The European Venue for Green Ideas
Society, Media and Culture

Protéger les données tout en permettant l’innovation, une question de régulation?

Les grands acteurs d’Internet disposent de plus en plus de données personnelles, posant d’immenses défis en termes de libertés publiques. Les Etats ont progressivement mis en place des instances de régulation. Mais font-elles le poids face aux grandes firmes du Net? Le point avec Isabelle Falque-Pierrotin, présidente de la Commission Nationale de l’Informatique et des Libertés (CNIL), autorité administrative indépendante ayant en charge la régulation des données personnelles en France.

Benjamin Joyeux: En tant que présidente de la CNIL, quelles sont vos principales missions aujourd’hui?

Isabelle Falque-Pierrotin: La principale mission de la CNIL est d’être un régulateur de la donnée: il s’agit de trouver le bon équilibre entre la protection des données personnelles des individus et la liberté des acteurs économiques face aux opportunités des nouvelles technologies. Au départ, le métier de la CNIL était un métier de protection des fichiers publics, pour évoluer progressivement en régulateur économique de la donnée, aspect qui n’existait pas au moment de sa création en 1978. Actuellement il y a un déséquilibre certain entre les simples individus connectés, usagers d’Internet, et les entreprises du Net qui utilisent les données. Pour contrebalancer ce déséquilibre, on doit d’abord fournir toutes les informations utiles aux internautes. Cette dimension éducative est devenue une part très importante du travail de la CNIL. Nous avons par exemple lancé avec une soixantaine d’organismes un collectif d’éducation au numérique.

Une autre mission de la CNIL est de recevoir les plaintes des particuliers. Nous recevons actuellement environ 8000 plaintes par an émanant de particuliers, qu’il s’agisse de question d’e-réputation, de demandes de fermeture de comptes sur les réseaux sociaux, de droit d’accès aux données, etc. Dans 98% des cas, nous servons d’outil de médiation. Néanmoins quand la sanction s’avère nécessaire, nous n’hésitons pas, car c’est une arme de dissuasion irremplaçable. La formation restreinte de la CNIL peut prononcer diverses sanctions, dont une sanction pécunière, d’un montant maximal de 3 millions €, sanction qui peut être rendue publique. Nous prononçons actuellement une quinzaine de sanctions par an. Ainsi la CNIL est un régulateur assez complet puisqu’elle dispose de l’ensemble des outils, de l’information pédagogique, l’accompagnement à la conformité des entreprises,  jusqu’à la sanction.

La CNIL possède également une mission de protection vis-à-vis des fichiers publics des administrations avec les mêmes compétences que pour les fichiers privés. Nous pouvons mettre en demeure une administration ou un ministre: pour la procédure APB[1] par exemple, nous avons mis en demeure le ministère de l’Education nationale parce, entre autre manquements,  il y avait un défaut  d’information de droit d’accès pour les personnes concernées.

Comment s’inscrit la CNIL vis-à-vis de ces fichiers publics, dont le nombre explose notamment dans un contexte de surveillance accrue en raison du risque terroriste?

A la CNIL, on ne peut pas se limiter à une position binaire entre les deux objectifs que sont la nécessaire sécurité des citoyens d’un côté, et la protection de leurs données de l’autre. Si on se limite à cette opposition, on reste dans une forme d’impasse. Il y a certes une tension croissante entre les deux principes. Cela s’était cristallisé notamment au moment des débats autour de la loi relative au renseignement de juillet 2015[2]. Nous considérons que la sécurité et la protection des données ne s’opposent pas mais sont deux principes fondateurs d’un Etat de droit. Si au nom de la sécurité, on porte atteinte à la protection des données personnelles, il faut alors mettre en place davantage de garanties pour les individus. Quelles sont elles? Au moment du débat sur la loi renseignement, la CNIL a soutenu que celle-ci devait avoir une clause de revoyure[3], et que l’utilisation des données devait être conditionnée à la lutte contre le terrorisme stricto sensu. Nous avions également souligné que l’absence de contrôle aval de ces fichies n’était pas démocratiquement sain, et nous souhaitions nous voir reconnaître cette compétence de contrôle externe. C’est un sujet que j’avais longuement évoqué avec le Premier Ministre de l’époque. Le problème du contrôle des fichers de renseignement avait été posé dès 2013 par la CNIL, car ces fichiers sont de plus en plus consultés pour prendre des mesures très opérationnelles à l’encontre d’individus. Le fichier S[4] par exemple, bien connu du grand public, est un sous-fichier d’un ensemble que nous contrôlons techniquement.

