Intervention de Isabelle Falque-Pierrotin

Merci de nous convier à nouveau en cette enceinte où j'étais effectivement venue il y a quatre ans. Je me livre une nouvelle fois à cet exercice qui me donne l'occasion d'aborder quelques questions de fond qui vous intéressent.

Je voudrais insister sur les cinq points qui ont particulièrement marqué l'évolution de notre institution au cours de la période récente.

Premier point : l'extrême pression quantitative que subit la CNIL. Le numérique et la digitalisation ont fait littéralement exploser notre activité qui connaît désormais une croissance annuelle à deux chiffres. Au-delà de cette tendance de fond, nous sommes de plus en plus saisis par nos concitoyens sur la base d'éléments divers : les révélations de M. Snowden, en juillet 2013, et la peur de l'espionnage de masse ; des inquiétudes constantes en matière de cybersécurité, qui ont été alimentées récemment par l'affaire Yahoo ; l'effet des dispositifs récents de lutte contre le terrorisme, qui ont notamment engendré plus de 140 demandes particulières de droit d'accès indirect (DAI), suite à l'état d'urgence.

Cette très forte pression quantitative concerne tous les outils de la chaîne de régulation – information, autorisation, avis, plaintes, contrôles et sanctions – et se traduit dans quelques chiffres. Nous recevons plus de 140 000 appels par an. Entre 2011 et 2015, le nombre d'autorisations est passé de 1879 à 2475 et le nombre d'avis de soixante et un à quatre-vingt-dix-neuf. Nous avons reçu plus de 8 000 plaintes cette année contre 5 700 en 2011. Les contrôles sont relativement stables – 385 en 2011 et 510 en 2015 – tout comme les mises en demeure et les sanctions dont le nombre est passé de soixante-cinq en 2011 à quatre-vingt-treize en 2015. De l'information aux sanctions, en passant par la pédagogie, nous sommes donc très sollicités par nos concitoyens ou les entreprises. Cette tendance illustre la place extrêmement importante que les données personnelles ont prise dans notre univers.

Deuxième point : pour faire face à cette entrée massive de la société dans l'univers numérique, le cadre juridique dans lequel la CNIL opère a été adapté, notamment par la loi pour une République numérique et par le règlement européen sur la protection des données personnelles. Vous connaissez l'historique de ce règlement européen. Présenté en 2012 et adopté en 2016, il sera pleinement opérationnel en mai 2018. Il inaugure une nouvelle ère dans la régulation puisqu'il consacre un changement de paradigme : il s'agit d'alléger considérablement ce que nous appelons les formalités préalables – les déclarations et autorisations – au profit d'une démarche de responsabilisation des acteurs et aussi d'un renforcement des droits des individus. Il a été beaucoup question de droit à la portabilité mais le règlement européen renforce aussi le consentement. Tout cela est enchâssé dans une régulation qui a plus de crédibilité puisque le montant des sanctions est considérablement alourdi : il passe de 2 à 4 % du chiffre d'affaires et peut atteindre 20 millions d'euros si nécessaire.

Le règlement européen marque une nouvelle étape dans la régulation concernant la protection des données personnelles. Il ne fait que confirmer une tendance que nous avions déjà anticipée en termes de changement de métier depuis quatre ans : de plus en plus, notre rôle est d'accompagner la mise en conformité des acteurs publics et privés. Son entrée en vigueur aura aussi des conséquences juridiques et, en tant que législateurs, vous allez être amenés à réécrire la loi informatique et libertés de 1978. Il faudra notamment abroger des mesures reprises dans le règlement et créer de nouvelles procédures pour permettre l'émission et le prononcé de sanctions conjointes. Actuellement, la CNIL et les autres autorités nationales coopèrent entre elles mais elles ne prononcent pas de sanctions communes, elles ne prennent pas de décisions conjointes s'appliquant à plusieurs pays européens. Après l'entrée en vigueur du règlement européen, nous aurons la possibilité de prononcer des sanctions conjointes pour des sujets transfrontaliers. Le toilettage de la loi informatique et libertés devra aussi permettre l'existence de régimes dérogatoires pour le secteur régalien, la santé et les traitements journalistiques.

