Intervention de Isabelle Falque-Pierrotin

Séance en hémicycle du 11 juin 2013 à 15h00
Débat sur internet et la protection des données personnelles — Table ronde

Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés :

Madame la présidente, mesdames, messieurs les députés, je vous remercie de me donner la possibilité d'intervenir devant vous.

Pour commencer, je rebondirai sur le propos de Mme Laurence Dumont. Nous sommes en effet en train de changer d'univers. Nous sommes face à une explosion des données personnelles et à une facilité sans cesse accrue de leur traitement. En outre, ces données ont aujourd'hui une valeur économique, ce qui est tout à fait nouveau. Ni la loi « Informatique et Libertés » de 1978 ni la directive européenne de 1995 sur la protection des données à caractère personnel n'avaient conçu la protection des données personnelles des individus par rapport à la valeur économique. Cette protection est d'abord une protection de l'individu vis-à-vis de l'État et des tiers ; ce n'est pas un droit économique, du moins pour le moment.

Or les données personnelles changent progressivement d'univers. Désormais, leur intérêt réside dans la capacité économique actuelle et future qu'elles révèlent. À titre d'exemple, la géolocalisation servait jusqu'à présent à savoir où se trouvait une personne. Aujourd'hui, cet outil a une portée différente : il est intéressant de savoir qu'un individu se trouve à tel endroit parce qu'on va pouvoir lui offrir des services autour de cette localisation – des services de marketing, des coupons à acheter ou des réductions alléchantes dans un magasin ou un restaurant situés à proximité de l'endroit où il se trouve. Progressivement, les données personnelles commencent à susciter l'intérêt non pas uniquement parce qu'elles révèlent une information sur un individu, mais aussi parce qu'elles dévoilent la capacité économique présente et future de cet individu.

La question est donc la suivante : notre cadre juridique – la loi de 1978, la directive européenne de 1995 en cours de révision – est-il adapté à cette évolution ?

Concernant le cadre juridique européen, un projet de règlement a été proposé par Mme Viviane Reding, commissaire chargée de la justice, voici un an. Les discussions sur ce projet se déroulent dans un climat d'intense concurrence internationale sur la question du cadre juridique des données personnelles. Dans toutes les régions du monde, on légifère et on essaie d'élaborer un cadre normatif qui soit le plus attractif possible pour l'économie numérique.

La négociation de ce projet de règlement a rencontré beaucoup de difficultés. Vous le savez peut-être, un Conseil européen s'est tenu il y a quelques jours sous présidence irlandaise et a conduit à mettre le holà aux négociations sur ce texte. Tout cela n'est probablement pas sans lien avec le lobbying extrêmement virulent qui s'est exercé ces derniers mois auprès du Conseil européen, du Parlement européen et de la Commission européenne.

Malgré toutes ces difficultés, les Français, comme les Européens, ont intérêt à ce que ce texte aboutisse, et ce pour trois raisons au moins.

La première raison est opérationnelle : nous avons un système juridique qui date de 1995, donc d'une époque à laquelle Internet n'existait pas et la coopération opérationnelle entre les autorités était beaucoup moins nécessaire que maintenant. Nous avons impérativement besoin d'un cadre juridique des données personnelles qui corresponde à l'ère numérique.

La seconde raison est d'ordre symbolique : le sujet est majeur pour nos concitoyens. Nous, Européens, sommes très avancés sur la question. Si aucun texte n'est adopté, nous serons impuissants vis-à-vis de la concurrence internationale, vis-à-vis des Asiatiques et des Américains.

La troisième raison pour laquelle il faut que nous aboutissions à un texte est diplomatique. Avant que les négociations sur l'accord de libre-échange entre l'Europe et les États-Unis ne s'engagent véritablement, l'Union doit se mettre en ordre de marche sur la question de la protection des données personnelles, dans la mesure où celle-ci est très importante sur le plan commercial et où les intérêts d'acteurs économiques américains sont directement concernés. Il me semble donc très important de parvenir in fine, malgré les difficultés inhérentes à cet exercice, à un texte commun.

