La loi Informatique et libertés a été votée et la CNIL créée en 1978 : quel a été le chemin parcouru pendant ces 40 ans ?
La CNIL a été créée en 1978 pour protéger le citoyen face aux inquiétudes soulevées par la constitution de grands fichiers publics, dans un contexte d’informatisation de l’administration, et notamment, en 1974, le projet
Notre métier est aujourd’hui celui d’un régulateur des données personnelles, une autorité publique dont la mission est de trouver un équilibre entre la protection des personnes quant à l’utilisation de leurs données, et la capacité des entreprises à exploiter ces dernières à des fins de modèles économiques d’innovation, de marketing, ou encore de sécurité publique.
La spécificité de la CNIL, depuis sa création, est d’avoir su évoluer de façon permanente pour reconfigurer ses méthodes d’intervention, ses outils, mais toujours dans le but de préserver l’équilibre entre la liberté des personnes et la liberté d’innover des entreprises, tout en conservant un ancrage éthique très affirmé. La protection des données personnelles est un droit fondamental lié à la personne humaine, mais ce droit s’est traduit par des solutions différentes au fur et à mesure que la donnée a pris l’importance centrale qu’on lui connaît aujourd’hui.
En ce qui concerne le secteur financier, celui-ci a été depuis le début très gourmand en données et il a donc assez vite accueilli l’innovation méthodologique de la CNIL. Nous avons ainsi mis en place des procédures pour simplifier les formalités préalables fixées par la loi de 1978 et, en même temps, rendre cet encadrement très opérationnel. Il était important que ce ne soit pas des règles produites par le régulateur sans connaissance des réalités du terrain. L’idée, mise en œuvre dès les années 1980 pour le secteur financier, de faire des cadres de référence sectoriels, sous forme de packs de conformité, a ensuite été largement développée. Nous essayons d’encapsuler dans une sorte d’abri de compliance des usages présents et futurs d’un secteur. La CNIL a ainsi élaboré 7 packs de conformité, pour la banque, mais aussi l’assurance ou encore les compteurs communicants. La CNIL et son homologue britannique sont les deux seules autorités européennes qui ont cette expertise sectorielle, qui a largement anticipé la logique de la réglementation européenne et du RGPD.
Quelle est cette logique sectorielle de la réglementation européenne ?
La déclinaison sectorielle des principes généraux figurait dans la directive précédemment en
Quels faits marquants ont jalonné ces 40 ans ?
Les révélations d’Edward Snowden en 2013 ont donné un coup d’accélérateur politique majeur aux négociations autour du RGPD, qui étaient en train de s’enliser. Ce scandale international a vraiment provoqué une prise de conscience des législateurs européens, qu’il s’agisse du Conseil, de la Commission ou du Parlement. Il a montré la nécessité pour l’Europe de proposer un cadre juridique modernisé par rapport à celui de la directive de 1995, mais qui reste fidèle à une approche éthique très robuste. Parce que nous ne voulons pas avoir en Europe une situation à la Snowden, ou un autre Cambridge Analytica !
Le RGPD peut-il devenir une référence mondiale ?
Il en a le potentiel, parce qu’il constitue une réponse globale très ambitieuse. En effet, au-delà d’un simple cadre pour la protection des données, le RGPD propose une gouvernance de la donnée. Il reconnaît le positionnement nouveau de la donnée, qui nécessite de réexaminer en profondeur les relations de pouvoir entre les différentes parties prenantes :
– les relations entre les personnes et le Data Controller (responsable de traitement), avec plus de droit pour les premières, et une responsabilisation accrue pour le second ;
– la relation entre les entreprises et les régulateurs : il ne s’agit plus pour ceux-ci de délivrer une autorisation ponctuelle mais plutôt d’établir un dialogue continu ;
– les relations à l’intérieur de l’entreprise : au-delà du département juridique, la donnée devient un enjeu de gouvernance interne avec un certain nombre de mécanismes et de responsabilités au sein des entreprises pour en organiser le pilotage en accord avec les textes ;
– enfin, les relations de pouvoir entre les autorités européennes elles-mêmes parce que nous entrons dans un mécanisme de réseau où nous devons coopérer avec la capacité de décider à 28.
Tout cela construit une gouvernance de la donnée et correspond bien aux besoins actuels du numérique. Mais pour que le RGPD devienne un standard mondial, il faudra démontrer que cette nouvelle approche est efficace et les mois à venir seront à cet égard déterminants : serons-nous capables de prendre des décisions communes, de produire de la doctrine commune ? Et, in fine, d’influencer réellement les comportements aussi bien des individus que des entreprises ? C’est à nous tous, collectivement, de le démontrer. Pour l’heure, le RGPD est d’ores et déjà un succès politique pour l’Europe. C’est formidable pour des pays de traditions juridiques assez différentes d’avoir su se mettre d’accord, mais il faut maintenant transformer l’essai.
