Cette audition va me donner l'occasion, non pas forcément de répondre à toutes les questions que vous vous posez, car elles font aussi l'objet de réflexions au sein de la CNIL, mais de contribuer à vos propres réflexions.
Les interrogations soulevées par le développement rapide des objets connectés – on parle d'un effectif pouvant atteindre une cinquantaine de milliards – ne sont pas inédites, car ces objets représentent l'étape nouvelle de la numérisation. Les capteurs collectent de plus en plus d'informations qui font l'objet d'un traitement toujours plus fin. La CNIL et tous les régulateurs européens du G29 ont bien identifié cette problématique, et aux États-Unis, la Federal Trade Commission a organisé des auditions sur le sujet voici plus de dix-huit mois.
Les questions qui se posent sont les suivantes : en premier lieu, s'agit-il ou non de données personnelles ? Ensuite, la complexité des systèmes qui entourent les objets connectés permet-elle aux personnes de faire effectivement prévaloir leurs droits ? Les personnes ont, en effet, rarement conscience de l'identité de tous les acteurs qui collectent et transmettent leurs informations (un opérateur de télécoms, une plateforme d'application, etc.), ce qui produit une opacité sur la réalité des responsabilités. Enfin, les objets connectés sont exposés à d'importants risques de sécurité, du fait même du nombre des acteurs impliqués qui démultiplie les possibilités d'attaque.
Ainsi, ma première observation sera que les risques identifiés par l'OPECST dans le secteur de l'agriculture renvoient à des préoccupations transversales faisant déjà l'objet de réflexions de la part des autorités de protection des données personnelles.
Ma deuxième observation concerne la pertinence de l'analyse en termes de menace pour la souveraineté. Cette menace me semble se situer à deux niveaux pour l'agriculture : au niveau stratégique d'abord, car une prise de contrôle des capteurs peut permettre, par exemple, d'affamer une population en perturbant la distribution d'engrais pour abîmer les récoltes ; au niveau économique ensuite, car la collecte des données peut aboutir à constituer, depuis l'étranger, une rente informationnelle conférant une position dominante sur un marché.
Ces deux observations introductives pour dire qu'il n'y a rien d'étonnant finalement à ce que l'agriculture se trouve ainsi en bute à des enjeux déjà identifiées dans d'autres secteurs, même si, a priori, elle semble bien éloignée du monde du numérique.
Nous-mêmes, au sein de la CNIL, avons d'abord été étonnés que l'OPECST nous saisisse à propos d'un domaine qui nous semblait de prime abord hors de notre champ de compétence ; à la réflexion, nous nous sommes rendus compte que, bien sûr, le secteur de l'agriculture se numérise comme les autres et se trouve, de ce fait, confronté aux questions que la numérisation pose à toute forme d'activité industrielle et commerciale.
À partir de ces constats, comment avancer dans l'analyse ? La première question consiste à savoir s'il s'agit de données personnelles, sachant que, a priori, des informations sur le remplissage d'un silo à grains ou sur l'épandage d'engrais n'en sont pas et que les considérer comme telles pourrait alimenter les fréquentes critiques contre la France lui reprochant une tendance à une régulation excessive dans le domaine de la protection des données personnelles.
Mais, en même temps, le G29 reconnaît que la géolocalisation est une donnée personnelle. Par ailleurs, des informations précises sur les caractéristiques productives d'une parcelle peuvent être utilisées au détriment de l'exploitant agricole, soit par les assurances, soit par des protagonistes de la protection de l'environnement. Donc, si ces informations sont croisées avec d'autres, elles peuvent devenir très vite des données personnelles. D'une façon générale, des chercheurs ont montré que toutes les données pouvaient devenir personnelles dès lors qu'on les croisait avec des données contextuelles ; au MIT, on a même prouvé que quatre points d'une base de données suffisent pour remonter jusqu'à une personne physique identifiée par son nom et son prénom.
On perçoit donc bien que les données collectées dans l'agriculture peuvent effectivement avoir une dimension personnelle. Pour autant, il faudrait en établir une cartographie fine pour déterminer celles qui relèvent précisément du régime des données personnelles.
Dans le cas où les données n'auraient pas de caractère personnel, on pourrait imaginer de leur appliquer un régime résultant du constat qu'elles sont néanmoins d'intérêt général et que, à ce titre, elles emporteraient l'obligation d'être partagées. Le projet de loi pour une République numérique ne prévoit plus ce genre d'obligation que pour les données produites par des délégataires de service public ; il semble difficile de l'étendre aux données produites par les exploitants agricoles.
Comme vous venez de l'indiquer, on pourrait souhaiter, en deuxième lieu, que les collectes de ces données non personnelles soient, du moins, contraintes à plus de transparence. Le projet de loi Lemaire fournit à cet égard une solution en instituant une obligation de loyauté des plateformes, qui seront tenues de révéler les données qu'elles gèrent, à l'intention de qui. Car une machine agricole hérissée d'objets connectés peut parfaitement être considérée comme une plateforme. C'est un dispositif qui assurerait la protection du consommateur, même en l'absence de données personnelles.
Enfin, on pourrait envisager de soumettre la collecte des données par les objets connectés au droit de la concurrence, en s'appuyant sur le constat que cette collecte crée un risque d'établissement d'un marché captif.
Dans le cas où les données collectées depuis un drone ou une machine agricole ont un caractère personnel, car reliées à une personne physique, la loi offre plusieurs moyens de redonner à l'agriculteur une maîtrise sur ses données et, par là même, à l'agriculture française ou européenne de récupérer un peu de souveraineté sur lesdites données.
