Isabelle Falque-Pierrotin, Cnil : « Il faut un New Deal mondial de la protection des données »

La présidente de la Commission nationale de l’informatique et des libertés (Cnil) s’exprime en détail dans Edition Multimédi@ sur la position du Parlement européen, présentée le 10 janvier, sur la réforme de la protection des données personnelles. En outre, elle dit pour la première fois ce qu’elle pense de la proposition en France d’une « taxe sur les données personnelles ».

Propos recueillis par Charles de Laubier

Edition Multimédi@ : Que pensez-vous de la proposition du rapport Collin & Colin, publié le 18 janvier, d’une fiscalité nationale assise sur la détention des données personnelles ?
IFPIsabelle Falque-Pierrotin : L’idée de travailler fiscalement sur
les données personnelles semble a priori naturelle au regard
de la réalité de l’économie numérique. La Cnil a été la première
à souligner l’importance des données personnelles, leur rôle
de carburant et de moteur de l’innovation. Mais il faut rester extrêmement prudent : d’une part, la fiscalité ne doit pas
envoyer des signaux contradictoires par rapport à nos principes de protection des données auxquels nos concitoyens sont fort attachés. L’outil fiscal doit donc encourager les comportements vertueux.
La protection des données personnelles se caractérise par des droits (accès, rectification, etc.) qui ne sont pas à vendre. Il conviendra donc, si une telle fiscalité est mise en place, de veiller à la cohérence des pratiques fiscalement valorisées avec la protection des données personnelles telle que garantie par la loi de 1978.
D’autre part, il ne faudrait pas assimiler les entreprises, dont le business model repose tout entier sur le traitement de nos informations, à celles qui sont appelées à en user de manière accessoire. La dernière difficulté que je vois est l’international, mais les deux rapporteurs ont bien relevé la nécessité d’une telle approche commune de la question.

EM@ : Comment accueillez-vous les deux rapports des eurodéputés Jan Philipp Albrecht et Dimitrios Droutsas présentés le 10 janvier, l’un sur le règlement et l’autre sur la directive de la réforme de la protection des données personnelles ?
I. F-P. : Sur le projet de règlement, les propositions du rapport Albrecht répondent, en grande partie, aux préoccupations exprimées par la Cnil et le groupe des Cnil européennes (G29). Il y a donc lieu de se féliciter des améliorations faites sur trois points principaux : le critère de compétence des autorités de contrôle, le rôle de l’autorité chef de file, et le rôle du Comité européen de protection des données (CEPD) qui succèdera au G29. Un nouvel équilibre entre des autorités qui restent compétentes est ainsi trouvé, au bénéfice des citoyens concernés.
Quant au rapport Droutsas, il estime que le projet de directive ne correspond pas aux exigences d’une protection des données élevée. La Cnil avait elle-même noté que le projet était nettement en retrait par rapport au projet de règlement communautaire et à la loi nationale française. Parmi les amendements proposés, une vingtaine proviennent des recommandations formulées par les Cnil européennes pour inclure dans la directive (1) des mécanismes d’évaluation de la nécessité et de la proportionnalité des données destinés à déterminer si elles s’avèrent nécessaires. Et ce, afin de prévenir l’établissement d’une espèce de société orwellienne dans laquelle toutes les données finiraient par être traitées et analysées.

« La publicité ciblée en ligne est licite à condition
que l’internaute y ait expressément consenti. »

La réalisation d’analyse d’impact relative à la protection des données, par le responsable du traitement ou les sous-traitants, devrait être prévue pour démontrer le respect de la directive, de même que les définitions précises des principes de la protection des données, et des éléments sur la conservation des données, la transparence, la conservation de données actualisées. Le régime proposé pour le transfert de données
à caractère personnel vers des pays tiers est amélioré pour éviter le transfert massif
de données à caractère personnel.
Il s’agit d’une étape importante, mais la Cnil sera vigilante sur les suites à venir (dépôt
des rapports définitifs, adoption au Parlement puis au Conseil européen…). En toute hypothèse, l’année 2013 sera décisive non seulement pour les textes de l’Union européenne mais aussi pour ceux de l’OCDE et du Conseil de l’Europe.