Il existe un droit d’accès indirect à ces fichiers : la loi prévoit que la personne concernée ne peut pas demander directement au responsable du fichier si et pourquoi elle y figure. La CNIL est alors l’intermédiaire du particulier vis-à-vis du responsable du fichier. Nous recevons environ 4000 demandes par an de droit d’accès indirect, concernant des fichiers de police, de gendarmerie ou de renseignement. Nous garantissons aux demandeurs l’intervention d’un magistrat de la CNIL délégué pour exercer cette prérogative.

Quels moyens la CNIL a-t’elle à sa disposition, en comparaison de ses voisins européens? Sont-ils suffisants en regard de vos nouvelles missions, avec l’augmentation de l’emprise du numérique dans la sphère économique? 

 La CNIL, c’est 200 personnes pour un budget annuel de 17 millions d’euros. L’année passée, j’ai demandé une nouvelle augmentation des ressources et nous n’avons pas vraiment été entendus. L’équivalent de la CNIL chez nos voisins européens, c’est par exemple environ 600 personnes en Allemagne. En Grande Bretagne, c’est également à peu près 600 personnes, disposant de plus de la compétence CADA (droit d’accès aux documents administratifs). En Pologne, c’est environ 150 personnes, et à peu près la même chose en Irlande, qui a considéralement renforcé son dispositif ces dernières années. Au niveau européen, nous travaillons dans le cadre du RGPD: ce Règlement Général sur la Protection des Données vise à renforcer les droits et les libertés des citoyens européens vis-à-vis de leurs données personnelles, mais également à encadrer le comportement des entreprises qui utilisent ces données.[5] Il permet de lutter contre le rapport asymétrique entre les internautes et les grandes firmes du Net, en renforçant notamment juridiquement la notion de « consentement » ou le « droit à la portabilité ». Apport majeur du RGPD, ce dernier droit permet à tout internaute de pouvoir récupérer l’ensemble de ses données personnelles dans un format lisible et interopérable.[6]

Depuis cinq ans, la CNIL se voit confier de nouvelles missions à effectif quasi constant: contrôle de la vidéosurveillance, compétence concernant les failles de sécurité des systèmes informatiques dans les entreprises, mission éthique, etc. Aujourd’hui, nous devons accompagner les acteurs économiques vers la mise en conformité juridique de leurs pratiques numériques à la veille de l’entrée en application du RG¨PD le 25 mai 2018. Nous disposons d’un patrimoine normatif important offrant des référentiels juridiques par secteur, et il faut que nous soyons encore davantage présents pour pouvoir proposer nos offres. La CNIL permet aux acteurs économiques de disposer d’outils de droit souple permettant une certaine sécurité juridique. Ce rôle d’accompagnement personnalisé sera une de nos principales missions dans les années à venir.

A votre avis, quelles sont les principales opportunités, mais également les principaux dangers du développement des données numériques, de l’intelligence articifielle et des algorithmes dans la vie de tous les jours?

L’intelligence artificielle (IA) et les algorithmes sont des outils extraordinaires dans un certain nombre de domaines, pour personnaliser les soins de santé, pour mieux faire fonctionner les hôpitaux, pour optimiser un certain nombre d’outils logistiques, pour la gestion du trafic routier, etc. Ces outils fournissent des bénéfices collectifs considérables. Dans le même temps, ils peuvent légitimement faire peur parce car ce sont des « boîtes noires » pour le grand public, complexes et contenant des informations dont il peut se sentir dépossédé. Un algorithme qui à partir de données médicales déterminerait le prix des assurances pour les personnes est extrêmement dangereux, mais un algorithme qui avec ces mêmes données permet simplement de savoir quel est le meilleur traitement médical constitue un progrès certain. Nous avons effectué un sondage il y un an sur les notions d’algorithme. Il s’avère que les Français ont bien identifié l’objet technique dans leur paysage mental, mais ils ne savent pas comment cela fonctionne réellement.

