Intervention de Isabelle Falque-Pierrotin

Merci de me permettre de m'exprimer devant cette commission qui est, m'a-t-on expliqué, un peu atypique, ce qui fait son intérêt pour traiter cette thématique : les données personnelles ne sont pas seulement un objet juridique mais elles ont une dimension sociologique, politique et stratégique. La composition de la Commission fait un peu écho à la dimension très large que revêtent actuellement les données personnelles.

Quelles propositions puis-je vous faire au titre de la CNIL ou du groupe de l'article 29, dit G29, qui réunit les autorités européennes de protection des données ? Avant de répondre à cette question, je vais d'abord passer en revue les constats qui étayent ces propositions.

Premier constat : notre époque se caractérise par une imprégnation des données personnelles dans toutes les activités publiques, professionnelles ou privées. L'individu est de plus en plus pris dans un maillage extrêmement fin d'informations personnelles relayées par des objets de plus en plus communicants : téléphone portable, bracelets électroniques divers, dispositifs électriques, équipements de vidéosurveillance, etc. Cette « datification », cette mise en données du monde est en marche ; elle illustre ce qui représente une rupture historique dans cette société numérique : l'entrée dans un numérique ambiant. Nous sommes désormais plongés en permanence dans ce flux d'informations dont nous ne percevons pas forcément la structure mais qui nous imprègne et nous entoure comme l'air ambiant. La dichotomie qui existait encore il y a quelques années entre les univers physique et virtuel – on « allait » sur internet – a disparu.

Deuxième constat : l'affaire Snowden a révélé que l'infrastructure de ce numérique ambiant, bien que principalement constituée à l'initiative d'acteurs privés désireux de vendre des biens et services, était aussi potentiellement utilisée par des acteurs publics poursuivant d'autres finalités. Même si ces finalités peuvent être légitimes – quand elles répondent à des objectifs de sécurité publique, par exemple – elles sont parfaitement étrangères aux raisons pour lesquelles les données ont été collectées auprès des personnes. Comment faire en sorte que cette infrastructure de données, normalement au service de l'individu, ne se transforme pas en outil de surveillance ?

Troisième constat : cette explosion change le rapport qui existait entre vie privée et données personnelles. Jusqu'à une période récente, les protections de ces deux sphères se superposaient. Sous l'effet des nouveaux comportements et usages, la frontière entre la vie privée et la vie publique commence à se détendre pour donner naissance à une zone un peu grise dans laquelle les personnes veulent exposer leur vie privée et se servent des données personnelles pour avoir une vie publique. Dans le fond, les individus ne sont pas gênés par cette situation et, s'ils sont désormais demandeurs de protection, ils recherchent avant tout une maîtrise. La demande sociale s'enrichit et devient plus complexe à satisfaire : la notion de maîtrise peut varier d'un individu à l'autre et, pour le régulateur, il s'agit d'un nouveau continent.

Quatrième constat : le droit à la protection des données personnelles était spécifique, isolé des autres en raison de sa technicité et de son caractère très procédural, connu d'experts et doté d'une logique interne très forte ; il est en train de vivre une interpénétration avec d'autres droits. C'est ainsi qu'en mai dernier, la Cour de justice de l'Union européenne (CJUE) a rendu un arrêt sur le déréférencement. Le régulateur est chargé de trouver un équilibre entre la protection des données et le droit du public à l'accès à l'information. L'État français vient quant à lui de décider de bloquer des sites appelant au terrorisme ou à des causes extrémistes, et le représentant de la CNIL est intervenu pour éviter un éventuel excès de blocage. Il faudra trouver un équilibre entre protection des données et protection de la liberté d'expression. On assiste aussi à une interpénétration croissante entre le domaine de la protection des données personnelles et le droit de la concurrence. Au nom du respect de la concurrence, l'Autorité de la concurrence a récemment obligé un acteur à ouvrir un fichier client au bénéfice de ses compétiteurs. Le droit de la protection des données personnelles doit donc intégrer ces relations de plus en plus intimes avec d'autres droits.

Cinquième constat : les analyses sur ce droit à la protection des données personnelles – et donc les propositions qui en découlent – ne peuvent pas être menées dans un cadre franco-français. Comme le disait Christiane Féral-Schuhl, les données personnelles sont au coeur de tout, notamment d'affrontements stratégiques entre les différentes zones du globe. Elles deviennent une arme au service d'entreprises et d'États, y compris étrangers. Nous devons assurer la protection du citoyen français et européen en accord avec nos valeurs fondamentales qui viennent d'être réaffirmées par la CJUE, mais nous devons aussi assurer la compétitivité de l'espace économique européen par rapport aux acteurs internationaux car la capacité de contournement de l'Europe est forte en ces matières.

Ces constats nous incitent à formuler des propositions dont la traduction ne serait pas forcément de nature législative.