S'agissant du projet de règlement relatif à la protection des données personnelles, je voudrais appeler votre attention sur trois points. Le premier, que M. Jean-Marc Manach évoquera sans doute plus longuement, est celui du profilage et du consentement

Comme je l'ai dit en introduction, le profilage est au coeur de l'économie numérique et les données personnelles sont de plus en plus utilisées pour offrir des services toujours plus personnalisés, fixer un prix, innover dans l'offre. D'évidence, le profilage est bien différent de ce que nous connaissions jusqu'alors, les bases clients : il est permanent ; il peut être alimenté par des données publiques – auxquelles le responsable du traitement a accès sans que chacun en soit forcément conscient – et par des informations personnelles récupérées sur Internet ; enfin, il est largement ignoré des personnes concernées. La CNIL est donc très vigilante sur cette question.

Les discussions sur le projet de règlement ont achoppé sur la question du consentement. Cela tient en partie à la rédaction quelque peu compliquée de l'article 20, qui laisse à penser que le consentement serait la seule base légale possible du profilage. Les entreprises, qui craignent de devoir demander le consentement de l'internaute à chaque fois qu'elles mènent une action de profilage – lequel est de plus en plus au coeur de la vente – ont fait beaucoup de lobbying contre le consentement. Par réaction, les gouvernements ont renchéri en souhaitant le renforcer.

En réalité, la rédaction de l'article 20 est beaucoup plus fine, car elle autorise plusieurs bases légales : le consentement, le contrat et la loi – ce qui d'ailleurs existait jusqu'alors. Si c'est le consentement qui est la base du traitement des données, s'il le légitime, alors il ne peut être présumé. Il doit être clairement exprimé. Doit-il être « explicite » ou « non ambigu » ? Il ne s'agit pas de se battre sur les mots. La personne concernée doit manifester sa volonté de façon claire et précise.

En France, nous connaissons déjà cela avec l'opt-in, obligatoire pour le dépôt de cookies. La CNIL travaille avec les professionnels de la publicité depuis plusieurs mois pour essayer de bâtir des conditions réalistes d'opt-in. Le consentement est bien sûr nécessaire, mais le demander à tout moment, de façon systématique, « empêcherait » une navigation normale. Il est possible de concevoir des conditions qui rendent explicite le consentement et qui, pour autant, restent réalistes.

Afin de pouvoir suivre la réalité très changeante du profilage, la CNIL a demandé à être dotée d'une capacité de contrôle en ligne. Aujourd'hui, nous contrôlons sur pièces et sur place, ce qui suppose d'envoyer des équipes observer la façon dont les traitements sont opérés et saisir, le cas échéant, des matériels informatiques. Nous pourrions agir à distance en nous rendant simplement sur les sites pour analyser la façon dont ils fonctionnent, dont les cookies sont déposés ou non, et vérifier si le consentement de l'internaute, et quel type de consentement, est demandé. Plusieurs amendements visant à doter la CNIL de cette capacité de contrôle en ligne seront déposés par François Brottes au projet de loi sur la consommation.

Le deuxième point concerne la gouvernance. Ce terme obscur désigne la façon dont les autorités de protection des données peuvent coopérer sur des sujets qui intéressent plusieurs pays européens – je pense notamment aux affaires Facebook et Google.

Notre contre-proposition à la proposition initiale de Viviane Reding a été relayée au niveau du G29. Il s'agirait de mettre en place un système de gouvernance beaucoup moins centralisé, dans lequel l'autorité nationale resterait compétente dès lors que les citoyens du pays seraient ciblés, mais avec une obligation de coopération beaucoup plus forte. Cette proposition a recueilli l'accord du rapporteur Jan Philipp Albrecht et quasiment celui de Viviane Reding. Reste à obtenir celui du Conseil européen.

Peut-être pourriez-vous demander à Mme Pellerin quelle sera la position du gouvernement français sur cette question ? Il serait bon que la France reprenne cette proposition après avoir été en pointe lors du dernier Conseil « Justice et affaires intérieures » sur le projet de règlement. Nous pourrions ainsi porter une vision très innovante de la gouvernance européenne entre autorités de protection des données.

