Intervention de Isabelle Falque-Pierrotin

La CNIL n'est pas directement concernée par l'état d'urgence. En revanche, nous en avons observé les conséquences immédiates sur les saisines dont nous avons fait l'objet au titre du droit d'accès indirect : plus de 130 demandes de ce type sont directement liées à l'état d'urgence. Nous sommes sollicités par des personnes qui ont été arrêtées ou assignées à résidence, et qui se demandent si elles figurent dans un fichier de police.

Le sentiment d'impuissance de nos concitoyens est confirmé par la plupart des études. Il y a un effort pédagogique considérable à faire sur les droits de nos concitoyens par rapport aux fichiers et aux personnes qui traitent leurs données. La problématique de la propriété des données a été abandonnée car il s'agit de droit fondamental et non de patrimoine. En revanche, il faut que nos concitoyens se saisissent de leurs possibilités d'action et de leurs droits. Il faut donc entreprendre un important travail pédagogique et faire savoir qu'il existe un droit d'accès, un droit de rectification, un droit de déréférencement et un droit à l'oubli, afin que les uns et les autres puissent s'en saisir. Ce sentiment d'impuissance pourra alors diminuer.

La CNIL peut-elle être davantage sollicitée et saisie au sujet des propositions de loi ? Oui, nous l'avons demandé. Les avis peuvent-ils être, de ce fait, rendus publics ? Les avis sur les projets de loi sont déjà systématiquement rendus publics. Nous ne serions pas gênés qu'il en soit de même pour les avis que nous aurions à donner sur les propositions de loi.

Monsieur Molac, vous avez souhaité que je donne des exemples sur les garanties qui peuvent être envisagées pour que l'équilibre demeure conforme aux exigences d'un État de droit. C'est très exactement l'exercice que nous avons fait avec la loi relative au renseignement. Dans la première version du projet de loi, les nouvelles techniques de collecte – les sondes ; les IMSI-catchers, ces fausses antennes qui permettent d'intercepter des conversations téléphoniques ; les boîtes noires, etc. – étaient utilisées de façon moins spécifiée que dans le texte final. Nous avons insisté pour que ces techniques soient réservées à certaines finalités précises : la lutte contre le terrorisme et non pas tout type de lutte comme celle contre la criminalité organisée, par exemple. Nous avons insisté pour qu'il y ait une clause de rendez-vous dans la loi relative au renseignement. Nous avons insisté pour que les données collectées au moyen de ces nouvelles techniques aient une durée de conservation qui soit spécifiée. Ce sont des garanties très concrètes, prosaïques, que nous avons demandées pour resserrer les mailles d'un filet qui nous semblait un peu lâche.

Avons-nous les moyens d'une action crédible en tant qu'autorité nationale française par rapport à des acteurs internationaux ? Oui, il faut cesser de croire le contraire. Lorsque la CNIL s'exprime et demande des comptes à une entreprise internationale, elle parle en tant qu'autorité française mais aussi – et de plus en plus – au nom du marché européen, des 500 millions de citoyens européens qui sont aussi des consommateurs. Les autorités nationales européennes coordonnent de plus en plus leur action.

Nous avons vu la posture de nos interlocuteurs changer depuis trois ou quatre ans. Pour le premier dossier – qui concernait Google – nous étions cinq autorités à nous frotter à une coopération européenne assez inédite. Depuis, nous avons eu Facebook, Yahoo, WhatsApp, Microsoft. À l'évidence, nous sommes en train de gravir une courbe d'apprentissage en matière de coopération européenne. Les entreprises internationales l'ont bien compris, comme nous pouvons le constater à l'évolution de la page d'accueil des sites de certains grands acteurs : des informations sur les cookies ont été données progressivement depuis trois ou quatre ans. Le curseur se déplace. Nous n'avons pas gagné sur tout mais je pense que le respect des principes européens est beaucoup plus présent qu'il ne l'était il y a quatre ans. Vis-à-vis de ces grands acteurs, la réponse est de niveau européen.

Qu'en est-il des labels ? Première autorité de protection des données à se lancer dans cette voie, nous avons déjà délivré soixante-treize labels. Ce métier commence donc à s'enraciner au sein de notre autorité nationale et il va être systématisé au niveau européen puisque la possibilité de délivrer des labels est dans le règlement européen. Les autorités européennes conduisent une réflexion sur la labellisation et la certification. C'est une voie extrêmement intéressante qui tend à permettre aux acteurs économiques de se mettre en conformité, mais qui leur permet aussi d'utiliser la protection des données comme un argument concurrentiel. J'y crois beaucoup. Le droit c'est bien ; c'est encore mieux quand il s'inscrit dans une démarche des acteurs qui y trouvent un intérêt. Le label est clairement un outil qui permet aux acteurs économiques de valoriser la protection des données aux yeux de leurs clients. Cette contrainte administrative est aussi un levier d'amélioration de la qualité de leur relation avec leurs clients.

Le label coffre-fort numérique a eu du mal à démarrer. Il n'impose pas l'obligation de stocker les données en France, et il serait d'ailleurs difficile de trouver les fondements juridiques d'une telle contrainte, mais la personne doit être informée du lieu de stockage de ses données. Faut-il imposer le stockage en France ou en Europe ? La question a soulevé des débats. À la CNIL, nous pensons qu'il n'est pas dans le fonctionnement naturel du numérique et de l'internet d'obliger à un stockage des données à un endroit ou un autre. Tout l'intérêt du numérique est que les données circulent. En revanche, on peut tout à fait imaginer qu'une offre de service propose un stockage en France ou en Europe de certaines données comme celles qui font l'objet d'un traitement public ou qui concernent la santé. Nous voyons se développer des offres de cette nature. C'est une possibilité, pas une obligation légale. Comme la loi pour la République numérique, le règlement européen n'a pas prévu ce genre d'obligation de stockage.

Monsieur le président, vous avez posé une question absolument fondamentale concernant le calendrier des travaux : le règlement doit être pleinement opérationnel en mai 2018. La procédure de sanction, actuellement fixée dans la loi informatique et libertés, doit être profondément revue à l'aune du règlement européen. Elle doit donc être ajustée avant mai 2018 pour que nous puissions, dès le 1er juin 2018, prendre des sanctions communes avec nos homologues européennes. Si l'une des autorités nationales européennes n'est pas prête au 1er juin 2018, le dispositif commun de sanctions ne pourra pas fonctionner. Voilà un exemple qui vous montre qu'on ne peut absolument pas manquer ce rendez-vous calendaire.

Comment allons-nous y arriver, 2017 étant une année un peu charnière pour des tas de raisons ? La chancellerie a dans l'idée que le texte de toilettage de la loi CNIL doit être prêt pour mai 2017, de manière à ce que les nouveaux élus puissent lancer le processus législatif dès leur arrivée. Si mission d'information il y a, elle devra terminer ses travaux en juin 2017 au plus tard. Il serait très utile pour nous d'avoir le rapport d'une mission de ce type en juin 2017.