Je suis heureux de vous accueillir, Madame la présidente. Je remercie l'ensemble des collègues présents et vous prie de bien vouloir excuser l'absence de certains de nos collègues, retenus en séance ou en audition. En effet, notre ordre du jour est particulièrement chargé.

Par courrier en date du 13 décembre, vous avez appelé mon attention sur le fait que la Commission européenne devrait présenter, fin janvier 2012, une proposition de révision de la directive européenne 95/46/CE qui fixe le cadre juridique européen en matière de protection des données personnelles. Vous m'avez fait part de votre inquiétude devant la volonté de la Commission de retenir désormais le critère du « principal établissement » d'un responsable de traitement pour désigner l'autorité de protection compétente. Il en résulterait une perte de compétence pour la CNIL. Nous y reviendrons sans doute au cours de nos échanges mais je tiens à vous dire d'emblée que je partage vos préoccupations.

Mme Isabelle Falque-Pierrotin, présidente de la CNIL. - La CNIL est encore mal connue de nos concitoyens. Elle est pourtant devenue au fil des ans une « grande maison » : la CNIL dispose ainsi en 2011 de 154 postes, ce qui représente un doublement des effectifs depuis 2004 ; ses missions sont sans cesse plus larges et l'institution est de plus en plus sollicitée : elle reçoit ainsi 6000 plaintes par an.

L'univers technologique dans lequel évolue la CNIL est en perpétuelle mutation : face à ce processus, qui crée de nouveaux risques mais aussi de nouveaux besoins, la CNIL doit s'adapter. Les principes fondateurs de la loi « informatique et libertés » doivent-ils pour autant être remis en cause ? Je ne le crois pas. En revanche, nous devons les appliquer en liaison étroite avec les différents acteurs. La CNIL n'est pas une institution « éthérée », hors du temps, défendant des principes idéologiques. Elle doit, au contraire, proposer des solutions concrètes, pragmatiques et réalistes, comme elle l'a fait récemment à propos de la carte d'identité biométrique.

Notre mission de régulation ne doit pas être exercée de manière trop brutale : nous devons avant tout nous appuyer sur les différents acteurs publics et privés pour qu'ils s'approprient la culture « informatique et libertés ».

A cet égard, je souhaiterais donner deux exemples.

En premier lieu, la CNIL possède une compétence de plus en plus large en matière de vidéoprotection. Pour y faire face, nous nous sommes rapprochés de l'AMF, avec pour objectif de diffuser la culture « informatique et libertés » auprès des élus locaux et de limiter ainsi les manquements à la loi de 1978.

En second lieu, les grands acteurs de l'Internet que sont Google, Facebook... sont de plus en plus sensibilisés aux enjeux « informatique et libertés », sous la pression des internautes eux-mêmes qui réclament une meilleure protection de leurs données personnelles. D'ailleurs, la CNIL a rendu publique hier une étude sur les « Smart phones » qui met en évidence une vigilance de plus en plus grande des utilisateurs à l'égard des risques inhérents aux nouvelles « mémoires numériques ».

En conséquence, la CNIL doit accompagner et encourager cette prise de conscience. Elle doit ainsi se rapprocher des industriels pour obtenir des engagements précis dans le cadre, par exemple, de chartes. Certes, ces documents relèvent de ce que d'aucuns appellent le « droit mou » dans la mesure où ils sont dépourvus de force juridique contraignante. Toutefois, ils présentent l'intérêt de pouvoir aborder la problématique « informatique et libertés » de manière beaucoup plus fine et détaillée que ne pourrait le faire une disposition juridique.

J'en viens aux enjeux internationaux de la protection des données. Ces enjeux sont majeurs car l'avenir ne se joue plus seulement en France, mais également en Europe et dans le monde. Les grands espaces géographiques que sont les Etats-Unis, l'Europe et l'Asie se livrent à une concurrence féroce sur le plan commercial. Dans ce contexte, la tentation est grande de privilégier l'attractivité économique au détriment de la protection des données.