EM@ : Quelles sont les plus grandes avancées de ces futurs règlement et directive pour les utilisateurs ?
I. F-P. :
Sur la future directive, la protection des données constitue un droit fondamental et la moindre exception aux principes et aux droits devrait donc être dûment justifiée. Même si l’on comprend qu’il puisse y avoir des limitations ou des aménagements aux principes de protection des données et aux droits des personnes dans le cadre du droit pénal (2).
A cet égard, le rapport Droutsas note que les exceptions globales et généralisées ne sauraient être acceptées. De même, les conditions du profilage restent à définir.
Sur le futur règlement, le renforcement des droits des personnes est indéniable et il y a lieu de s’en féliciter. Il s’agit de redonner confiance aux citoyens dans l’exercice de leurs droits « numériques » en adaptant les droits d’accès, de rectification, d’opposition et de consentir au traitement, aux nouveaux usages technologiques. A cet égard, les projets des eurodéputés renforcent les droits des personnes dans les transferts de données
vers des pays hors Union européenne, et précisent les conditions de recours à la pseudonymisation et à l’anonymisation de données. Ils précisent aussi les modalités d’exercice, gratuit, du droit d’opposition qui doit être proposé en termes clairs et simples par les responsables de traitement, et d’expression du consentement, qui devra être donné de manière explicite, notamment en matière de profilage. La publicité ciblée en
ligne est licite à condition que l’internaute y ait expressément consenti.
En revanche, sur la reconnaissance d’un droit à l’oubli numérique, les avancées ne
sont pas déterminantes car son corollaire, droit au dé-référencement, n’a pas été repris par le rapport Albrecht. La reconnaissance d’un droit à la portabilité des données, dans
le prolongement du droit d’accès, me paraît un très bon moyen de réintroduire de la concurrence entre les différents acteurs économiques : les abonnés aux diverses plates-formes, dont les réseaux sociaux, pourront s’affranchir d’un lien exclusif et quasi obligé avec eux pour changer d’opérateur en récupérant l’ensemble de leurs données sous un format interopérable. Ce renforcement des droits et des obligations d’information et de transparence devrait permettre d’éviter la perte de contrôle et de maîtrise de ses données par les internautes.

EM@ : Alors que Facebook, Twitter, Yahoo ou Google sont des « médias sociaux » mondiaux : la législation européenne sur les données personnelles aura-t-elle une portée internationale ?
I. F-P. :
Pour adapter le cadre réglementaire européen à la globalisation des échanges économiques, il convient de porter le New Deal de la protection des données au niveau mondial. Face à des acteurs de l’Internet majoritairement américains, il faut donc être
en capacité de peser sur ces acteurs en maintenant un haut niveau de protection des données personnelles pour les citoyens européens. Nos entreprises européennes ne sauraient se retrouver en situation de faiblesse par rapport aux entreprises étrangères, alors même que les données personnelles, contrairement aux énergies fossiles, sont
un carburant inépuisable et en forte progression, pour les opérateurs de l’Internet.
Pour toutes ces raisons, le projet de règlement prévoit d’appliquer les dispositions européennes aux entreprises situées hors de l’Union Européenne lorsqu’elles offrent
des biens ou des services, ou encore ciblent, des résidents de l’Union. Le rôle du
CEPD sort renforcé des propositions du rapport Albrecht, avec un mécanisme
amélioré de coopération entre les autorités nationales.

EM@ : Faut-il un « G29 » ou un « CEPD » mondial ?
I. F-P. :
On en est encore loin dans la mesure où les règles ne sont pas encore les mêmes de part et d’autre de l’Atlantique ! Pour autant, la réflexion avance entre l’Europe
et les pays de la zone APEC (Asie Pacifique) sur des mécanismes de reconnaissance mutuelle et d’interopérabilité susceptibles d’être mis en place. Une réunion réunissant l’ensemble des parties prenantes (3) a d’ailleurs lieu à la fin du mois de janvier à Djakarta.