La CNIL a publié un rapport en décembre dernier intitulé « Comment permettre à l’Homme de garder la main ? Rapport sur les enjeux éthiques des algorithmes et de l’intelligence artificielle » Ce rapport nous a conduits à organiser un grand débat public pendant un an, en travaillant avec plus d’une soixantaine d’acteurs qui ont organisé des consultations pour voir dans chacun de leur champ de compétence les problématiques éthiques posées par les algorithmes. Ce rapport formule des recommandations, dont deux principes nouveaux:

  • le principe de loyauté : l’algorithme ne doit pas trahir l’utilisateur, ni la communauté.
  • le principe de vigilance: l’algorithme doit sans cesse être remis en question, car il est extrêmement complexe et en perpétuelle mutation.

Nous poussons aujourd’hui ces principes à l’échelle mondiale en mettant en place un groupe de travail international.

Pensez-vous que le législateur est suffisamment armé face à la vitesse d’innovation de ce secteur et la force de frappe notamment financière des grandes multinationales du numérique? N’est-ce pas un combat inégal et perdu d’avance? « Comment permettre à l’homme de garder la main » pour reprendre le titre de votre rapport?

Il faut déconstruire cette idée qui n’est pas juste. Le niveau européen est assurément l’échelon pertinent face à ce défi. Nous avons déjà et nous aurons de plus en plus la capacité de faire entendre notre voix par rapport à ces grands acteurs du numérique. Oui il y a des difficultés qui peuvent être politiques, mais la capacité d’action des régulateurs existe réellement. En 2014 par exemple, la CNIL était chef de file de l’action contre Google. Le débat tournait autour de la politique de confidentialité de Google parce que la firme s’affranchissait totalement des obligations des droits nationaux autour des notions de combinaison de données. On nous disait que nous ne pouvions rien faire en l’absence de base légale. Pourtant la CNIL a finalement condamné Google à une sanction pécuniaire de 150 000 euros, suivie ensuite par les Espagnols, etc. Nous avons obligé la firme à afficher pendant 48 heures sur sa page d’accueil cette sanction. Dès lors, les autorités de régulation ont compris qu’elles avaient un certain pouvoir. A partir de là, l’Union européenne a commencé à s’emparer du sujet. Le RGPD va nous donner la possibilité de codécider à 28 Etats membres. C’est une décision unique qui s’appliquera dans les mêmes termes à travers toute l’Europe, outil considérable de rééquilibrage du pouvoir des autorités de régulation face aux grandes firmes du numérique.

Par définition le monde du numérique et des nouvelles technologies ne connait pas de frontières. Les Etats ne sont donc pas un niveau de régulation suffisant dans un secteur jouant à l’échelle du globe. Comment travaillez-vous avec vos collègues à l’échelle internationale? Vous êtes présidente de la conférence mondiale des autorités de protection des données depuis septembre dernier. En quoi cela consiste-t’il?

Il est en effet impératif au vu des enjeux transfrontières de disposer d’un outil international suffisamment représentatif. Aujourd’hui, ce sont quelques 119 collectivités qui sont représentées au sein de la conférence mondiale des autorités de protection des données. Il y a également un Rapporteur spécial des Nations Unies en charge du droit à la vie privée, Joseph Cannataci, dont le mandat est principalement tourné vers la sécurité des données personnelles. Pour le moment, il s’agit d’un réseau informel, mais la question se pose de mettre en place un secrétariat permanent. Dans le cadre de cette conférence, nous avons une grande réunion informelle une fois par an organisée par un pays hôte qui change à chaque fois. Les autorités parties prenantes à cette conférence n’ont pas toutes exactement les mêmes missions dans leur pays respectif. Par exemple aux Etats-Unis, la FTC (Federal Trade Commission) en charge du secteur numérique, a également dans ses prérogatives le respect des règles de la concurrence. C’est donc une communauté très diverse. Mais tous les membres de cette conférence sont des autorités indépendantes.

