Alors que, dans son bilan 2012, la CNIL enregistre une tendance à la hausse des réclamations, le secteur bancaire ne représente que 10 % des plaintes enregistrées cette année-là. Est-ce un bon élève ?
Ce résultat est dû au fait que les sanctions précédemment prononcées par la CNIL à l’encontre des banques et la portée médiatique de certaines d’entre elles ont eu un effet vertueux et créé de bonnes pratiques dans ce secteur. Les banques représentent un secteur professionnel très réglementé. De plus, soumises au secret bancaire, elles sont déjà très sensibilisées aux questions de sécurité et de confidentialité.
Pour autant, beaucoup reste à faire dans ce secteur en matière d'exercice du droit d’accès et de rectification des fichiers, notamment en ce qui concerne les fichiers centraux de la banque de France qui concentrent la majorité des litiges relatifs aux banques. Avec l'ouverture des systèmes informatiques, la sécurité des fichiers reste également une question d'actualité, comme l’illustre l'avertissement prononcé à l’encontre du groupe Crédit Mutuel pour son système de messagerie mutualisé qui avait laissé des failles dans la sécurité des
Les entreprises reprochent à la CNIL des formalités lourdes et laborieuses à mettre en œuvre pour effectuer les déclarations. Que répondez-vous à ces critiques ?
Ces critiques sont entendues par la CNIL. Pour nous, le plus important est de respecter la règle de fond, c'est-à-dire les principes de respect de la finalité du traitement, de la pertinence des données traitées, de la durée de conservation adaptée, de l'information des personnes, de la sécurité et non la formalité en tant que telle. La CNIL est d'ailleurs favorable à l'allégement substantiel des formalités préalables tel qu'envisagé dans le projet de règlement européen. Mais l'allégement ou la suppression des formalités doit s'accompagner d'une plus grande responsabilisation des entreprises, ce qu'on appelle l'accountability dans le projet de règlement précité. Pour y parvenir, cela peut se traduire par la nomination d’un Correspondant informatique et libertés (CIL) et l'application du privacy by design, c’est-à-dire la prise en compte de la protection de la vie prie privée dès la conception du produit.
Et surtout par un nouveau mode de régulation par la CNIL. Celle-ci mène des actions à destination des entreprises, en élaborant conjointement avec elles des « packs de conformité » qui non seulement allègent leurs formalités, dans les limites de la loi actuelle, mais surtout donnent des indications concrètes sur la façon de respecter les textes. Nous pratiquons une démarche sectorielle : par exemple, nous avons travaillé avec le secteur de l’assurance, c’est-à-dire l'ensemble des organismes professionnels – FFSA, GEMA, etc. –, pour passer en revue toutes leurs activités professionnelles et décliner les obligations des entreprises sous forme de normes simplifiées,
Quelles sont vos préconisations à l’égard du secteur bancaire. Doit-il s’associer davantage avec la CNIL ?
Oui, nous souhaiterions échanger plus souvent avec les banques à travers une concertation du même type que celle engagée avec les assureurs, c'est-à-dire sur l'ensemble des activités concernées et pas seulement à l'occasion d'un problème ponctuel, afin de bâtir ensemble un « pack de conformité » permettant de répondre aux questions que se posent les banquiers sur l'application de la loi. Par ailleurs, la loi Informatique et Libertés de
La CNIL a élaboré des labels pour récompenser les bonnes pratiques en matière de protection des données. Mais très peu d’organisations l’ont obtenu. Où en êtes-vous ?
En effet, La CNIL a délivré à ce jour 29 labels sur la base de deux référentiels adoptés en juin 2012, 11 pour ce qui est des audits de traitements et 18 en matière de formation. Ces labels sont valables 3 ans renouvelables. Si peu d’entreprises l’ont demandé, c'est aussi parce que les critères d’attribution sont exigeants, afin d'apporter une réelle valeur ajoutée pour les personnes concernées.
La CNIL vient d'adopter un nouveau référentiel qui porte non plus sur des procédures, mais sur un produit qui devrait intéresser les banquiers, car il s'agit des dispositifs de « coffre-fort numérique ».
À noter que dans le secteur bancaire, seule la BNP Financial Services a demandé et obtenu le label Formation.
Le label va prendre plus d’ampleur à terme. Pour le moment, les entreprises restent réticentes car c’est encore un instrument nouveau. Les bénéfices liés à cette possibilité de se distinguer en garantissant un haut niveau de protection des données ne devraient pas tarder à être davantage perçus et ce sera un vecteur d’amélioration pour le marché.
