Intervention de Isabelle Falque-Pierrotin

Avant d'en venir à ce point, permettez-moi de brosser ce qu'a été l'évolution de l'environnement et du métier de la CNIL.

Nous vivons aujourd'hui, dans tous les compartiments de notre existence quotidienne, les effets d'une explosion des données ; les industries se dématérialisent, les objets communiquent entre eux... Notre univers ambiant est de plus en plus, surtout depuis quatre ou cinq ans, un univers numérique, où tout est connecté et nous oscillons entre le monde physique et le monde virtuel, passant presque insensiblement de l'un à l'autre et consommant des services dans l'un et l'autre.

Cette mutation change considérablement la donne pour la CNIL qui, créée pour encadrer la création et l'utilisation de grands fichiers publics, est mal armée pour piloter un écosystème aussi complexe que celui des données. Elle se traduit par une sollicitation sans précédent de notre institution, confrontée chaque année à une augmentation d'environ 20 % des plaintes et des demandes d'avis ou de conseils qui lui sont adressées.

À cela s'ajoute, depuis 2011, l'attribution de nouvelles missions : le contrôle de la vidéoprotection – il nous faut veiller à ce que les 900 000 caméras qui couvrent le territoire soient utilisées dans des conditions respectueuses des droits individuels –, le traitement des failles de sécurité notifiées par les opérateurs en application du « paquet Télécom », et, tout récemment, l'octroi de labels.

Le premier défi pour la CNIL consiste à « digérer » cette augmentation du flux de sollicitations.

Le deuxième, d'ordre qualitatif, consiste à adapter notre métier à l'explosion des mouvements de données. Le pilotage ne pouvant passer uniquement par la sanction même si celle-ci reste une arme de dissuasion indispensable, nous devons travailler avec les acteurs eux-mêmes, qu'ils soient publics ou privés, pour les aider à intégrer les principes « informatique et libertés » dans leur offre de services et dans leur pratique professionnelle. Cela implique pour la CNIL, qui était très marquée par une culture administrative, de passer pour ainsi dire à une autre culture, ce qui est appelé à l'occuper beaucoup dans les mois et les années à venir ; cela implique en effet de changer la physionomie et le fonctionnement de l'institution.

D'autre part, les données ayant une valeur économique considérable, tous les pays de la planète sont en concurrence pour élaborer le cadre normatif le plus propre à attirer sur leur territoire les grandes bases de données. Par conséquent, toutes nos réflexions relatives à la protection des données personnelles, tant au niveau national qu'européen, doivent désormais être appréciées à cette aune.

La directive européenne de 1995 est le texte fondateur en matière de protection des données personnelles, mais elle a été élaborée à un moment où Internet, les réseaux sociaux et, plus globalement, les données n'existaient pas. Il est donc temps de la revoir. La commissaire Viviane Reding a présenté en janvier de cette année, en même temps qu'une proposition de directive relative aux données intéressant la police et la justice, un projet de règlement visant à moderniser le cadre juridique européen tout en préservant, selon elle, un haut niveau de protection.

Ce projet est intéressant à certains égards, notamment en ce qu'il reconnaît aux individus un certain nombre de droits nouveaux – droit à l'oubli, à la portabilité –, demande aux acteurs de se conformer dans leur fonctionnement aux principes « informatique et libertés » et vise à porter toutes les autorités de régulation européennes au même niveau, ce qu'on ne peut qu'approuver : les autorités chypriote et même irlandaise, par exemple, sont loin de disposer des pouvoirs, des ressources et de l'expertise de la CNIL, probablement l'une des autorités les plus puissantes d'Europe.

Ce texte présente néanmoins une grande faiblesse, qui tient à ses dispositions relatives à la gouvernance des autorités de régulation et, plus précisément à l'introduction de la notion d'établissement principal, qui certes existe déjà en droit européen, en matière fiscale et dans d'autres domaines du marché intérieur, mais qui serait ainsi appliquée pour la première fois à la protection des libertés individuelles. Dès lors, quand des données font l'objet d'un traitement à l'échelle de plusieurs pays de l'Union, l'autorité nationale du pays où est implanté l'établissement principal de l'entreprise responsable de ce traitement serait seule compétente pour contrôler celle-ci. Il en résulte concrètement qu'un citoyen français ayant à se plaindre d'un traitement des données réalisé en France par une entreprise dont l'établissement principal est situé en Irlande, devra s'adresser à l'autorité de régulation irlandaise, seule compétente en l'espèce ; la CNIL sera alors réduite à un rôle de boîte aux lettres, de relais. On voit bien que cela posera problème tant pour le citoyen que pour les autorités de régulation et pour les entreprises.

Pour le citoyen : s'il conteste la décision prise à son égard, il devra soit saisir l'autorité étrangère ou le juge étranger, soit demander à son autorité nationale de saisir son homologue étranger. Autrement dit, les autorités de régulation devront s'attaquer les unes les autres, ce qui est peu satisfaisant, vous en conviendrez, dans un domaine touchant aux libertés fondamentales.

Pour les autorités elles-mêmes : le risque est grand de voir le travail de régulation se concentrer entre les mains de quelques-unes d'entre elles, désignées comme autorités principales, – celles d'Irlande, de Grande-Bretagne, de Chypre, de Malte et, peut-être, des Pays-Bas –, d'autant que les organismes de traitement pourraient être incités à localiser leur établissement principal là où ces autorités se montreraient les plus compréhensives. Nous pourrions bien alors assister à des phénomènes de dumping, les pays les moins disants l'emportant sur les autres à un moment où, face à la concurrence internationale, l'Europe doit au contraire resserrer ses rangs.

Pour les entreprises : si Mme Reding considère que ce projet leur est favorable dans la mesure où il devrait leur simplifier la tâche, ne bénéficieront en réalité de cette simplification que celles dont la gouvernance est centralisée, et nullement les autres, qui souhaitent que chacune de leurs filiales nationales reste responsable des traitements réalisés localement.

S'il comporte quelques avancées et si la notion d'établissement principal peut être séduisante sur le papier, ce projet de règlement propose donc une gouvernance trop centralisée, au bénéfice d'un petit nombre d'autorités de régulation – probablement les plus souples –, mais aussi au profit de l'organe qui succédera au G29 et de la Commission européenne, à qui elle renvoie toute une série de décisions alors que ces questions pourraient être réglées par la coopération entre autorités de régulation nationales. Cette gouvernance est de surcroît inadaptée à la spécificité de notre matière, qui est en relation étroite aussi bien avec des critères nationaux qu'avec le droit pénal et le droit de la santé de chaque pays.

Nous avons dès le début fait part à Viviane Reding de notre réticence à l'égard du dispositif proposé – réticence partagée par l'Assemblée nationale et par le Sénat, comme en témoignent deux résolutions européennes votées par les assemblées. La discussion parlementaire au plan européen va maintenant s'engager, mais elle sera prise dans un calendrier assez resserré puisque l'objectif est de parvenir à l'adoption d'un texte définitif en 2014. Il importe donc d'avancer rapidement des contre-propositions et c'est pourquoi nous avons suggéré quelques amendements aux rapporteurs des commissions concernées.

Si la finance, par exemple, n'intéresse que les professionnels, la protection des données concerne la vie quotidienne de chacun d'entre nous. D'autre part, le monde entier observe ce que va faire l'Europe sur ce sujet éminemment symbolique. Le dispositif de gouvernance qu'arrêtera l'Union doit, par conséquent, à la fois être crédible pour les particuliers et donner à notre continent un atout supplémentaire dans la compétition internationale. Les pays européens ne doivent pas s'épuiser dans une concurrence intracommunautaire, mais au contraire valoriser un haut niveau de protection des données qui amène à s'établir en Europe nombre d'entreprises, sûres d'y trouver un cadre juridique propice et stable. Tout ce que nous pourrons faire ensemble pour améliorer ce projet de règlement sera donc extrêmement positif.

La CNIL se préoccupe depuis de nombreuses années de la question des fichiers de police, question à laquelle nos concitoyens sont aussi de plus en plus sensibles, depuis l'affaire du fichier Edvige ou l'affaire Merah.

Ces fichiers peuvent être divisés en plusieurs catégories.

Il y a d'abord les fichiers d'antécédents judiciaires, qui atteignent des dimensions considérables : ainsi le STIC – le Système de traitement des infractions constatées – concerne 6,5 millions de personnes. Ces fichiers ont fait l'objet de nombreuses critiques. On leur reproche de ne pas être à jour, d'avoir une finalité judiciaire mais également administrative – les entreprises et les administrations le consultent avant de recruter et ce sont ainsi 1,5 million d'emplois qui en dépendraient. De fait, la CNIL dénonce régulièrement le manque de pertinence d'un certain nombre d'éléments enregistrés dans le fichier STIC et les incidences négatives qu'a sa consultation sur l'accès à l'emploi d'un grand nombre de personnes.

Grâce à la seconde loi d'orientation et de programmation pour la sécurité intérieure, dite LOPPSI 2, nous avons enregistré de réels progrès : l'actualisation des données sera facilitée, nous disposerons d'un magistrat référent et, pour ce qui est de la consultation des fichiers à des fins d'enquête administrative, les classements sans suite ne seront plus opposables. Les fichiers STIC et JUDEX seront en outre fusionnés en 2014 au sein d'un fichier TAJ – traitement d'antécédents judiciaires –, dépendant du ministère de l'Intérieur et qui sera interconnecté avec le fichier Cassiopée du ministère de la Justice, de sorte que l'actualisation que nous appelions de nos voeux se fera automatiquement.

Cependant, ces progrès sont encore un peu en devenir et, en attendant, nous nous préoccupons d'améliorer autant que possible l'existant. D'où quelques propositions.

Tout d'abord, nous avons du mal à apprécier la façon dont s'articuleront les fonctions du magistrat référent compétent pour les fichiers d'antécédents judiciaires et de rapprochement judiciaire, qui vient d'être nommé, avec nos propres compétences de contrôle, notamment s'agissant du droit d'accès indirect. Nous sommes convenus avec Mme Taubira et M. Valls de nous réunir afin de préciser les attributions de chacun.

Deuxièmement, dès les prochains jours, la CNIL contrôlera à nouveau le STIC. Nous prévoyons dix contrôles sur place et trente-quatre sur pièces : nous ne nous limiterons pas, en effet, au fichier lui-même et à ce qui relève du ministère de l'Intérieur, mais nous étendrons notre attention à l'environnement de ce fichier et à sa mise à jour par les procureurs, afin de nous assurer de la pertinence des enregistrements. Nous disposerons des conclusions de l'opération au début de l'an prochain, ce qui nous permettra éventuellement d'avancer des propositions complémentaires.

Troisièmement, nous nous demandons s'il ne serait pas temps de faire évoluer le cadre juridique en fixant des durées de conservation des données différentes pour la consultation à des fins judiciaires et pour la consultation en vue d'une enquête administrative.

Les durées de conservation des infractions dans le fichier STIC sont actuellement de quarante ans aussi bien pour un génocide que pour l'accès frauduleux à des systèmes de traitement, qui n'est pourtant passible que de deux ans de prison ; de dix ans pour l'utilisation de stupéfiants par un mineur, de vingt ans s'il s'agit d'un majeur, et cela quelle que soit la quantité détenue ; de vingt ans également pour bizutage, pour vol – quelle qu'en soit encore la gravité – ou pour mendicité agressive !

Pour certaines de ces infractions, ces durées sont beaucoup trop longues. Si elles peuvent à la rigueur se justifier pour la conservation à finalité judiciaire, elles peuvent en tout cas se révéler extrêmement préjudiciables aux personnes qui cherchent un emploi d'agent de sécurité dans un immeuble ou de gardien de parking, par exemple. Nous réfléchissons donc à une scission en fonction des deux finalités et les enseignements que nous tirerons de notre contrôle du STIC ainsi que les consultations que nous organisons ici ou là nous amèneront probablement à prendre position au début de l'année 2013.

En ce qui concerne les autres fichiers de police, nous continuons notre croisade, qui est aussi la vôtre, tendant à faire progressivement reconnaître et légaliser tous ces fichiers par le ministère de l'Intérieur. Celui-ci fait preuve d'une bonne volonté certaine en la matière : nous sommes régulièrement saisis d'actes réglementaires uniques pour certains de ces fichiers, et d'actes-cadres pour des fichiers simplement opérationnels ou constitués localement. Nous entendons néanmoins rester vigilants.