Le troisième point concerne le périmètre du projet de règlement. Comme je l'ai dit, le lobbying sur ce texte a été intense. L'un des leviers utilisés était de dire que certaines données ne sont pas des données personnelles et qu'elles peuvent, de ce fait, échapper à la protection et aux droits qui leur sont attachés. Avec la « pseudonymisation », procédé qui consiste à « dégrader » la qualité de donnée personnelle – l'anonymisation consistant, elle, à supprimer tout lien entre la donnée et l'individu –, la donnée, devenue moins personnelle, nécessiterait moins de protection et l'individu concerné perdrait certains de ses droits la concernant.

Cette tendance, qui pourrait facilement aboutir à détricoter la protection, nous paraît extrêmement dangereuse. Un certain nombre d'acteurs sont intéressés non par la dimension personnelle de la donnée – peu leur importe qu'elle concerne M. X ou Mme Y –, mais par son pouvoir économique. Ils estiment donc que la protection n'a pas besoin d'être aussi importante, d'où leur intérêt à ce que la notion de pseudonymisation émerge dans le champ du règlement.

Il faut absolument résister à cette tendance dangereuse, en affirmant que la pseudonymisation peut certes être très utile – d'ailleurs, les autorités l'ont encouragée au nom de la liberté d'expression –, mais à condition qu'elle ne modifie pas la nature juridique de la donnée qui, au regard de notre loi, est personnelle de façon directe ou indirecte. Statuer sur l'intensité de la personnalisation risquerait de fragiliser la protection. Le G29 a exprimé une position très négative quant à l'introduction de la notion de donnée pseudonymisée dans le texte, afin de maintenir, à juste titre, sa cohérence conceptuelle et opérationnelle.

Je n'évoque que ces trois points parmi tant d'autres. Le projet de règlement, ainsi que vous le diront la ministre et les autres intervenants, est un objet très complexe.

Je voudrais aussi appeler votre attention sur l'éducation des individus au numérique, qui constitue bien évidemment le premier niveau de la protection et de la maîtrise des données personnelles. C'est seulement si nous sommes tous conscients de l'écosystème numérique et si nous en connaissons les outils que nous pourrons le maîtriser. C'est pourquoi la CNIL, qui travaille depuis quelques années sur cette question, a souhaité « passer à l'échelle », en demandant à ce que l'éducation au numérique soit reconnue comme grande cause nationale.

Ce dispositif, qui date de 1997, permet de bénéficier d'une plus grande exposition médiatique, notamment télévisuelle, et d'accéder à des financements plus importants. Les pouvoirs publics, les acteurs économiques qui participent à la construction du numérique et les acteurs de la société civile – entreprises, associations de consommateurs, associations de parents – doivent faire ensemble cet effort. Nous avons donc constitué un collectif, dont les dix-sept membres se réuniront pour la première fois au mois de juillet. Ceux d'entre vous qui souhaiteraient s'associer à cette initiative seront bien sûr les bienvenus. Pourquoi ne pas envisager un comité de soutien parlementaire ?

Enfin, le Gouvernement a annoncé pour 2014 un projet de loi dont le contenu n'est pas encore connu. Je suggère qu'il anticipe une avancée figurant dans le projet de règlement, celle du droit à la portabilité. Ce droit, dont il a été moins question que du droit à l'oubli, est économique. Il consiste en la capacité, pour une personne, de récupérer dans un format simple et interopérable l'ensemble des données numériques agrégées lors de la relation qu'elle a développée avec un vendeur ou avec un réseau social et à laquelle elle souhaite mettre fin.

Ce droit, qui figure dans le projet de règlement, fait écho à toute une série d'initiatives développées en Grande-Bretagne, aux États-Unis mais aussi en France, notamment à travers la FING – Fondation Internet Nouvelle Génération –, et qui s'inspirent de la notion de smart disclosure, l'idée étant que c'est l'individu qui récupère une partie du pouvoir économique que constitue la donnée.

Il pourrait être intéressant d'anticiper ce droit à la portabilité, de manière à introduire dans ce monde des données personnelles, très oligopolistique, une forme de concurrence, en donnant à l'individu la possibilité de négocier, mieux qu'il ne le fait aujourd'hui, ses données personnelles. C'est une suggestion que je fais à la ministre, dans la perspective du projet de loi de 2014.

Voilà, madame la présidente, ce que je pouvais dire, brièvement, sur le sujet.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion