Madame la présidente, madame la ministre, chers collègues, Google est en train de devenir, en France, le gestionnaire universel de notre vie en ligne. En effet, les initiatives de cette compagnie concernent tous les champs du numérique. Il est un point commun à toutes les interrogations qui s’expriment : comme vous l’avez dit, madame la ministre, elles sont nées d’une fantastique révolution numérique. Les changements sont irréversibles, et procurent de multiples bienfaits au plus grand nombre.
Dans cet esprit, nous devons trouver des solutions innovantes pour protéger la vie privée et les données personnelles – notions qui ne se confondent pas – à l’heure de l’informatique à distance, du big data, de l’open data, des réseaux sociaux, de l’internet mobile, de la géolocalisation et de l’internet des objets. Il est évident que le curseur entre vie privée et vie publique se déplace. Il peut même varier à tout moment selon les individus. Mon propos portera principalement sur la surveillance numérique commerciale des internautes.
Les données personnelles sont des informations qui permettent d’identifier directement ou indirectement une personne physique. Elles sont protégées par divers instruments juridiques concernant le droit à la vie privée : la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978 ; au niveau communautaire, une directive de 1995 ; la convention du Conseil de l’Europe no 108 pour la protection des données personnelles.
Depuis 1978 et 1995, la donne a radicalement changé : nous en sommes tous bien conscients. L’usage des outils numériques s’est globalisé, ce qui rend les cadres nationaux largement inopérants. De même, la limite entre vie publique et vie privée s’est brouillée, car nombre d’internautes exposent volontairement leur vie sur les réseaux sociaux. Une grande partie des services numériques distribués sous une apparence de gratuité repose en réalité sur une nouvelle économie des données personnelles.
Les données sont aussi stratégiques que le pétrole ou le nucléaire. Tout le monde s’accorde à considérer que le cadre juridique des données personnelles en vigueur est désormais obsolète. La distinction entre les données personnelles et celles qui ne le sont pas est ténue : un très grand nombre de données apparemment anonymes peuvent devenir personnelles après traitement. En effet, on peut identifier facilement des personnes anonymisées à partir des données de géolocalisation. Celles-ci permettent de connaître les endroits où vit la personne considérée : son domicile, lieu de stationnement de sa voiture, son lieu de travail, là où elle déjeune, l’école où elle va chercher ses enfants, etc.
Grâce aux nouvelles capacités d’analyse algorithmique et aux applications de data mining et de profilage, les dispositifs informatiques font parler les données, même les plus muettes ou les plus anonymes. Comme le rappelait la CNIL, la personnalisation qui en résulte s’effectue paradoxalement sans jamais demander l’avis de l’individu ! En outre, avec l’informatique en nuage, les internautes perdent la maîtrise de la localisation de leurs données et donc de la sécurité et de la confidentialité de ces données. Les internautes courent ainsi un risque supplémentaire de voir leurs données utilisées contrairement à leur volonté.
Il me semble que la nouvelle donne numérique invite à un rééquilibrage au moins sur trois plans : d’abord, à un rééquilibrage du cadre juridique national ; ensuite, à rééquilibrage du cadre juridique européen ; enfin, à un rééquilibrage entre les internautes et les opérateurs pour restaurer la confiance dans l’internet.
J’aborderai d’abord le rééquilibrage du cadre juridique national. En matière de protection de la vie privée dans l’ère du numérique, les conceptions de la France et des États-Unis – dont les entreprises et le gouvernement fédéral dominent outrageusement l’internet – sont opposées. Je rappelle que 3 millions d’entreprises et 66 millions de citoyens sont concernés par notre souveraineté numérique !
Parce que les données personnelles dépassent aujourd’hui la vie privée, et à condition de ne pas figer les règles, ni de brider l’innovation, la protection des données personnelles pourrait faire l’objet d’une « constitutionnalisation », à l’instar de ce qui existe déjà chez treize de nos voisins européens, afin de bénéficier d’un régime juridique plus protecteur que celui de la simple vie privée. La France serait ainsi mieux armée pour négocier avec les acteurs extra-européens.