Dernière catégorie : les fichiers de souveraineté. Les enjeux de sécurité nationale et l'intérêt de la puissance publique justifient dans leur cas un régime juridique très particulier et les conditions de leur création, de leur publication et de leur contrôle font l'objet d'aménagements substantiels. La plupart d'entre eux ne sont pas contrôlés par la CNIL et leur création, soumise à une formalité simplifiée, ne fait pas l'objet d'une publication. Cependant, pèse sur ces fichiers une suspicion généralisée, ce qui n'est pas une bonne chose, et j'ai suggéré à M. Valls de faire entrer – de façon forcément limitée – ces fichiers dans le champ du droit commun et de les soumettre à un contrôle de la CNIL. Actuellement, personne ne les contrôle. Dans un État démocratique comme la France, il serait légitime qu'une autorité de régulation le fasse, dans des conditions qu'il convient bien évidemment d'étudier – peut-être en confiant l'exclusivité des résultats de ces contrôles au ministère de l'Intérieur et en soumettant les agents contrôleurs à une habilitation particulière.

La CNIL n'a pas pour vocation d'empêcher de faire, mais bien plutôt d'accompagner l'action de l'administration et des acteurs économiques en sorte que celle-ci soit menée dans le respect des principes « informatique et libertés ». C'est dans le cadre de cette démarche d'accompagnement de l'innovation que nous traitons avec les grands acteurs internationaux que sont Google et Facebook.

Facebook a fait l'objet d'un audit de plusieurs mois, conduit par l'autorité de régulation irlandaise, chef de file pour le compte de toutes les autorités du G29, sur les conditions de service proposées par le réseau. Un premier rapport nous a été transmis il y a près d'un an. Il ne nous satisfaisait pas entièrement, n'étant pas suffisamment exigeant vis-à-vis de Facebook – dont le siège, je le précise, est situé en Irlande. Nous avons été un certain nombre d'autorités à demander une étude complémentaire. L'autorité irlandaise nous a livré récemment ses conclusions définitives, qui nous conviennent en dépit de quelques réserves. Ce résultat montre l'efficacité de la coopération entre autorités de régulation.

J'en donnerai pour exemple le cas de la reconnaissance faciale. Jusqu'en juillet dernier, Facebook constituait par défaut, sans leur avoir demandé leur accord préalable, le profil photographique de tous ses clients. Depuis plusieurs mois, nous insistions auprès des responsables de la société pour qu'ils demandent le consentement de ceux-ci. Il faut savoir qu'une image biométrique est forcément intrusive et que la base de données que constituent les profils des 25 millions de Français qui ont ouvert un compte Facebook – et que dire de la base mondiale ! – peut être utilisée à des fins bien diverses. En juillet, ces responsables ont accepté d'instaurer le non-paramétrage par défaut – désormais, le détenteur d'un compte doit consentir expressément à ce que Facebook établisse son profil biométrique.

La coopération entre autorités de régulation nous permet donc d'opposer aux acteurs internationaux un front uni pour les pousser à modifier leurs pratiques. Certes, ils ne manquent pas d'arguments – d'ailleurs, la première réponse de Facebook fut de nous rappeler que, n'étant pas localisée en Europe, leur société n'était pas soumise à la législation européenne. En tant qu'autorités de contrôle, nous avons avec ces acteurs un rapport de force permanent, à la fois juridique, sociologique et médiatique, que seule la coopération européenne peut faire tourner au profit de l'usager.

En ce qui concerne Google, c'est la CNIL qui a été mandatée par l'ensemble des autorités européennes pour expertiser la nouvelle politique de protection de la vie privée annoncée par cette société en mars dernier. Cette protection, qui s'applique à soixante des services qu'elle propose, serait selon ses dires plus simple et donc compréhensible pour tous. Avec un certain nombre d'autorités européennes, nous avons constaté qu'elle permettait surtout de procéder entre lesdits services à des échanges de données qui ne sont pas maîtrisés par les clients : par exemple d'afficher une publicité sur Youtube en fonction de l'utilisation faite par l'usager de son téléphone portable, Android étant également un produit Google.

La CNIL, pour le compte du G29, a adressé un questionnaire très précis à Google lui demandant de spécifier quel type d'informations était donné au client et quelle utilisation était faite des données pour quels types de services. Une première salve de réponses ne nous ayant pas parue satisfaisante, nous avons envoyé un deuxième questionnaire, auquel la firme a répondu en juillet dernier. En coopération avec l'ensemble des autorités, nous avons élaboré début septembre un projet de conclusions qui vient d'être adopté par le G29 et sera présenté à la presse le 16 octobre.

