Intervention de Isabelle Falque-Pierrotin

Nous souscrivons pour une large part aux propositions du Conseil d'État et ne sommes du reste opposés à aucune. Le fait qu'elles soient nombreuses correspond à l'importance des données dans ce nouvel univers numérique. Il est donc assez naturel que le régulateur des données personnelles se trouve très concerné par une réflexion sur l'adaptation de la régulation aux nouvelles réalités pour la rendre plus efficace. Je n'ai pas d'autre remarque à formuler sur ce rapport.

La seconde partie de votre question est fondamentale pour les autorités de protection des données : comment équilibrer la sanction avec, le cas échéant, autre chose ? Par « autre chose » j'entends le conseil, l'accompagnement, le suivi. À titre personnel, je suis convaincue qu'on ne peut pas réguler uniquement par la sanction qui est une arme de dissuasion certes indispensable mais qui ne constitue pas une arme de régulation au quotidien. En effet, la CNIL rend une quinzaine de sanctions par an. Vous imaginez donc bien qu'en nous limitant à la sanction, nous nous condamnerions à ne toucher que l'écume de cet univers numérique. Si nous voulons que ce dernier se développe dans le respect de la protection des données personnelles, il faut agir autrement, à savoir en amont, donc par le biais d'outils qui étaient jusqu'à présent les formalités préalables mais qui demain n'existeront plus ou quasiment plus et qui donc seront de plus en plus des outils de mise en conformité. Comment éviter le conflit d'intérêts ? On peut avancer deux réponses.

D'abord, concernant les outils de mise en conformité, nous ne proposons pas de travail à façon pour une entreprise ; nous ne travaillons qu'au bénéfice d'un secteur : l'assurance, la banque, le logement social, les compteurs communicants… Nous ne réalisons pas de pack de conformité pour une entreprise – c'est là le travail des avocats, des sociétés de conseil. Le rôle du régulateur est d'ouvrir un parapluie générique pour une industrie qui veut développer ses usages dans le respect de la loi « informatique et libertés ».

Un second garde-fou permet d'éviter le conflit d'intérêts : la formation restreinte est une activité très spécifique, compartimentée, avec des règles de fonctionnement ad hoc, une présidence ad hoc, différente du fonctionnement de la CNIL en séance plénière. De ce fait, on limite, on interdit largement les conflits d'intérêts entre les pouvoirs répressifs et ceux de conseil.

La position dont je vous fais part n'est pas partagée par tous les régulateurs européens. Pour certains d'entre eux, la régulation, c'est uniquement la sanction. Demain, quand les sanctions représenteront 2 à 5 % du chiffre d'affaires et donc deviendront une arme de dissuasion massive, certaines autorités se limiteront à la sanction.