Le projet de loi en cours de rédaction auquel vous avez fait tout à l’heure allusion, madame la ministre, pourrait être l’occasion de renforcer les pouvoirs de sanction de la CNIL – je crois que vous l’avez évoqué –, sans attendre un règlement européen qui pourrait prendre encore du temps. Un toilettage législatif de la loi de 1978 peut non seulement être entamé dès maintenant sans préjudice du règlement européen à venir, mais encore nous permettre de mieux peser sur les grandes orientations européennes en matière de protection de la vie privée numérique.
La CNIL pourrait être investie d’un pouvoir de contrôle en ligne, qui lui manque, ainsi que d’un pouvoir de contrôle des « fichiers de souveraineté », avec un personnel dédié. Ce renforcement du pouvoir de la CNIL me semble particulièrement nécessaire pour restaurer la confiance de l’opinion publique, légitimement troublée par un certain nombre de révélations sur la violation des échanges numériques. Bien évidemment, il faudra aussi veiller à continuer d’adapter les moyens de la CNIL à l’évolution de ses missions.
Deuxième rééquilibrage qui me semble urgent : celui du cadre juridique européen. Quel est le bon niveau de souveraineté numérique face à l’exploitation et au stockage de nos données personnelles par des entreprises majoritairement, pour ne pas dire exclusivement, américaines ?
Ce n’est pas sans raison que la protection des données à caractère personnel est l’un des principaux points d’achoppement des négociations de l’accord de libre-échange entre l’Europe et les États-Unis. La production et le partage de la valeur née des informations personnelles de plus de cinq cents millions d’Européens sont un enjeu véritablement stratégique car il touche à la fois à notre souveraineté et à l’existence de l’Europe dans un des secteurs numériques les plus prometteurs.
Le rééquilibrage minimum à obtenir est le respect des valeurs européennes par des entreprises qui veulent continuer d’accéder au marché mondial le plus développé.
L’Europe doit s’exprimer d’une voix forte pour protéger les données à caractère personnel, au moment où les révélations de l’affaire Snowden et le retard dans l’adoption du projet de règlement européen font douter de la capacité internationale à réguler l’internet.
Il faut mener une offensive numérique européenne positive autour des valeurs de l’Europe et de la compétitivité de notre économie. La proposition de règlement « relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données » a été déposée par le Parlement européen et le Conseil le 25 janvier 2012, en même temps qu’une autre proposition de directive.
Nous savons bien que la proposition de règlement a fait l’objet d’un intense lobbying de la part des grands opérateurs de la Silicon Valley, au point qu’on a cru paralyser le processus législatif. Le 21 octobre dernier, un nouveau texte, se voulant de compromis, a été proposé par le Parlement européen, ou en tout cas par une de ses commissions.
Il faut prendre acte des avancées de ce projet de règlement, notamment dans le domaine du droit à l’oubli et des « règles d’entreprise contraignantes » destinées à faciliter les transferts de données hors de l’Union européenne dans un même groupe.
La démarche de compromis des instances européennes n’a cependant pas encore permis de clarifier un certain nombre de questions essentielles pour la protection des données à caractère personnel.
Si, sous certains aspects, le projet de règlement penche heureusement en faveur d’une conception personnaliste de la donnée, en liant la définition des données et de la personne, ce projet reste à préciser pour ne pas laisser à l’écart un certain nombre de données. Le groupe des autorités indépendantes de contrôle, dans lequel la CNIL joue un rôle moteur, propose que soit retenue comme donnée à caractère personnel toute donnée permettant de singulariser la personne parmi les autres.
Il faut définir une forme nouvelle d’expression du « consentement explicite », qui n’est pas obligatoire actuellement, sans pour autant négliger le risque de banalisation qui se produirait en cas de recueil systématique du consentement. Faut-il, à l’inverse, réserver l’exigence de consentement aux traitements les plus dangereux pour l’internaute, au risque de banaliser les autres traitements qui ne sont jamais innocents ? Et il faut, naturellement, garder en tête que le refus des traitements par un internaute ne doit pas non plus lui occasionner un refus d’accéder aux services, sans quoi cette liberté de choix serait très virtuelle !