En premier lieu, le projet de loi institue un droit à la portabilité. Ce droit est reconnu également dans le futur règlement européen, dont les derniers ajustements devraient intervenir en mai 2016, et qui sera directement applicable en mai 2018. La suite de la discussion législative devrait d'ailleurs permettre de caler le régime français sur le régime européen pour éviter des discordances. Mais, d'ores et déjà, tel quel, le règlement européen permettra à l'individu de récupérer dans un format interopérable les données qui portent sur lui, c'est-à-dire celles qu'il a lui-même déposées, ou celles qui résultent de sa navigation, de ses achats.
L'individu concerné pourra utiliser son droit à la portabilité pour récupérer ses données et les transmettre à un autre opérateur. Par exemple, il sera possible de récupérer auprès de sa grande surface commerciale les données cumulées sur une année décrivant son profil de consommation, et de les communiquer à une grande surface concurrence, par exemple pour négocier les conditions que celle-ci offrirait si on se proposait d'en devenir client.
Chaque agriculteur pourra, certes, mobiliser pour son compte ce droit à la portabilité. Peut-on aller plus loin et ouvrir la voie à un dispositif d'Open Access, c'est-à-dire mutualiser les données récupérées par chaque agriculteur et les mettre en libre accès comme vous le suggérez ?
Mettre son droit personnel au service d'une communauté, c'est une idée très intéressante, et je crois que rien ne l'interdit. Ce n'est pas dans cet esprit que ce droit a été accordé, mais rien dans la loi ne s'oppose à ce qu'il soit utilisé de cette façon. Pour autant, un contentieux sur cette manière de l'utiliser conduirait probablement le juge à mettre en balance ce droit à la portabilité avec le droit de propriété du fabricant. Le droit de propriété a valeur constitutionnelle tandis que le droit des données personnelles ne l'a pas, sauf indirectement à travers le droit à la vie privée ; mais rien ne permettrait d'anticiper la décision du juge à ce stade car cette manière de faire usage de ce droit personnel à la portabilité n'a pas été envisagée jusque-là.
À côté de ce droit à la portabilité, la collecte des données, dès lors que ces données ont un caractère personnel, peut être soumise au contrôle de la CNIL qui va s'interroger sur la loyauté des conditions de cette collecte. Or, cette loyauté n'existe pas si l'individu concerné n'a pas été informé de la collecte, s'il n'a pas été mis en situation de faire jouer ses droits sur ses propres données, si les finalités précises de la collecte ne sont pas claires ; en ce cas, la CNIL peut prendre des sanctions.
Toutes ces considérations sont cependant d'une portée toute relative lorsque les opérateurs à l'origine de la collecte sont établis hors d'Europe, et cela semble le cas pour certains grands constructeurs de machines agricoles. C'est un problème récurrent pour les autorités de protection des données personnelles. Mais le nouveau règlement européen réalise une avancée substantielle à cet égard puisqu'il étend son champ d'application à tout traitement qui cible un consommateur européen, ce qui évite les esquives invoquant le fait que le prestataire ne serait pas établi en Europe. Au-delà du droit, c'est cependant par un rééquilibrage du rapport de forces entre les instances européennes et les grandes entreprises internationales du numérique qu'il sera possible d'obtenir une meilleure maîtrise de la situation. Les autorités européennes ne manquent pas d'arguments dans ce bras de fer, car les grands opérateurs américains sont très intéressés par la clientèle européenne, nombreuse, éduquée, à haut niveau de revenu moyen (par rapport au reste du monde), disposant de temps, et pouvant constituer des parts de marché conséquentes pour des produits avancés comme les machines agricoles.
La protection des données personnelles s'étend au cas où elles sont exportées de l'Union européenne vers un pays tiers, car ce transfert est, en principe, interdit, sauf si le pays de destination assure un niveau de protection adéquat, qui doit être constaté par La Commission européenne. Celle-ci avait accordé le bénéfice de cette protection aux États-Unis à travers le mécanisme du « Safe Harbour » de juillet 2000. Or la Cour de justice de l'Union européenne a invalidé cette décision le 6 octobre 2015 (Arrêt Schrems). La cour conteste que les États-Unis apportent « un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l'Union », notamment du fait du pouvoir des services de renseignement américains d'accéder aux données commerciales. À la suite d'une mobilisation du G29, un nouveau dispositif de sécurité a été négocié par la Commission avec les États-Unis, le « Privacy Shield », qui est en cours d'analyse par le G29.
On perçoit bien qu'un secteur comme l'agriculture est concerné par ce genre de protection, car les capacités de traitement d'information permettent aujourd'hui de tirer bien autres choses des données a priori vues simplement comme commerciales. Les services de renseignement sont tout à fait en mesure de détourner ainsi vers leurs besoins des bases de données construites à d'autres fins. Il devient donc particulièrement pertinent de se montrer vigilant sur les garanties qui entourent l'exploitation de tous les gisements de données.
Un dernier mot pour indiquer que la CNIL a été très intéressée, par la découverte, grâce à la sollicitation de l'OPECST, de cette dimension numérique de l'agriculture, et qu'elle va s'efforcer désormais de faire une place à ce secteur dans son programme de contrôle, pour être en mesure de mieux comprendre les mécanismes techniques à l'oeuvre, en repérant précisément les objets connectés et les flux de données.