Quelles sont, concrètement, les prochaines étapes ?
Tout d’abord, un effort considérable de pédagogie doit être mené dans tous les pays européens, car le texte est complexe et il faut pourtant que les acteurs s’en emparent. En France, nous avons diffusé énormément d’informations et d’explications sur notre site, fourni un logiciel libre pour réaliser des analyses d’impact sur la protection des données, mais nous avons également contacté systématiquement les fédérations professionnelles et les organismes qui regroupent des collectivités locales, pour qu’ils diffusent en cascade cette pédagogie auprès de leurs propres membres. Et il faut poursuivre ces efforts.
Ensuite, il faut commencer à traiter les plaintes déjà reçues, comme celles de Max Schrems, Autrichien à l’origine de la décision de la CJUE annulant le Safe Harbor et qui a déposé le 25 mai 2018 quatre recours dans quatre pays européens à l’encontre des grands
Quel traitement sera réservé à ces plaintes ?
Comme prévu par le RGPD, il faut que l’autorité chef de file soit assez rapidement désignée. C’est a priori l’autorité du pays où est localisée l’entreprise qui prend la décision sur le traitement en question. Mais il peut y avoir une contestation entre autorités nationales et, dans ce cas, un arbitrage est rendu au niveau du Comité européen de la protection des données
La question sera aussi de savoir comment les autorités nationales concernées vont contribuer à l’étude du dossier, coopérer avec l’autorité lead, pour aboutir à une solution de consensus. Sinon, le dossier remontera au CEPD, qui peut prendre une décision contraignante. Cette capacité de codécider à 28 est une des grandes avancées du RGPD.
S’il fallait remonter à ce niveau dès les premières plaintes, ce ne serait pas un bon signal ?
Non, d’autant que le G29 dans les deux dernières années a produit des guidelines sur les sujets clés du RGPD pour essayer de préharmoniser les positions que nous pourrions prendre. Mais il va bien falloir tester ces modalités de coopération, fondées soit sur le consensus, soit sur l’arbitrage rendu au niveau du CEPD. Mais en tout cas, nous disposons d’une panoplie assez complète dans la boîte à outils.
Dans le même temps, nous devrons également être capables de produire de la doctrine sur des sujets de prospective, d’intérêt commun. À ce titre, nous avons un sujet qui se dessine, au niveau européen voire déjà mondial, qui est celui des algorithmes et de l’intelligence artificielle (IA).
Quelles sont les premières réflexions concernant les algorithmes et l’IA ? Comme le montre son rapport de fin
Il est intéressant de constater que, dans plusieurs parties du globe, on cherche non pas à réguler immédiatement ces évolutions, mais plutôt à identifier les problèmes qu’elles posent. L’IA est un peu la quintessence du numérique : à la fois une puissance de feu remarquable, avec des bénéfices fabuleux, dans les secteurs de la santé ou du transport par exemple, mais aussi un côté « boîte noire » qui rend ces outils difficilement contrôlables, des risques de discrimination liés à des biais cachés, ou encore la crainte que ces technologies soient opérées par un nombre limité d’acteurs dans le monde et que nous en devenions excessivement dépendants.
Le message que nous avons fait passer grâce au RGPD est que l’Europe a un savoir-faire particulier sur ces questions éthiques et sur la combinaison que l’on peut faire entre l’éthique et l’innovation. Nous avons la capacité à mettre cette carte sur la table pour participer à la conversation mondiale, car la question de l’ancrage éthique de l’IA se pose dans tous les pays, même en Chine, contrairement à ce que l’on croit.
À ce titre, dans le rapport de la CNIL, qui est le résultat de la consultation menée pendant un an suite à la mission de réflexion confiée par la loi pour une République numérique, nous proposons trois principes pour alimenter un cadre de référence pour le développement de l’IA : la transparence, la loyauté et la vigilance continue, une sorte de boucle de rétroaction pour pouvoir à tout moment s’interroger sur ce que produit l’algorithme à tous les échelons de la chaîne algorithmique.
Le sujet de l’IA est aujourd’hui inscrit à l’agenda de la conférence mondiale des autorités de protection des données qui se tiendra cette année en octobre à Bruxelles. Cette conférence annuelle dont j’assume actuellement la présidence, regroupe 150 autorités. Sa position est qu’une gouvernance mondiale est nécessaire sur l’IA et nous souhaitons y contribuer par les conclusions que nous allons publier au mois d’octobre.
