Isabelle Falque-Pierrotin (Cnil) : « Nous ne pouvons plus agir sans augmentation de nos moyens »

Décideurs. Vous appelez les pouvoirs publics à confier à la Cnil plus de moyens. Pour quelles raisons ?

Isabelle Falque-Pierrotin. La Cnil est un régulateur complet qui agit de la pédagogie à la sanction. Mais depuis quatre ans, de nouvelles missions nous sont régulièrement confiées. Nous ne pouvons plus agir efficacement sans augmentation de nos moyens. Il y a urgence : c’est la première fois que nous devons alerter publiquement les pouvoirs publics, et dans cette demande, nous sommes bien sûr raisonnables.

Vous avez également un second message d’alerte à faire passer…

Effectivement, la protection des données évolue dans un cadre juridique nouveau depuis l’adoption du règlement européen qui entrera en vigueur en aout 2018. D’ici là, les entreprises concernées devront s’être mises en conformité en se dotant d’un DPO (Data Protection Officer). Les contrôles a priori sont minorisés au profit d’une responsabilisation des entreprises elles-mêmes. Dans ce contexte, il faut que le régulateur soit prêt. Nous avons donc besoin de nouvelles règles nationales notamment en matière de sanction.

« Après le juridique et le technique, notre action doit maintenant répondre aux préoccupations éthiques »

Nous appelons donc à l’adoption d’une loi Cnil 2 qui fasse coïncider les dispositions nationales aux textes européens. Nous travaillons déjà avec la Chancellerie à ce sujet. Malheureusement, étant donné le contexte électoral, nous avons conscience que cela ne sera pas facile d’aboutir rapidement alors qu’il faudrait qu’un projet de texte soit déposé en conseil des ministres avant l’été…

Justement, puisque vous parlez du règlement européen relatif à la protection des données, pensez-vous que les entreprises seront prêtes en 2018 ?

Selon une étude menée par le Medef, seules 10 % des entreprises considèrent qu’elles seront prêtes en 2018. Nous pensons au contraire qu’elles le seront puisque notre cadre juridique aura changé. Aujourd’hui, 17 000 entreprises sont dotées d’un CIL (correspondant informatique et libertés). Demain, elles seront 80 000 à avoir un DOP et a avoir ajusté leur culture dans l’organisation de leur système informatique. Notre message est donc clair : mettons-nous en ordre de marche !

Nous avons d’ores et déjà tout organisé pour guider tous les acteurs publics et privés dans cette transition. Nous venons d’ailleurs de publier sur notre site une méthodologie en six étapes. Il pourra bien sûr y avoir une montée en puissance de ces nouvelles responsabilités en fonction de la taille des entités concernées, publiques comme privées, mais ces dispositions seront pleinement applicables dans quelques mois. Le réglement européen est une étape majeure dans le renforcement des droits des personnes, il permet d’importantes sanctions et crée une gouvernance européenne.

C’est-à-dire ?

C’est-à-dire que jusqu’à présent, les Cnil européennes pouvaient « se mettre d’accord » pour agir de la même manière. Demain, nous agirons ensemble grâce à la codécision à 28.

Ce réglement n’est pas le seul changement normatif…

Nous avons effectivement beaucoup travaillé sur la loi pour la République numérique qui impacte la protection des données personnelles, tout en confiant de nouvelles missions à la Cnil. Nous avons également fait aboutir les négociations sur le privacy shield pour mettre fin au bras de fer entre l’Europe et les États-Unis en la matière.

« Il n’y aura pas d’innovation sans protection des données personnelles »

Quels sont les changements notoires auxquels vous avez participé ?

Tout d’abord l’affirmation de la maîtrise par l’individu de ses données. Jusqu’à peu, l’informatique était considérée comme une sorte de colonisation par les entreprises numériques des individus pourvoyeurs de données. Le règlement européen leur donne de nouveaux droits comme la portabilité des données et les remet au cœur de la régulation. La loi sur la république numérique modifie l’article 1 de la loi informatique et libertés en conférant aux personnes un droit à l’autodétermination informationnelle pendant leur vie et après leur mort. Cela renforce la dimension pédagogique de notre mission. Nous adressons dès maintenant un programme d’éducation populaire au numérique à l’ensemble des candidats à la présidentielle.

Vous parlez aussi d’élargir la régulation au-delà du juridique et du technique. De quoi s’agit-il ?

La Cnil a renforcé notablement son intervention juridique et technique et nous considérons que notre action doit maintenant répondre aux préoccupations éthiques. Le numérique ne fait pas que modifier notre modèle économique, il pousse à la redéfinition des pactes sociaux. C’est une des raisons pour laquelle nous devons accompagner les entreprises dans cette transition : il n’y aura pas d’innovation sans protection des données personnelles. Nous travaillons par exemple sur les futurs pactes en matière de véhicules connectés qui récoltent une multitude de données. Nous devons en avoir la maîtrise conformément à la loi.

Ces nouvelles missions éthiques se font l’écho des besoins nouveaux nés de la transition numérique. Mais la Cnil ne peut pas organiser seule cette réflexion éthique. Nous lançons donc un débat public en débutant par la question des algorithmes. Présent maintenant dans de nombreux secteurs, notamment l’économie, la médecine et la justice, il nous faut lever le voile sur le champ d’intervention qu’ils laissent aux individus dans la prise de décision. Nous avons déjà réuni une vingtaine de partenaires et fixé plusieurs dates de rencontres pour pouvoir formuler des recommandations aux pouvoirs publics. De régulateur nous nous transformons en animateurs de la communauté d’acteurs.

Où en est le dossier Facebook ?

Il est toujours à l’instruction. C’est une longue histoire et nous n’avons pas encore tranché.

Propos recueillis par Pascale D’Amore lors de la remise annuelle du rapport.