A l’occasion de ces grandes réunions, un ou deux sujets sont à l’ordre du jour sur lesquels nous émettons ensuite une recommandation générale. Cette année, le sujet à l’ordre du jour sera justement celui de l’intelligence artificielle et des algorithmes. C’est donc le bon moment pour poser sur la table la question de la protection des données personnelles à l’échelle mondiale.

Quand je suis devenue présidente de cette conférence, j’ai lancé une réflexion globale pour élaborer une stratégie sur le futur de cette conférence internationale. Elle doit devenir une véritable instance qui fédère toutes les autorités pour répondre aux défis immenses posés par le numérique à l’échelle du Globe.

Il y a encore une méconnaissance du grand public, encore loin d’être conscient que les évolutions en cours du numérique risquent de bouleverser le monde du travail, nos systèmes sociaux, de santé, de défense, etc. Comment permettre aux citoyens et la société civile de s’emparer pleinement de ce débat?

De plus en plus de signaux nous montrent que cette question préoccupe le grand public. Par exemple beaucoup de gens installent des adblokers sur leurs ordinateurs pour limiter les publicités ciblées qui envahissent leurs écrans, et se protègent ainsi de ce qu’ils peuvent considérer comme une agression publicitaire de leur espace numérique privé. La prise de conscience du grand public est très progressive mais elle existe vraiment et est très progressive. Dans ce cadre, la CNIL a un rôle déterminant à jouer, un rôle que nous cherchons à renforcer depuis plusieurs années déjà. Le rôle éducatif des autorités de régulation vis-à-vis du grand public est fondamental. c’est pourquoi nous avons initié la création d’un collectif de 80 organismes qui œuvrent en faveur d’une éducation au numérique, en particulier au niveau international..

Depuis les révélations d’Edward Snowden, il y a une crise de confiance du grand public vis-à-vis du numérique. Celui-ci doit donc absolument continuer de se développer dans le respect des personnes et de leurs droits. Prenons l’exemple des Google Glasses, retirées de la commercialisation grand public en 2015 suite au tollé provoqué concernant leur impact probable sur la vie privée des individus. Cela montre bien que la protection des droits des individus et l’innovation ne s’opposent pas mais qu’elles vont de pair. Il faut rechercher en permanence le juste équilibre entre le droit des individus et celui des entreprises pour construire un monde numérique durable.

 

[1] APB ou Admission post-Bac, plateforme obligatoire pour tous les élèves français âgés de moins de 26 ans et voulant continuer des études supérieures après l’obtention du Baccalauréat.

[2] La loi relative au renseignement prévoyait la mise en place de plusieurs mesures controversées sur le plan des atteintes à la vie privée comme l’installation chez les opérateurs de télécommunications de dispositifs surnommés « boîtes noires » et visant à détecter les comportements suspects à partir des données de connexion.

[3] Une clause de revoyure est une clause de réexamen, formule par laquelle le pouvoir exécutif s’engage devant le Parlement à réexaminer une ou des dispositions législatives ou réglementaires au terme, à la fin d’une période d’expérimentation qui est fixée par la loi.

[4] En France, une fiche S est une fiche signalétique du fichier des personnes recherchées. La lettre S est l’abréviation de « sûreté de l’État ». Les fiches S sont principalement émises par la Direction générale de la Sécurité intérieure (DGSI).

[5] Adopté par le Parlement européen en avril 2016, ce règlement verra ses dispositions directement applicables par les 28 Etats membres de l’UE en mai 2018.[6] L’interopérabilité est la capacité que possède un produit ou un système à fonctionner avec d’autres produits ou systèmes existants ou futurs sans restriction d’accès ou de mise en œuvre.

Protéger les données tout en permettant l’innovation, une question de régulation?