Comment appréciez-vous le projet de règlement européen ?
Bien que les détracteurs du projet estiment qu’il est trop ambitieux et hors d’atteinte, la CNIL soutient le texte dans son principe, car nous considérons qu’il est indispensable pour permettre d’adapter le cadre européen de la protection des données et répondre aux nouveaux défis concurrentiels. L’Europe en effet doit être capable de parler d’une seule voix face aux États-Unis et ses champions numériques, qui ne devraient plus profiter d'une distorsion de concurrence liée à la différence des règles actuelles en matière de protection des données. De plus, dans une société numérique comme la nôtre où la traçabilité est rendue possible dans l’espace et dans le temps, il devient nécessaire de renforcer le droit individuel du citoyen, y compris le droit à l’oubli, comme le prévoit le projet de règlement. La consolidation du rôle des autorités de protection des données fait également partie des avancées du texte. Ainsi, le texte vise la coopération entre les différentes autorités et renforce leur pouvoir de sanction, qui peut aller jusqu’à 2 % du chiffre d’affaires des entreprises.
Nous sommes également favorables au droit à la portabilité, c’est-à-dire à la « récupération » des informations par les personnes concernées, source d'inquiétude pour les entreprises qui considèrent que ce droit comporte un risque d’atteinte concurrentiel. Pour la CNIL, au contraire, le droit à la portabilité encouragerait l’innovation technologique par la recherche de compétitivité pour développer et fidéliser la clientèle. Toutefois, la CNIL reste réservée sur certaines dispositions du texte européen, notamment le système de gouvernance envisagé. Le critère du lieu de résidence de l’établissement principal, qui a été retenu initialement, a attiré notre attention car cela peut être un moyen pour les entreprises de contourner la loi en se domiciliant dans un lieu où les autorités n’ont pas les moyens de pratiquer des contrôles performants.
Nous avons beaucoup travaillé avec le Parlement européen et le gouvernement français pour que soit retenu, comme c'est le cas en droit de la consommation, le lieu de résidence du citoyen, avec un renforcement de la coopération entre les autorités de protection des données, par la désignation d'une autorité-chef de file.
Nous avons également alerté sur les dispositions relatives au transfert de données : le projet européen prévoit qu'il soit possible dans certains cas, pour le responsable de traitement, de procéder à une simple autoévaluation des risques en matière de transferts, ce qui constitue un singulier « trou » dans le filet de protection octroyé par les clauses contractuelles ou les BCR précités. Nous préconisons, dans ce cas, qu'il y ait une validation par l’autorité de protection des données avant tout transfert.
Même s'il semble que le Parlement européen se prononcera avant la fin de sa mandature en mars prochain, les travaux n'auront pas suffisamment avancé au niveau du Conseil européen pour permettre une adoption avant le renouvellement du Parlement, qui aura donc à reprendre l'ouvrage d'ici la fin de l'année.
Quels sont les prochains chantiers de la CNIL ?
Ils sont nombreux, à l’instar du foisonnement qui caractérise notre société numérique. S’il fallait en retenir un aujourd’hui, ce serait le chantier mené en matière d’« éducation au numérique ». C’est un sujet majeur sur lequel il faut agir vite, car la France n’a pas encore pris le virage du numérique, que ce soit à l’échelle individuelle ou collective. Ainsi, 43 % de nos concitoyens déclarent ne pas maîtriser cet univers. Dans le même temps, ils sont fortement demandeurs d’une aide à la compréhension du numérique puisque 83 % d’entre eux considèrent que
Il est donc fondamental que chacun d’entre nous – jeunes et vieux, urbains et ruraux, actifs et chômeurs –puisse détenir les clés de compréhension du numérique, pour profiter pleinement des opportunités qu’il recèle. Partant de ces constats, la CNIL a constitué un collectif qui réunit 51 acteurs très divers — issus de la société civile, du monde de l’éducation et de la recherche, mais aussi de fondations et fédérations professionnelles, d’institutions publiques – qui disposent de relais locaux.
Le collectif a candidaté début janvier au Label « grande cause nationale », qui est attribué par les services du Premier ministre et permet d’offrir une forte visibilité à un sujet d’intérêt national, notamment à travers des passages radio et TV. La réponse du Premier ministre est prévue pour début février et nous espérons qu’elle sera positive, ce qui donnerait un message politique fort.