Première proposition : la constitutionnalisation de la protection des données personnelles. Certains rétorquent que la protection constitutionnelle de la vie privée existe déjà et qu'il est inutile d'y ajouter celle des données personnelles. Ce n'est plus exact car ces deux sphères s'autonomisent de manière croissante. La constitutionnalisation de la protection des données personnelles existe dans treize pays européens sur vingt-huit et aussi dans les textes européens, notamment dans l'article 8 de la charte des droits fondamentaux auquel l'arrêt de la CJUE se réfère. Elle nous permettrait d'afficher une protection du plus haut niveau dans ce domaine, ce qui serait très utile lors des négociations internationales.

Deuxième proposition : le renforcement du droit des personnes. Construit autour de l'utilisateur, l'univers du numérique innove à partir de lui. Il est assez logique de donner à l'individu des droits renouvelés et adaptés au fur et à mesure du développement de cette société numérique, et nous avons fait des propositions en ce sens dans le cadre de la préparation du projet de loi sur le numérique qui sera présenté l'année prochaine.

Le Conseil d'État propose de reconnaître une sorte de droit nouveau à l'autodétermination. Je ne suis pas sûre qu'il faille créer un nouveau droit expressément libellé comme tel, mais il est certain que nous recherchons tous cette autodétermination des individus, c'est-à-dire que nous tendons à leur donner la capacité de maîtrise renouvelée qu'ils demandent. Tous les droits seraient déclinés à partir de ce droit chapeau.

Il nous paraît important de renforcer les droits existants et, le cas échéant, d'en reconnaître d'autres. La décision rendue en mai par le CJUE sur le déréférencement est un bon exemple de renforcement des droits : les moteurs de recherche se voient rappelés à leurs obligations en tant que responsables de traitement de données personnelles, c'est-à-dire qu'ils doivent faire droit à une demande d'effacement. On demande aux moteurs de recherche d'appliquer le droit à l'effacement qui existe déjà dans la directive de 1995.

Le G29, réuni à Bruxelles, a élaboré des lignes directrices permettant une application harmonisée sinon uniforme de ce droit sur le territoire européen. Qu'ils exercent ce droit à Paris, Berlin ou Dublin, les citoyens européens sont sûrs que les autorités de protection auront les mêmes pratiques concernant le contrôle de la décision du moteur de recherche. Nous avons aussi demandé que soient concernées toutes les extensions liées au traitement de données, soumis au droit européen, qui fait l'objet d'un déréférencement demandé par un individu. Dans le cas particulier de Google, google.com doit appliquer la décision de déréférencement.

Le renforcement du droit des personnes peut aussi passer par la création de nouveaux droits. La nouvelle réglementation européenne sur la protection des données définit le droit à la portabilité, qui est extrêmement puissant même s'il a été moins évoqué que le droit à l'oubli : il permet en quelque sorte à l'individu de transporter sa maison numérique avec lui et de ne pas être prisonnier des interlocuteurs, commerciaux ou non, avec lesquels il dialogue. Lorsqu'une personne noue une relation avec un prestataire, un réseau social, ou un site de e-commerce, des données la concernant sont agrégées et accumulées. En vertu de ce droit à la portabilité, la personne peut demander à ce que ces données lui soient rétrocédées afin qu'elle puisse apporter son profil à un autre prestataire. Ce droit permet une autonomisation de l'individu et un rééquilibrage de la relation qu'il entretient avec ceux qui collectent des données sur lui.

À la CNIL, nous avons la conviction qu'une quatrième génération de droits est en train d'émerger. Chaque génération précédente correspond à une rupture historique : les Lumières, les droits sociaux, les droits collectifs. À chaque époque, on a cristallisé le besoin démocratique dans de nouveaux droits pour l'individu. La protection des données personnelles et ses enrichissements successifs – jurisprudence, projet de règlement – appartient à une nouvelle génération de droits qui correspond aussi à une rupture historique. L'individu y trouve le moyen de garder la maîtrise de la complexité de l'univers dans lequel il évolue. Même s'ils sont marqués par les technologies, ce ne sont pas des droits sur les technologies. À la différence des droits précédents, ils sont positifs et non pas réactifs : on les reconnaît positivement à l'individu sans qu'ils le protègent nécessairement contre tel ou tel danger. Ils conditionnent beaucoup l'exercice d'autres droits, notamment la liberté d'aller et de venir et la liberté d'expression. Ces réflexions nous paraissent donc consacrer une nouvelle génération de droits qui correspondent à la complexité accrue des sociétés contemporaines.

Troisième proposition : le renforcement de la voix européenne. L'Europe dispose d'un actif juridique et éthique d'une qualité exceptionnelle. Dans la grande bataille internationale qui se noue sur cette question des données personnelles, il est absolument nécessaire que nous renforcions la voix de l'Europe, pas de façon défensive mais en montrant que cet actif légal et éthique peut aussi être une arme positive au service de l'Europe et de son rayonnement international.