Le statut juridique de la donnée reste irrésolu, dans l’état actuel du droit : est-ce un bien objet d’appropriation et de valorisation ou est-ce un droit personnel et fondamental de chaque individu qui doit être protégé au même titre que le droit au respect de la vie privée ? Le problème du traitement des données sensibles n’est pas non plus résolu dans le nouveau projet. C’est pourtant fondamental pour concilier la protection des données et la santé publique, y compris au niveau de la recherche.
La question de la compétence des autorités et des tribunaux conditionne l’efficacité de la régulation et des sanctions. L’exemple positif du droit de la concurrence en Europe montre que l’on peut espérer dépasser la fragmentation européenne en constituant un réseau d’autorités avec, par exemple, un pouvoir de co-décision entre l’autorité de contrôle du pays de l’internaute et celle du pays du principal établissement de l’entreprise fautive ou réputée telle.
Les États doivent donc aujourd’hui se positionner : madame la ministre, pouvez-vous nous confirmer la position de la France par rapport à ce projet de règlement ? Dans quel sens notre pays voudrait-il le voir évoluer ? Pour le transfert des données hors d’Europe, il faut obtenir l’application des règles européennes aux acteurs non européens. L’objectif final est de soumettre à la loi européenne les entreprises américaines ou agissant en Europe.
Troisième rééquilibrage qui me semble souhaitable d’obtenir : sensibiliser les internautes pour responsabiliser les entreprises. L’expérience nous l’a montré : les grands opérateurs de l’internet évoluent très vite, quand ils sentent qu’ils perdent la confiance des internautes – c’est même l’un des rares moments où ils évoluent.
Un des moyens les plus sûrs d’obtenir les évolutions souhaitables en matière de protection des données est donc de convaincre les internautes d’exiger un nouveau « contrat de confiance », plus respectueux des données personnelles. Pour cela, nous devons mieux promouvoir une nouvelle « responsabilité numérique des entreprises ». Une façon d’y intéresser les entreprises est de les convaincre qu’il s’agit là d’un atout en termes de compétitivité.
Pour sensibiliser les internautes, il nous faut travailler encore plus étroitement avec les associations de consommateurs. Que Choisir a mis en demeure Twitter, Google et Facebook de modifier les conditions générales d’utilisation qui introduisent un quadruple déséquilibre insupportable au détriment des consommateurs.
Nous savons que ces conditions sont illisibles. Pour Facebook, elles représentent dix-huit pages, qui ne sont d’ailleurs pas toutes en français, et comportent plus d’une centaine de liens hypertexte, dont on imagine que la lecture doit faciliter l’adhésion ou le refus de l’internaute.
Ces conditions générales d’utilisation autorisent une utilisation large et massive des données par les tiers, entreprises ou autres. Elles introduisent aussi une sorte d’auto-exonération complète de responsabilité, par exemple en cas de disparition des données – comme on l’a vu. La dernière difficulté soulevée par ces conditions générales, auxquelles l’on adhère sans pouvoir faire autrement, est que, bien évidemment, elles réservent exclusivement aux tribunaux américains la compétence en cas de litige.
La confiance des consommateurs serait une arme importante pour faire évoluer l’écosystème numérique de manière plus conforme à nos valeurs européennes. Une campagne pour engager les consommateurs à choisir les opérateurs qui stockent en Europe serait, par exemple, un atout précieux à ce stade de la négociation internationale.
Nous pourrions peut-être également organiser, comme on l’a vu pour d’autres grandes causes, un grand débat public sur le modèle de ceux qui ont donné des résultats intéressants pour des sujets de même importance. Le problème de la protection de la vie privée et des données personnelles le mérite.
Enfin, dernier point que je souhaitais évoquer : l’éducation au numérique. À l’initiative de la CNIL, et avec le soutien d’un certain nombre d’entre nous et d’autres organismes, il a été lancé l’idée que l’éducation au numérique pourrait être la Grande Cause nationale en 2014. Nous savons que beaucoup d’autres objectifs le méritent, mais je pense très franchement que celui-ci pourrait être intéressant, pour mobiliser tous les esprits et les médias sur cette éducation et montrer que nous avons besoin de créer une nouvelle sociabilité née du numérique. Celle-ci n’est pas spontanée et une éducation est nécessaire afin de faire face, de manière responsable, à toutes les opportunités du numérique, sans tomber dans ses quelques pièges.