Conformément à ce que la loi pour une République numérique a prévu, un rapport vous sera remis par le Gouvernement en juin 2017, afin de préparer ce toilettage de la loi informatique et libertés sur lequel nous travaillons d'ores et déjà dans le cadre d'un groupe de travail commun avec la chancellerie. Un travail juridique considérable doit être effectué d'ici à mai 2018, afin que la France et la CNIL soient en état d'appliquer le nouveau règlement.

Troisième point : au gré des différentes lois, les missions de la CNIL se sont étendues pour embrasser l'articulation qui existe entre la protection des données personnelles et d'autres libertés fondamentales.

La loi du 13 novembre 2014 prévoit l'intervention d'une personnalité qualifiée, désignée par la CNIL, pour assurer le contrôle du blocage des sites. En l'occurrence, il s'agit du magistrat Alexandre Linden qui a déjà produit un rapport annuel que je pourrais vous faire parvenir.

Quant à la loi du 7 octobre 2016 pour une République numérique, elle a confié à la CNIL la responsabilité de définir les méthodologies d'anonymisation des données, c'est-à-dire ce qui détermine le périmètre de l'open data. Avec des experts techniques et d'autres équipes de recherche, la CNIL travaille déjà à la définition desdites méthodologies d'anonymisation. La loi pour une République numérique a aussi confié à la CNIL la responsabilité de conduire la réflexion éthique liée au développement de la société numérique. Nous nous sommes beaucoup interrogés sur la manière dont nous allions remplir cette nouvelle mission. La CNIL ne va pas, à elle seule, émettre des avis éthiques sur l'ensemble des problématiques numériques. Ce serait à la fois présomptueux et irréaliste : la CNIL ne peut pas avoir le monopole de l'éthique. Elle se voit plutôt comme une sorte d'organisateur et de greffier du débat éthique et de toutes ses composantes : sur un sujet déterminé, nous allons définir les éléments du débat et donner à tous ceux qui veulent s'exprimer la possibilité de le faire. C'est ainsi que nous voyons cette mission éthique que nous lancerons probablement au début de l'année prochaine.

Quatrième point : les relations anciennes et très fécondes que la CNIL entretient avec le Parlement en général et avec la commission des Lois de l'Assemblée nationale en particulier. Toute l'histoire de la CNIL, la plus ancienne des AAI françaises, montre sa proximité avec le Parlement dont sont issus quatre de nos membres. Nous émettons des avis sur des projets de loi ou de décret, et nous faisons en sorte de les rendre plus vite qu'auparavant. En 2015, le délai moyen de traitement de ces dossiers a été réduit de près de deux semaines : il était de quatre-vingt-trois jours calendaires contre quatre-vingt-seize en 2014. Nous nous efforçons de rendre de plus en plus rapidement des avis de plus en plus riches en substance. En revanche, nous estimons que la situation n'est pas vraiment satisfaisante en ce qui concerne les propositions de loi sur lesquelles nous ne sommes que ponctuellement saisis. Nos textes ne nous donnent pas la possibilité de nous en saisir de manière systématique alors que votre ordre du jour est constitué à plus de 60 % de débats sur des propositions de loi. Lors des débats sur la loi pour une République numérique, nous avons manifesté notre souhait d'être saisis sur les propositions de loi, mais notre voeu n'a pas été exaucé. C'est une occasion manquée. Le toilettage de la loi sur l'informatique et les libertés permettra peut-être de revenir sur le sujet.

Dans mon cinquième point, plus substantiel, je voudrais vous donner un éclairage sur nos sujets de réflexion.

