Intervention de Isabelle Falque-Pierrotin

On ne peut pas reprocher au cadre juridique en vigueur d'être archaïque et trop rigide puisque la définition de la donnée personnelle a progressivement évolué, prenant en compte toute une série de nouveaux types de données personnelles – notamment les métadonnées.

Vous doutez que la portabilité fonctionne dans la mesure où ce droit ne serait pas seulement individuel mais qu'il aurait une dimension communautaire : je voudrais bien récupérer mes propres données mais également celles de ma tribu, de ma communauté. Cette remarque est très intéressante et il est relativement difficile de donner une réponse définitive car il est vrai que nous en sommes au stade expérimental. Reste que ce droit à la portabilité correspond tout à fait aux travaux de la Fondation internet nouvelle génération (FING) qui consiste à permettre la rétrocession de ses données à l'individu afin que, le cas échéant, il les offre à un autre prestataire ou, dans certains cas, les lui vende. Sera-ce une démarche purement individuelle ou bien une démarche collective ? Il faut expérimenter un droit de ce type avant de le ciseler.

Faut-il se limiter aux grands principes ou bien faut-il également aborder les modèles économiques et les dispositifs techniques ? Car en effet, vous avez raison : il s'agit d'un levier supplémentaire dont on souhaite disposer. Comment procéder ? Nous-mêmes, en tant que régulateurs, nous intéressons déjà aux modèles économiques mais sur la pointe des pieds, si j'ose dire, car on nous objecte qu'il ne nous revient pas de définir les modèles économiques d'acteurs comme Google, modèles qui reposent largement sur le croisement de données. Nous avons expliqué aux représentants de Google, dans le cadre de l'action répressive que nous avons menée contre cette société dans six pays, qu'elle peut croiser les données recueillies par ses plus de soixante services – Gmail, You Tube, la géolocalisation… –, mais à condition de le faire savoir. L'incidence sur le modèle économique de l'obligation supplémentaire de transparence au bénéfice de l'individu est ici indirecte.

Selon vous, tant que les données seront concentrées entre les mains d'un nombre trop limité de personnes, on aura beau légiférer, ce sera de peu d'effet. Vous avez raison, mais on sort du cadre de la protection des données personnelles pour entrer dans celui du droit de la concurrence. On constate bien, justement, une interpénétration croissante des deux sphères, la réglementation de la concurrence au sujet des données visant justement à fragmenter, le cas échéant, ces grandes bases de données étant donné le risque encouru par les individus.

Enfin, concernant les aspects techniques, on peut en effet placer la protection des données le plus en amont, notamment à travers la normalisation. La CNIL est d'ailleurs très présente au sein des instances de normalisation internationales comme l'Organisation internationale de normalisation (ISO) ou le G29, afin que la protection des données soit intégrée dans lesdites normes.

La réponse n'est donc pas exclusive quant à la volonté de maîtriser l'environnement numérique au niveau individuel et au niveau collectif. Il faut, pour y parvenir, utiliser plusieurs leviers en même temps.