Ces conclusions montrent que la situation n'est pas totalement satisfaisante, au moins sur deux points. Tout d'abord, l'information des internautes est trop sommaire : ils ne savent pas, lorsqu'ils utilisent un service, quelles données celui-ci utilise et comment il fonctionne. D'autre part, les échanges de données manquent de base légale lorsqu'ils s'effectuent entre des services qui ne les exigent pas : s'il est admis qu'il peut y avoir communication entre votre téléphone portable et votre carnet d'adresses pour puiser dans celui-ci la date de naissance de vos amis afin de vous permettre de leur souhaiter leur anniversaire comme vous l'avez demandé, un service qui relie Youtube et votre téléphone portable nécessite en revanche un consentement. Or Google n'a pas répondu aux questions concernant un certain nombre de ces services pour lesquels la base légale manque de clarté.

Il est intéressant de noter que, dans cette affaire, d'autres autorités dans le monde se sont jointes au G29 : les Australiens et les Canadiens, qui partagent nos préoccupations, nous ont fait part de leur souhait de signer le courrier adressé à Google. La communauté des régulateurs est en train de se constituer pour offrir aux populations une réponse mondialisée face aux acteurs économiques de dimension internationale !

Quoi qu'il en soit, la discussion n'est donc pas close et Google va sans doute opposer à nos conclusions des arguments juridiques, par exemple sur la compétence. Il n'empêche que la pression des régulateurs et de l'opinion publique est extrêmement efficace pour faire évoluer les pratiques de ces acteurs.

Enfin, je pense que des modifications de la loi « Informatique et libertés » pourraient être envisagées pour aider la CNIL à mieux fonctionner et à mieux s'adapter à l'univers numérique tel qu'il est aujourd'hui.

En premier lieu, si notre commission est consultée sur les projets de loi, elle n'est pas compétente pour donner un avis sur les propositions de loi, sur les amendements ou même sur les projets de loi ayant fait l'objet de modifications substantielles après sa consultation. Cela l'a parfois conduite à s'autosaisir, par exemple à propos de la carte d'identité électronique ou sur la LOPPSI. Ne pourrait-elle être saisie pour avis par les présidents de l'Assemblée nationale et du Sénat, comme peuvent l'être le Conseil d'État et le Conseil économique, social et environnemental (CESE) ? Nous sommes en effet particulièrement désireux de mettre notre expertise juridique et technique à votre disposition dans un cadre plus officiel que celui des auditions auxquelles nous sommes régulièrement conviés.

Une deuxième proposition concerne les expérimentations. On reproche souvent à la CNIL d'être trop lente. Certains d'entre vous ont, je crois, souhaité qu'elle puisse être saisie d'expérimentations. Il faut en effet s'adapter à la nouvelle manière de travailler des administrations. Il serait bon que la CNIL puisse être saisie rapidement de projets qui ne sont pas totalement finalisés, mais sur lesquels elle a un avis à rendre. Nous pourrions expérimenter cette possibilité, par exemple à propos des fichiers de police. Cela nécessiterait de donner à notre bureau la capacité de statuer sur ces expérimentations.

Je ferai une troisième proposition, relative à notre activité de contrôle, qui s'est considérablement développée. Nous avons procédé à plus de 350 contrôles cette année. Certains sont très lourds – ils nécessitent par exemple d'aller sur place – et coûteux. En outre, nous exerçons depuis 2011 une nouvelle mission : destinataires de la notification des failles de sécurité imposée aux opérateurs de télécommunications, nous devons, dans ces cas, diligenter un contrôle sur place. Or les « veilleurs » qui existent sur Internet nous signalent déjà toute une série de ces failles. Pourquoi ne pas ouvrir à la CNIL la possibilité d'exercer un contrôle de système à distance, ce qu'elle ne peut faire aujourd'hui sans tomber sous le coup de la loi Godfrain ? Exercer un tel contrôle à propos d'une faille de sécurité qui nous a été dénoncée est en effet considéré comme une intrusion dans un système informatique et réprimé comme tel par cette loi. Ne serait-il pas intéressant, ainsi que cela a été fait pour les services de lutte contre la pédo-pornographie, d'ouvrir à la CNIL une possibilité – très encadrée – de contrôle à distance, avec la faculté pour les agents concernés d'utiliser une identité d'emprunt ?