Le premier sujet concerne l'équilibre entre la sécurité et les libertés, qui vous est extrêmement familier et qui est constamment retravaillé à la lumière des textes nouveaux et d'un environnement sur lequel pèse une très forte pression sécuritaire, nous en sommes conscients. Cette opposition ne peut pas être binaire. Si nous souhaitons rester au sein d'un État de droit, il faut faire intervenir un troisième terme : garanties. Nous analysons toutes les propositions ou avis qui nous sont demandés à l'aune de garanties nouvelles qui doivent nécessairement être apportées si ledit équilibre se déplace en faveur de la sécurité. Si de nouveaux moyens sont envisagés pour faire face au défi terroriste, ils doivent être assortis des garanties suffisantes pour que nous restions dans un État de droit. Nous ne sommes pas du tout opposés à l'objectif de sécurité qui est même au coeur des missions traditionnelles de la CNIL. Entre 80 et 90 % des recommandations que nous faisons, dans le cadre de contrôles ou de mises en demeure, font référence à la sécurité. Cet aspect ne nous est donc pas étranger mais, je le répète, le respect de l'état de droit suppose des garanties précises et effectives.

Deuxième sujet de réflexion : à travers les plaintes qui nous sont adressées et l'évolution du cadre juridique, nous sentons qu'est en train d'émerger un nouveau modèle de société où la place de l'individu n'est plus la même que par le passé. Pour ce qui concerne notamment ses données personnelles, l'individu revendique une plus grande capacité d'action, de maîtrise et d'expression. Cette revendication se traduit par ce fameux droit à la portabilité dont on a beaucoup parlé et qui a été anticipé par la ministre Axelle Lemaire, et aussi par la volonté de développer l'open data. Cette évolution sociétale profonde dépasse le seul champ de la protection des données individuelles.

Notre troisième sujet de réflexion concerne la souveraineté numérique qui serait inexistante à en croire les propos entendus ici ou là : « Nous sommes impuissants, nous sommes des colonies numériques, nous ne pouvons pas faire grand-chose. » Pour ma part, je ne crois pas du tout que cela soit le cas. Nous avons, à droit constant, des possibilités d'action réelles comme le prouve l'affaire Google. Nous pouvons obliger cette société à procéder à un déréférencement de portée mondiale et non pas seulement nationale ou européenne, en appliquant des textes qui sont déjà à notre disposition. Prestataire d'un service – même s'il est mondial – dans notre pays, cette société est soumise à notre droit national et elle doit donc répondre à la demande de déréférencement. À partir du moment où le déréférencement est accepté, il est nécessairement mondial tout comme le service.

Sur la base du droit existant, l'Europe peut donc affirmer une position claire qui emporte, le cas échéant, des effets extraterritoriaux. À partir de 2018, lors de l'entrée en vigueur du règlement, elle pourra faire valoir d'autres arguments. En effet, le règlement crée un nouveau critère d'application du droit européen, le ciblage, qui sera très utile pour affirmer une souveraineté numérique vis-à-vis des grands acteurs mondiaux. Même s'ils sont établis ailleurs, ceux-ci seront soumis au droit européen dès qu'ils cibleront un consommateur ou un citoyen européen. Ce critère du ciblage présente l'immense avantage de nous permettre de rapatrier une partie des discussions juridiques que nous avons actuellement avec ces grands acteurs internationaux. Nous protégeons nos ressortissants en appliquant le droit européen à ces grands acteurs internationaux.

Le débat sur la souveraineté numérique n'est certes pas sans objet compte tenu de la géographie actuelle : les données massivement collectées sur les citoyens européens sont traitées par des entreprises principalement étrangères, notamment américaines. Cependant, nous pouvons déjà faire respecter notre droit et nous en aurons encore davantage les moyens à l'avenir.

Pour conclure, je dirais que la CNIL est combative mais non belliqueuse. Il s'agit de faire respecter notre droit sur le territoire national au profit de nos concitoyens, et non pas d'entrer en guerre contre les uns et les autres. Je signale aussi que la CNIL remplit toutes ces missions avec des moyens relativement modestes : des effectifs qui représentent 195 postes équivalents temps plein (ETP) comme on dit dans le jargon administratif ; un budget de fonctionnement courant hors rémunérations s'élevant à moins de 5 millions d'euros.