Quelle est la position de la CNIL concernant la mise en conformité au RGPD, car il semblerait que les entreprises ne soient pas toutes prêtes ?
Comme beaucoup d’entreprises ne sont toujours pas conformes à la loi de 1978 ! Nous affichons une politique de sanctions qui me semble réaliste : il n’est bien sûr pas question de période de grâce et nous avons commencé à faire respecter le RGPD depuis le 25 mai ; nous sanctionnerons les manquements aux principes du RGPD qui étaient déjà présents dans la loi de 1978 ; par exemple, un organisme public ou privé qui met en œuvre un traitement sans respecter le principe de finalité sera sanctionné. En revanche, il est évident qu’il existe une courbe d’apprentissage sur les nouveaux outils, notamment pour les petites entreprises. Il n’y a pas d’automatisme à prendre des sanctions. Notre but est de piloter la mise en conformité progressive des acteurs, ce n’est pas d’afficher un tableau de chasse RGPD.
Mais les entreprises doivent bien sûr lancer avec détermination les travaux de mise en conformité, en ayant conscience du changement culturel issu du RGPD qui est le repositionnement de la protection de la data comme un élément central de leur fonctionnement. Cela correspond simplement à la réalité de ce qu’elles font en utilisant de plus en plus de données pour l’ensemble de leurs actions.
Notre objectif est de les accompagner en différenciant nos modes d’accompagnement en fonction des catégories d’entreprises. Ainsi, nous avons élaboré en partenariat avec Bpifrance un outil à destination des petites et moyennes entreprises, et nous avons annoncé le 25 mai une stratégie adaptée aux start-up.
Comment vont se dérouler les prochaines missions de contrôle ?
Nous réalisons en moyenne 400 missions de contrôle par an et nous allons continuer en 2018 et 2019 comme précédemment. La différence est que certaines demandes viendront désormais de nos homologues européens. Il est difficile à ce stade d’en mesurer exactement l’ampleur : un outil informatique très sophistiqué a été mis en place entre les autorités européennes de protection des données pour qu’elles puissent échanger de l’information. Il reste à voir comment il va fonctionner.
Avez-vous des moyens suffisants pour faire face à cette situation nouvelle ?
Nous allons bien sûr appliquer le RGPD, mais la CNIL française reste sous-dimensionnée pour être en mesure de répondre aux demandes de sanctions et mener une stratégie d’accompagnement des entreprises dans le contexte RGPD. Celle-ci nécessite notamment de mettre des collaborateurs en interface du secteur pour comprendre ses besoins ; c’est un métier au long cours, beaucoup plus complexe que donner simplement une autorisation. La CNIL anglaise va passer à 700 collaborateurs, l’allemande en compte environ 650, alors que nous sommes 200 en France.
Avez-vous le sentiment que la prise de conscience est générale, y compris dans le grand public ? Les particuliers ont-ils compris quelle est la valeur de leurs données ?
Après les révélations d’Edward Snowden, l’affaire Cambridge Analytica a été une étape supplémentaire dans la prise de conscience par les individus du fait que, à travers leurs données, ils pouvaient à la fois avoir accès à des services personnalisés, mais aussi, dans certains cas, être manipulés. Ensuite, avec la mise en œuvre du RGPD, chacun a reçu beaucoup d’e-mails demandant de confirmer des opt in ou de prendre connaissance de nouvelles conditions générales et nous avons été très sollicités pour expliquer ces démarches. Est-ce que tout ceci va conduire à une plus grande prudence ? Je crains que nous n’en soyons pas encore là : les réseaux sociaux offrent un argument considérable de confort et d’habitude auxquels les particuliers restent très sensibles ; rappelons que les abonnés de Facebook ont augmenté de 17 % après Cambridge Analytica. La prise de conscience est lente, mais les Européens et en particulier les Français se sont déjà massivement emparés du droit à l’oubli, qui correspond à leurs aspirations. Le droit à la portabilité va suivre la même évolution, parce qu’il correspond à une forme de contrepartie pour ceux qui mettent à disposition leurs données : la possibilité de récupérer leurs données et les porter ailleurs pour avoir des avantages supplémentaires. Nous sommes au début du chemin, mais il est clair qu’une des conditions qui fera le succès du RGPD sera aussi la façon dont chacun va s’emparer des nouveaux droits qui lui sont reconnus. l
Propos recueillis par E. C.