S'agissant du processus de révision de la directive de 1995, la Commission européenne, vous l'avez dit, Monsieur le Président, risque d'introduire le critère du « principal établissement ». C'est en tout cas ce qui ressort de nos échanges avec Mme Viviane Reding, Commissaire en charge de la justice, des droits fondamentaux et de la citoyenneté. Concrètement, de quoi s'agit-il ? A titre d'exemple, si un responsable de traitement est établi dans trois pays, la France, l'Espagne et l'Irlande et que son principal établissement est situé en Irlande, seule l'autorité irlandaise serait compétente pour l'ensemble des traitements, qu'ils soient réalisés en Irlande, en France ou en Espagne. Dans cet exemple, la CNIL perdrait toute compétence. La solution envisagée par la Commission européenne porterait atteinte à la protection des données personnelles de la population et aussi aux intérêts économiques de notre pays. Elle pourrait, en effet, favoriser les délocalisations d'entreprises vers des Etats dont les autorités de protection des données personnelles privilégient une approche plus souple et moins exigeante que celle retenue par la France.

Mme Reding nous répond :

1° que la Commission souhaite garantir un haut niveau de protection des données partout en Europe ; c'est pourquoi serait privilégiée l'adoption d'un Règlement en lieu et place d'une nouvelle directive ;

2° qu'il est nécessaire de simplifier le cadre juridique pour les entreprises et de donner à ces dernières un interlocuteur unique ;

3° que la Commission, prenant en compte les inquiétudes exprimées par la CNIL, pourrait proposer un système dit de « consistency », fondé sur la coopération entre autorités de protection de données : dès lors qu'un traitement aurait un impact sur un territoire, l'autorité nationale pourrait faire part à l'autorité compétente de son désaccord éventuel avec la position prise par cette dernière. Si les autorités ne parvenaient pas à trouver une approche commune, chacune d'elle aurait la possibilité de faire remonter le différend au niveau du G29 (instance qui regroupe les autorités de protection des 29 pays membres de l'Union européenne), qui serait alors compétent pour adopter un avis sur la question.

Nous ne sommes pas convaincus par les réponses apportées par Mme Reding. En effet, même si l'adoption d'un Règlement ne peut que conduire à une harmonisation des législations nationales, plus que ne le fait l'actuelle directive de 1995, il n'en demeure pas moins que les approches culturelles sont différentes d'un Etat à un autre au sein de l'Union européenne et que certaines autorités de protection, en particulier celles du Royaume-Uni et de l'Irlande, sont plus clémentes que d'autres. En outre, la protection des données personnelles interagit avec certaines branches du droit, telles que le droit social, le droit fiscal... Lorsque la CNIL traite un dossier, elle l'examine en tenant compte des spécificités et des exigences de droits connexes. Comment l'autorité de protection irlandaise pourrait-elle procéder à une analyse aussi fine, qui suppose une connaissance approfondie des textes et des pratiques de notre pays ? Par ailleurs, le système dit de « consistency » ne nous paraît pas satisfaisant en l'état car il ne préserve pas la souveraineté de la CNIL.

Dans mon rapport budgétaire, j'ai marqué cette année certaines interrogations concernant les attributions consultatives des autorités du programme « Défense des droits et libertés ». Il semble en effet que certaines d'entre elles soient trop rarement - et en tout état de cause de moins en moins - consultées par le Gouvernement sur les textes qui relèvent de leur compétence. Qu'en est-il de la CNIL ? Avez-vous le sentiment que le Gouvernement vous consulte systématiquement et en temps utile sur les projets de loi ou de décret qui relèvent de votre compétence ?

Par ailleurs, je pointe dans mon rapport la très nette insuffisance des moyens budgétaires et humains alloués à votre institution au regard notamment de l'élargissement continu de ses missions par le législateur. En effet, ce dernier a confié à la CNIL en 2011 deux nouveaux champs d'action :

- un contrôle général de la vidéoprotection : la CNIL est désormais compétente non seulement pour les dispositifs de vidéoprotection installés dans les locaux privés, mais également, depuis la loi dite « LOPPSI 2 », pour les systèmes de vidéoprotection installés sur la voie publique. Cette évolution législative conduit la CNIL à exercer un contrôle sur un nombre de caméras 20 fois supérieur à la situation antérieure, puisque le nombre de dispositifs de vidéoprotection relevant de la CNIL est passé de 30.000 à 600.000 ;

- la réception des notifications des failles de sécurité : une ordonnance d'août 2011 rend désormais obligatoire l'information de la CNIL « en cas de violation » de l'intégrité ou de la confidentialité de ces données.

