
Les solutions en open source sont une bonne manière de garantir la transparence, mais je crois que le système de supervision et de contrôle développé en Europe, qui garantit que les solutions développées respectent la vie privée, est bon, même dans les cas où ces solutions ne sont pas à 100 % en open source. Quand je monte dans un avion, je suis bien convaincu que 100 % des équipements ont été vérifiés et fonctionnent correctement, même si la transparence ne va pas jusqu'à me permettre de vérifier sur internet l'ensemble des systèmes dont ma vie dépend...
En résumé, ce modèle de supervision et de contrôle développé en Europe repose sur quatre piliers : premièrement, les initiatives administratives prises par les autorités de protection des données ; deuxièmement, le contrôle par les parlements - c'est votre rôle ; troisièmement, le contrôle par la société civile, les ONG ; quatrièmement - la base de tout l'édifice -, un droit européen bien rédigé, qui comprend deux volets : le droit communautaire et le droit national de chaque pays membre.
Permettez-moi de saluer l'action du Sénat français, qui consulte bien évidemment la CNIL, mais également l'autorité européenne de protection des données, afin de bien appréhender les aspects européens des défis actuels et des solutions proposées.
Monsieur le Contrôleur, je vous remercie au nom de tous les membres de la commission des affaires européennes d'avoir bien voulu répondre à nos questions lors de cette visioconférence.
La réunion est close à 18 h 20.
