Intervention de Isabelle Falque-Pierrotin

Il est certain que la collecte, via les grands acteurs économiques du cloud ou d'autres, de données extrêmement sensibles pouvant aller jusqu'à la connaissance de secrets d'entreprise, au nom de la sécurité ou de l'intelligence économique, présente un intérêt considérable pour les États-Unis, et le danger est d'autant plus grand que le Patriot Act autorise la transmission de ces données à des autorités étrangères. C'est une des raisons qui nous ont poussés à appeler l'attention des clients professionnels sur l'importance de leur décision de localiser certaines catégories de données dans le cloud. Même si cela devait leur coûter moins, il serait assez irresponsable par exemple que toutes les universités françaises recourent à des offres de cloud d'opérateurs américains, au risque de communiquer les secrets de notre recherche !

Une réflexion collective s'impose sur l'ensemble des paramètres à prendre en compte dans ce type d'offre, qu'il s'agisse de la confidentialité, du respect des personnes, de l'intelligence économique, du renseignement ou de la sécurité. J'ai fait connaître ce point de vue de manière très insistante au président de la République et au Premier ministre car je considère que cet enjeu dépasse très largement les frontières d'une relation contractuelle entre deux parties.

Faut-il soumettre le recueil des données de géolocalisation à un régime de déclaration ou d'autorisation ? On sent bien qu'au fil du temps, ces données tendent à devenir des données sensibles. Les individus sont à la fois très friands des services conçus à partir de la géolocalisation – situer ses amis, un restaurant, une boutique…– mais ils en voient bien le revers. Faut-il pour autant retenir un régime d'autorisation ? Il faut y réfléchir car la géolocalisation peut être couplée à d'autres services et il ne faudrait pas faire obstacle à la mise en place de services utiles dont la géolocalisation ne constitue pas l'élément essentiel.

S'agissant de la proposition de loi instaurant une tarification progressive de l'énergie, nous avons effectivement été auditionnés par les rapporteurs du Sénat et de l'Assemblée nationale. Ne pouvant être saisie, la CNIL n'a pas exprimé de position officielle. L'enjeu de traitement est énorme puisque les forfaits de base seront établis à partir des déclarations de revenu, puis transférés à un tiers gestionnaire, lui-même chargé d'élaborer les profils de base qui seront transmis aux fournisseurs d'énergie pour qu'ils en fixent le tarif. Le dispositif est assez pertinent dans la mesure où il limite la circulation de l'information et l'accès des fournisseurs d'énergie aux données personnelles en partant de la déclaration de revenu et en faisant intervenir un tiers délégataire de la puissance publique. Le problème, c'est que l'on n'en sait pas tellement plus en ce qui concerne l'informatique et les libertés puisque tout a été renvoyé à des décrets. Certes, ceux-ci seront pris après consultation de la CNIL – laquelle publiera des avis motivés – et du Conseil d'État. Cependant, cela me semble encore trop peu eu égard à l'importance de cette affaire pour les Français...