Intervention de Isabelle Falque-Pierrotin

Le CSA et l'ARCEP sont des autorités de régulation d'opérateurs économiques qui sont connus et en nombre limité. Le métier de la CNIL est tout autre. Notre population cible est extrêmement hétérogène : collectivités locales, administration, grandes entreprises internationales, particuliers… En réalité, la CNIL régule une thématique ; et dans la mesure où celle-ci est horizontale, elle est difficilement soluble dans un « meccano » institutionnel du type CSA-ARCEP.

Il y a en effet des enjeux majeurs dans la régulation de l'énergie : quoi que l'on puisse en penser, ce secteur est appelé à utiliser de plus en plus les traitements de données et l'analyse de fichiers. La CNIL a donc son mot à dire. Doit-elle pour autant être représentée au collège de la CRE ? Nous ne l'avions en tout cas pas demandé. Il y a d'autres moyens d'associer étroitement ces deux autorités. On peut par exemple imaginer une consultation obligatoire sur les sujets ayant une incidence en matière de traitement des données. Nous pouvons faire des propositions, comme nous l'avons fait dans le cadre des auditions de cet été au Sénat et à l'Assemblée nationale. Bref, s'il est important que la dimension « informatique et libertés » soit pleinement prise en compte, la réponse institutionnelle peut être variable.

J'en viens au cloud et à l'extra-territorialité. Ce sujet majeur appelle au moins deux réponses. Pour ce qui est du cloud souverain, c'est-à-dire du cloud de l'administration ou des données publiques, il est impératif que les serveurs soient localisés en France ou en Europe. Je l'ai redit récemment aux responsables des différents projets de cloud français. Outre que c'est une garantie physique indispensable, c'est en effet la question du droit applicable qui est posée. C'est pourquoi le dispositif de Mme Reding ne nous convient pas. Nous lui avons demandé dans notre contre-proposition d'introduire un critère de résidence. Il y a aujourd'hui deux critères : la loi européenne s'applique s'il y a un établissement en Europe ou s'il y a des moyens de traitement, ce deuxième critère étant accessoire. Les grandes entreprises internationales arguent bien sûr toutes qu'elles n'ont pas d'établissement en Europe, ou bien qu'il n'y a pas de moyens de traitement, mais simplement des moyens commerciaux. Il est indispensable que nous puissions « rapatrier » le traitement éventuel du conflit en Europe. Pour cela, il faut un critère de résidence. Le règlement en cours d'élaboration répond a priori à cette exigence : même si un opérateur de traitement n'est pas établi en Europe, s'il cible un résident européen, le règlement européen sera applicable.

L'open data est à la fois un sujet de société et un enjeu économique. C'est un sujet de société, car il répond à l'attente de transparence qui est désormais portée par le numérique. C'est un enjeu économique, car la mise à disposition de ces données publiques va permettre de créer de nouveaux services et de stimuler la croissance. La CNIL ne peut donc qu'y être favorable. En revanche, les données personnelles concernées ne peuvent perdre la protection qui leur est attachée simplement parce qu'elles appartiennent à l'open data. Au moment de l'implantation d'Etalab en France, nous avons donc demandé à ses responsables qu'une licence spécifique soit mise en place dès lors que l'open data concernerait des données personnelles. La discussion n'est pas aisée car, ce faisant, on créera un obstacle à la mise en ligne, que ce soit à travers une demande d'anonymisation ou que cela résulte de l'obligation de respecter un droit d'opposition.

La prise en compte de la protection des données personnelles est une contrainte supplémentaire qui coûte, mais elle est indispensable si l'on veut éviter que l'open data ne rencontre l'opposition de nos concitoyens voyant livrer en pâture au grand public des informations personnelles les concernant. Nous sommes donc actuellement dans cette phase de dialogue avec les responsables de l'open data, afin d'instiller cette préoccupation dans leur politique.

La question de nos moyens est posée de façon récurrente depuis 2004-2005, mais ces moyens ont déjà considérablement augmenté depuis cette date. Notre budget de fonctionnement s'établit aujourd'hui à environ 16 millions d'euros et nous employons 180 personnes. La difficulté vient de ce que nos compétences ne cessent de s'étendre avec l'expansion du numérique. Nous avons fait valoir ce point auprès du Premier ministre dans la négociation budgétaire triennale qui s'engage. Nous avons obtenu 21 créations de postes sur trois ans, soit 7 postes par an. Notre budget de fonctionnement enregistre en revanche une légère baisse, ce qui nous pose problème. L'éducation numérique, objectif fondamental de la CNIL et « couche de base » de la régulation, coûte cher, alors que nos moyens sont relativement limités. Notre département d'expertise est l'un des meilleurs d'Europe – c'est d'ailleurs pour cette raison que nous avons été mandatés dans l'affaire Google mais, là encore, cela exige d'investir dans des matériels et dans des expérimentations. J'espère donc que nous aurons les ressources nécessaires pour faire face à ces obligations.