S'il est difficile de mesurer précisément l'impact de la seconde mission (failles de sécurité), il est indéniable que la première (vidéoprotection) aura nécessairement un impact important sur le volume d'activité de l'institution en 2012. Or, les moyens progressent trop faiblement. Comment la CNIL pourrait-elle avec 11 ETPT supplémentaires fonctionner efficacement quand l'une de ses compétences est multipliée par 20 ?

Par ailleurs, j'ai personnellement constaté qu'il était relativement simple d'accéder aux facturations détaillées des communications de téléphone portable, les informations exigées par les opérateurs téléphoniques pour cet accès étant faciles à obtenir (nom, numéro de téléphone, date de naissance...). N'y a-t-il pas là une faille de sécurité ?

Quel regard portez-vous sur la protection des données personnelles dans le cadre de la mise en place de l'HADOPI ? Par ailleurs, la proposition de loi sur la vie privée à l'heure du numérique, dont notre collègue Yves Détraigne, vice-président, est l'un des inspirateurs, bien que votée à l'unanimité au Sénat en mars 2010, est toujours en instance à l'Assemblée nationale. En tant que rapporteur pour avis sur cette proposition, je m'étais en particulier intéressée à son article 1er portant sur l'inscription, dans les programmes scolaires, d'une sensibilisation aux enjeux « informatique et libertés ». C'est, à ce jour, la seule disposition de cette proposition de loi qui est entrée en vigueur puisqu'elle a été intégrée dans la loi du 22 mars 2011 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière de santé, de travail et de communications électroniques.

Je souligne enfin que la commission des affaires européennes à laquelle j'appartiens est sensible aux sujets qui ont trait à la protection des données personnelles.

J'avoue être surpris par la position de Mme Reding, peu favorable à la protection des données alors que sur d'autres sujets elle a pris des positions très exigeantes dans le domaine des libertés individuelles. Vous avez souligné que les réserves de la CNIL sur la carte d'identité biométrique se fondaient sur la disproportion entre les moyens déployés et les fins poursuivies. Cela signifie-t-il que le lien fort serait acceptable si l'on étendait les finalités d'utilisation de la base au-delà de la seule sécurisation du titre comme par exemple pour l'identification des personnes désorientées ou de cadavres ou des recherches criminelles effectuées sous contrôle du juge ?

J'ai quatre questions complémentaires à vous poser.

Tout d'abord, La CNIL a-t-elle toujours un différend avec Google au sujet de ses voitures « Street View », qui sillonnent la France pour photographier les routes mais qui permettent également de capter des courriels et des informations confidentielles transitant par les réseaux WI-FI non protégés ?

Par ailleurs, votre prédécesseur, M. Alex Türk - auquel je tiens à rendre hommage pour la qualité du travail accompli - appelait régulièrement l'attention des parlementaires sur les risques inhérents au développement des nanotechnologies, technologies fondées sur l'étude, la fabrication et la manipulation de structures, de dispositifs et de systèmes matériels à l'échelle du nanomètre, c'est-à-dire du milliardième de mètre. Partagez-vous ces craintes ? Que préconisez-vous face à ce risque ?

En outre, le rapport d'information de nos collègues Anne-Marie Escoffier et Yves Détraigne sur la vie privée à l'heure des mémoires numériques avait souligné la nécessité de renforcer la sensibilisation des jeunes générations aux questions de protection de la vie privée et des données personnelles. Le rapport avait notamment pointé le développement des réseaux sociaux sur Internet qui ont fait naître une nouvelle tendance sociologique forte : l'exposition volontaire de soi et d'autrui. Quelles conclusions tirez-vous de ce rapport ?

Enfin, où en est-on du projet de Convention universelle pour la protection des personnes à l'égard du traitement des données personnelles ? Pensez-vous que nous arriverons un jour à nous doter d'un instrument international contraignant garantissant le respect de la protection des données personnelles et de la vie privée, étant rappelé que si l'Union européenne, le Canada, la Nouvelle-Zélande et quelques pays d'Afrique et d'Amérique soutiennent la nécessité d'une intervention protectrice des pouvoirs publics et mettent progressivement en place à cet effet des normes et des organismes spécialisés, d'autres, tels que les États-Unis, le Japon, la Chine ou l'Inde, restent étrangers à ces préoccupations ?