EM@ : Pourquoi les Cnil européennes sont-elles hostiles à ce que les entreprises ne demandent l’autorisation en Europe qu’à une seule Cnil jouant ainsi le rôle de guichet unique ?
I. F-P. :
Les Cnil européennes sont parfaitement conscientes de la nécessité de simplifier les formalités administratives en évitant que les entreprises établies dans plusieurs Etats n’aient à multiplier les demandes d’autorisation par pays et disposent d’un interlocuteur unique pour accomplir l’ensemble de leurs démarches (4) en réduisant ainsi les coûts administratifs. Cependant, le G29 avait pointé le danger d’une gouvernance, trop centralisée, retenue par le projet initial. En effet, en faisant du lieu de l’établissement principal le critère exclusif de la compétence des autorités de contrôle, la Commission européenne retenait un critère source d’insécurité juridique pour le citoyen comme pour les entreprises. D’abord, ce critère ne vaut, de fait, que pour les grands acteurs de l’économie numérique, et n’épouse pas la structure interne des entreprises dans leur diversité (5). Par ailleurs, l’autorité du pays du citoyen se transforme en une simple
boîte aux lettres qui transfère les plaintes à l’autorité du pays de l’établissement principal. Enfin, le risque de data dumping en fonction des capacités effectives des autorités de contrôle ainsi que les problèmes d’articulation entre la protection des données et les autres législations nationales qui interagissent ensemble (droit social, droit du travail,
etc.) apparaissent comme autant d’obstacles à l’application de ce critère.
Harmonisation, sécurité juridique et diminution des coûts administratifs peuvent être garantis par la mise en place d’un système dans lequel le critère de compétence des autorités de protection doit être le lieu de résidence du citoyen concerné (comme dans le droit de la consommation) et/ou l’établissement du responsable de traitement ou du sous-traitant. L’autorité du principal établissement serait alors un simple point de contact mais pas une autorité ayant une compétence exclusive.

« Le critère de compétence des autorités de protection
doit être le lieu de résidence du citoyen concerné. »

EM@ : Beaucoup d’entreprises pointent le risque de contraintes qui pénaliseraient les PME et Internet…
I. F-P. :
Avec la simplification des formalités administratives, il y aura une quasi disparition du système de déclaration actuel. Les autorisations préalables pour les transferts disparaîtront également. L’impact du projet de règlement sur les entreprises sera très structurant en ce qui concerne les mesures d’accountability (6). La Cnil et ses homologues s’en félicitent (7). Il ne s’agit évidemment pas de nuire au développement économique des entreprises européennes mais d’y contribuer en leur donnant les moyens de relever les défis concurrentiels vis-à-vis d’acteurs étrangers, qui devront suivre ces mêmes règles. La Cnil s’est engagée dans cette voie, et bâtit, dès à présent, en anticipant sur les futurs textes, de véritables packs de conformité avec certains professionnels.

EM@ : Que fait la Cnil en matière d’éducation numérique ? Que prévoyez-vous cette année ?
I. F-P. :
C’est un sujet majeur pour nous. Il y a déjà quelques années que la Cnil mène
de nombreuses actions pédagogiques pour sensibiliser les jeunes, les enseignants et les chefs d’établissements aux nouveaux usages numériques. Désormais, je crois qu’il faut changer de braquet en renforçant l’action de la Cnil avec l’élaboration de nouveaux outils et l’élargissement de leur diffusion. A cette fin, un poste de responsable de l’éducation au numérique a été créé en novembre 2012 afin de développer les relations avec les acteurs concernés, publics (Education nationale, …) et privés. Un plan d’action sera annoncé prochainement.

EM@: François Hollande avait promis un habeas corpus numérique. Les ministres de la Justice et de l’Intérieur réfléchissent à un projet de loi, prévu au 1er semestre. Que préconise la Cnil ?
I. F-P. :
Cela pourrait être l’occasion pour la Cnil de proposer, par exemple, de nouvelles dispositions législatives relatives à la question sensible des fichiers de police et de renseignement, à laquelle nos concitoyens sont particulièrement attentifs. Nous menons actuellement un contrôle du fichier STIC (8) : les recommandations que nous formulerons, pourraient trouver leur place dans cet habeas corpus. De même, il pourrait être proposé de permettre aux parlementaires (par l’intermédiaire des présidents des deux assemblées) de saisir la Cnil pour avis sur des propositions de loi touchant à la protection de la vie privée de nos concitoyens. @