Intervention de Isabelle Falque-Pierrotin

Les questions de Luc Belot me permettent de traiter du rapprochement entre la CNIL et la CADA, qui n'a pas attendu la publication de la loi pour une République numérique pour se manifester : il y a déjà longtemps que nous travaillons ensemble. CNIL et CADA sont d'ailleurs très souvent saisies de façon concomitante sur les mêmes sujets par les mêmes plaignants. Nous avons une convention commune pour articuler nos interventions respectives.

La loi pour une République numérique nous offre désormais un cadre pour travailler ensemble et progresser vers un rapprochement. Chacun peut siéger dans l'enceinte de l'autre : la CNIL avait déjà deux représentants au sein de la CADA ; grâce au nouveau texte, le président de la CADA – ou son représentant – va entrer à la CNIL. Nous avons la possibilité de regrouper les deux collèges, une ou deux fois par an, pour travailler sur des sujets d'intérêt commun.

Nous avons aussi un chantier commun, celui de l'open data, qui concerne à l'évidence les deux régulateurs. Nous avons d'ores et déjà lancé un travail autour d'un pack de conformité de l'open data. Qu'est-ce qu'un pack de conformité ? C'est une sorte d'ombrelle, un code de conduite dans lequel nous recensons les bonnes pratiques, eu égard au droit positif, pour permettre de développer de l'open data respectueux de la protection des données personnelles.

Tous ces éléments vont nous permettre, de façon extrêmement pragmatique, de voir comment nous pouvons travailler ensemble et « nous apprivoiser » mutuellement. Ce que je dis là n'est pas une pure pétition de principe : les AAI étant très jalouses de leur autonomie, notamment quand elles sont petites, il est important que nous progressions pas à pas. D'ici à dix-huit mois, nous pourrons dresser un premier bilan et voir si nous pouvons approfondir le rapprochement des deux institutions.

Lionel Tardy m'interroge sur les moyens, une vraie question, étant donné les nouvelles missions qui nous ont été confiées depuis trois ans. La CNIL doit désormais notifier les failles de sécurité, une réalité de plus en plus prégnante. En outre, avec l'entrée en vigueur du règlement européen en 2018, cette obligation va s'étendre des opérateurs télécoms à tous ceux qui traitent de la donnée personnelle. La CNIL est chargée du blocage des sites, auquel huit de ses agents consacrent une partie de leur temps. J'ai mentionné la mission éthique. L'anonymisation fait partie d'une nouvelle mission reconnue à la CNIL.

Tout cela s'est fait à moyens constants même si, dans le cadre du budget triennal qui est négocié régulièrement avec les services du Premier ministre, nous avons obtenu des créations de postes. À ce stade, nous sommes au bout de ce que nous pouvons faire toutes choses égales par ailleurs.

Au cours de la période qui s'amorce, le régulateur va être encore plus sollicité et la dimension européenne de son activité va prendre beaucoup plus d'ampleurs. Il sera donc opportun de revoir les moyens qui lui sont alloués. Jusqu'à présent, nous avons pu faire avec ceux dont nous disposons. Si l'on veut rester professionnel et ne pas faire du bricolage en quelque sorte, il faudra ajuster les moyens de l'institution.

Quelles relations la CNIL entretient-elle avec le monde de la défense et de la sécurité, avec les différentes organisations publiques qui travaillent sur ces questions de cyberdéfense et de cybersécurité ? D'une façon générale, je suis tout à fait favorable à ce que j'appelle l'inter-régulation. Vis-à-vis de nos concitoyens et des acteurs économiques, il faut que les autorités publiques travaillent ensemble et coordonnent leurs interventions.

Nous nous sommes rapprochés de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui joue un rôle absolument déterminant dans la préservation de notre sécurité informatique et donc de notre sécurité nationale : nous avons des experts qui dialoguent et travaillent ensemble, des documents pédagogiques communs. Nous sommes également en dialogue constant avec le ministère de la Défense sur des sujets qui sont un peu plus éloignés des nôtres : la cyberdéfense n'est pas le quotidien de la CNIL mais il existe des intersections possibles. Dans la mesure du possible, nous faisons en sorte de travailler ensemble, à chaque fois que c'est nécessaire, sur ces sujets d'intérêt commun.

Le secrétaire général de la CNIL, Edouard Geffray, qui a suivi plus directement la question des drones, peut vous faire un point de la situation.