Mme Isabelle Falque-Pierrotin, présidente de la CNIL. - Sur la consultation de la CNIL, l'article 11 de la loi « informatique et libertés » fait obligation au Gouvernement de consulter notre Commission sur tout projet de loi ou de décret relatif à la protection des personnes à l'égard des traitements automatisés. Cette disposition est globalement respectée. Je me demande dans quelle mesure elle ne devrait pas être étendue aux propositions de loi. Cela dit, la CNIL n'a pas vocation à se substituer aux pouvoirs publics et au Parlement en particulier.

Mme Klès, je partage votre analyse sur le manque de moyens de la CNIL. Toutefois, nous évoluons dans un contexte budgétaire contraint et nous pouvons nous appuyer sur des « têtes de réseaux » pour diffuser la culture « informatique et libertés » comme je l'ai indiqué tout à l'heure.

Sur les conséquences de la mise en place de l'HADOPI, nous manquons encore de recul pour tirer des conclusions en matière de protection des données.

S'agissant du « droit à l'oubli » que le Sénat a souhaité renforcer au travers du vote de la proposition de loi des sénateurs Yves Détraigne et Anne-Marie Escoffier, le sujet est toujours d'actualité. En effet, le futur Règlement européen sur la protection des données devrait comporter un chapitre entier consacré à cette question. Devrait ainsi être facilitée la désindexation de données par les moteurs de recherche.

Sur la position prise par Mme Reding, je crois que sa priorité est de lutter contre les disparités juridiques entre les Etats membres et de simplifier les règles pour les entreprises. Elle ne voit pas de risque de concurrence intra-communautaire ni, donc, de « forum shopping ». Le compromis qu'elle a proposé, fondé sur la coopération entre autorités de protection de données (système dit de « consistency »), ne nous paraît pas satisfaisant. Nous soutenons une solution alternative respectueuse de la souveraineté des autorités de protection des données. Par ailleurs, il est important de dire que le Règlement européen à venir devrait comporter certaines avancées, telles que le caractère obligatoire du Correspondant informatique et libertés, ce qui répond à l'un des objectifs de la proposition de loi sur la vie privée à l'heure du numérique.

Sur la carte d'identité biométrique, nous avions considéré que la création d'une base centrale était disproportionnée au regard de l'objectif de sécurisation des titres. Si toutefois la base centrale est constituée, la meilleure garantie contre les utilisations détournées serait la garantie technique, celle du lien faible. L'Assemblée nationale et le Gouvernement semblent s'orienter vers une autre garantie, celle qui consiste à réduire, par la loi, les finalités d'accès à la base. Cependant, nous savons qu'une fois un fichier constitué il est toujours possible d'étendre ses finalités de consultation. C'est pourquoi la CNIL est inquiète : les restrictions juridiques seront toujours moins efficaces que les restrictions techniques, qui rendent impossibles l'utilisation de la base à des fins détournées.

Sur l'application « Street View », la CNIL a condamné la société Google. Cette dernière a contesté cette condamnation devant le Conseil d'Etat mais elle vient de se désister.

Sur les nanotechnologies, le débat public qui a eu lieu sur ce thème n'a pas eu le succès escompté. Nous voudrions que l'exigence de protection des données soit prise en compte en amont, dès la conception des produits, dans le cadre de ce que les spécialistes appellent la « Privacy by design » (« protection des données dès la conception »).

Sur l'éducation, c'est un chantier prioritaire que mon prédécesseur avait initié et je le poursuivrai. L'étude sur les « smart phones » en illustre la pertinence.

Enfin, s'agissant des enjeux internationaux, je signale qu'un texte existe déjà : il s'agit de la Convention 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard des données à caractère personnel. L'aboutissement d'une Convention universelle pour la protection des personnes se heurte à des difficultés. L'interopérabilité des fichiers, recherchée en particulier dans la zone APEC (Asie-Pacifique), ne dispense pas d'une telle évolution, bien au contraire.

Je le redis, nous partageons vos préoccupations concernant l'évolution du cadre juridique européen en matière de protection des données. Nous pourrions, par exemple, entendre Mme Reding ou préparer une résolution européenne. Dans l'immédiat, je propose que nous disions, par voie de communiqué de presse, notre attachement à la protection des données personnelles et nos craintes quant à la mise en place d'un système qui aboutirait à un dessaisissement de la CNIL sur les traitements de données qui concernent la population française.