Sur cette question de l'identité juridique et éthique européenne, nous devons être très vigilants, en cette phase finale de négociation du règlement sur la protection des données. Au nom de la volonté d'aboutir, nous risquons de construire des équilibres différents de ceux que nous souhaiterions. Le Conseil conduit des négociations qui mettent en avant une approche par le risque, l'enjeu des débats actuels étant : la démarche européenne est-elle pertinente pour digérer la modernité digitale ?

L'Europe s'appuie sur des principes extrêmement robustes – fondés sur la finalité et le consentement – mais qui deviennent très lourds et trop complexes dans l'univers actuel des données massives, le « big data », où les croisements se font à l'aveugle, sans finalité a priori. Quant au principe de consentement, il est encore moins évident en raison des multiples échanges qui interviennent bien au-delà de la collecte. Dans ces conditions, comment demander un consentement informé aux personnes ?

Dans ce contexte, certains bons esprits internationaux préconisent de substituer à l'approche européenne classique, une approche par le risque : on ne s'intéresse qu'aux traitements et aux usages les plus risqués et c'est l'entreprise elle-même – et non l'individu – qui évalue le risque. Au nom du pragmatisme, de la complexité de l'univers digital et du souci de l'allocation des ressources, on change d'approche. Dans un cas, la protection des données personnelles est un droit fondamental ; dans l'autre, les acteurs économiques l'envisagent comme une balance d'intérêts.

Alors que cette approche par le risque gagne chaque jour de nouveaux partisans, il est important que nous puissions en fixer précisément les contours pour que ne soit pas abandonnée la notion de droit fondamental dans le règlement européen. Cet élément de négociation est très important. Dans son projet de règlement, l'Europe doit définir très clairement les adaptations du cadre juridique qu'elle souhaite, tout en restant attachée à ses principes fondamentaux.

Quand elle s'engage dans la construction d'un cadre juridique compétitif et attractif, l'Europe se situe dans une démarche relativement offensive. Elle peut aussi adopter une position défensive, comme après les révélations de M. Snowden. Comment nous défendons-nous d'une aspiration massive et indistincte de données relatives à des citoyens européens ?

Le G29 propose de faire reconnaître le bloc de protection des données personnelles comme une loi de police, dans la mesure où il participe à l'ordre public. Il ne s'agit pas de demander une application mondiale du droit européen ; il s'agit d'éviter que des lois extraterritoriales ne puissent déroger, sur notre sol, à nos lois de protections des données. Ce n'est pas une épée mais un bouclier.

Claude Moraes, le président de la commission des libertés civiles, de la justice et des affaires intérieures (LIBE), propose quant à lui d'intégrer un article 43A dans le projet de règlement précisant que, lorsqu'une autorité étrangère publique demande accès à des données relatives à des citoyens européens, elle doit avoir l'accord d'une autorité européenne. On ne peut pas laisser une autorité publique étrangère siphonner les données des citoyens européens ; les conditions de l'accès à ces données doivent avoir été précisées lors d'une négociation avec une autorité européenne compétente.

Quatrième proposition, qui ne relève pas entièrement du champ législatif : les acteurs économiques doivent jouer un rôle privilégié en ce qui concerne l'infrastructure, afin d'éviter que les données collectées, qui permettent un ciblage toujours plus fin des individus, ne se transforment en un puissant outil de surveillance. D'une manière ou d'une autre, il faut leur imposer une obligation supplémentaire de transparence de leurs clauses sur les conditions générales d'utilisation, et aussi des algorithmes utilisés, ainsi que l'a suggéré le Conseil d'État dans un récent rapport. D'une façon générale, l'utilisation de cet or noir que sont les données internet doit se faire dans la transparence.

Dernière proposition, qui ne relève pas du tout du champ législatif : l'éducation au numérique doit faire l'objet d'un effort collectif beaucoup plus important que celui qui est consenti actuellement. Une manière vraiment efficace de rééquilibrer le rapport entre l'individu et ceux qui collectent des données sur lui, qu'il s'agisse d'acteurs privés ou publics, c'est de développer la connaissance afin de donner au grand public les moyens de comprendre cet univers digital. Actuellement, le citoyen moyen en connaît les usages – et encore ! – mais il n'en appréhende pas nécessairement les ressorts. L'usager doit acquérir la culture générale de l'homme numérique, c'est-à-dire un mélange de connaissances techniques, juridiques et historiques.

L'an dernier, avec un collectif de plus de soixante-dix acteurs, nous avions proposé que l'éducation au numérique puisse être une grande cause nationale. In fine, ce n'est pas celle qui a été retenue pour 2014. Avec un autre collectif, nous reprenons notre bâton de pèlerin et nous allons déposer une nouvelle demande pour que l'éducation au numérique soit une grande cause nationale en 2015. Si nous voulons que se développe dans notre pays un monde numérique respectueux des libertés, il faut que les usagers soient bien conscients des caractéristiques et des modes de fonctionnement de cet univers. À l'heure actuelle, nous n'avons pas tous les clefs pour nous protéger, sans parler de nous emparer de toutes les potentialités de cet univers.