Intervention de Isabelle Falque-Pierrotin

Votre première remarque sur la transparence fait écho à ce que nous disons depuis longtemps. Face à des services de plus en plus sophistiqués, il y a à l'évidence un déficit de transparence et tout ce qui peut accroître la lisibilité des conditions d'utilisation des données personnelles doit être recherché. À titre d'exemple, c'est un point sur lequel nous avons insisté auprès de Google, dont la nouvelle politique relative à la protection de la vie privée, si elle semble plus simple et fédérative, est aussi plus opaque. Dans notre rapport, nous avons fait des recommandations très précises pour ménager trois niveaux d'information progressifs : une information de base, un niveau intermédiaire et une information plus complète. Un seul texte ne peut tout résoudre et il faut donc organiser l'information de façon graduée.

La question du Patriot Act relève du pouvoir politique et non des prérogatives de la CNIL. Faut-il permettre à des autorités étrangères d'avoir accès à des données – de voyages, médicales, financières, etc. – qui concernent d'autres États ? Le problème n'est pas technique, mais politique.

S'agissant des dossiers médicaux, je rappelle que les hébergeurs de données de santé doivent faire l'objet d'un agrément particulier assorti d'obligations spécifiques. En cas de problème, nous pouvons prendre des sanctions et nous avons été très réactifs, en liaison avec l'agence des systèmes d'information partagés de santé, l'ASIP Santé, dans le cas que vous avez évoqué.

Jusqu'à présent, le correspondant « informatique et libertés » avait pour mission d'alléger les formalités préalables, l'obligation de tenir un registre se substituant à l'obligation de déclaration, et d'entretenir une relation régulière avec la CNIL. Dans le futur, son rôle sera plus ambitieux, et même déterminant pour évoluer vers une régulation fondée sur la responsabilisation des acteurs et sur un contrôle a posteriori : il sera chargé de piloter la conformité. Dans les entreprises comme dans les administrations et les collectivités, ce sera un agent permettant à son organisme de respecter strictement ses obligations, en dispensant des formations internes ou en établissant des études d'impact. Il devient ainsi un acteur clé dans la mise en oeuvre de la responsabilité sociale de l'entreprise.