![[Interview] Pour la CNIL, la loi Numérique « va dans le bon sens »](https://cdn.next.ink/inpactv7/data-next/images/bd/wide-linked-media/964.jpg "[Interview] Pour la CNIL, la loi Numérique « va dans le bon sens »")
Alors que le projet de loi Numérique pourrait entrer en vigueur dès le mois d’octobre, Isabelle Falque-Pierrotin, présidente de la CNIL, estime que le texte « va dans le bon sens ». Et ce même si la gardienne des données personnelles n’a pas toujours été bien suivie par le législateur... Entretien.
La Commission nationale de l’informatique et des libertés (CNIL) a publié jeudi 8 juillet un communiqué sans fard ni paillettes pour évoquer les mesures du projet de loi Numérique relatives à la protection des données personnelles. Next INpact a pu interroger plus largement sa présidente afin de revenir sur les dispositions du texte adopté le 29 juin dernier en commission mixte paritaire, qui a débouché sur des compromis au rabais à propos notamment du montant des amendes que pourra prononcer l’autorité administrative indépendante (voir notre article).
Nous en avons également profité pour interroger Isabelle Falque-Pierrotin sur le Privacy Shield, finalisé hier par la Commission européenne, ou bien encore sur les récentes propositions de loi tendant au couplage entre vidéosurveillance et reconnaissance faciale.
Le gouvernement et la majorité vantent régulièrement le caractère « ambitieux » du projet de loi Numérique. Partagez-vous cet avis, au regard du texte retenu en CMP ?
Pour nous, c'est un texte qui représente un certain changement, bien sûr.
Un changement que vous jugez satisfaisant ?
Oui, c'est un changement satisfaisant. Il y a toute une série d'élargissements des missions de la CNIL qui vont dans le sens de l'accompagnement que nous menons déjà depuis de nombreuses années sur l'Open Data, la transition numérique, les technologies de chiffrement... En ce qui nous concerne, c'est un texte qui va dans le bon sens.
Vous n’avez pourtant pas obtenu gain de cause sur certains points, notamment sur le montant maximal de vos amendes...
Écoutez, aujourd'hui on a 150 000 euros. On va passer à 3 millions d'euros... Oui, on aurait pu avoir plus, mais c'est déjà pas mal !
Je rappelle qu’on est dans une situation un peu particulière, puisqu'on se situe entre deux cadres juridiques. La décision qui a été prise, c'est d'anticiper le règlement européen sur les données personnelles. On va avoir des amendes beaucoup plus élevées, mais qui seront prononcées au seul niveau national, par la CNIL. C'est pour ça qu’un montant moindre a été retenu.
Pensez-vous que 3 millions d'euros puissent faire peur à Google ou Facebook ?
Non, mais il s'agit plutôt d'un signal politique, qui consiste à dire à Google : d'ores et déjà en France, nous anticipons le niveau de sanction beaucoup plus élevé que le règlement vous imposera et qui sera opérationnel à partir du 24 mai 2018. L'important, c'est surtout ça.
À partir cette date, on aura un montant de sanction de 4 % du chiffre d'affaires mondial sur certains manquements ou 2 % sur d'autres, et ça, ce sont des montants absolument considérables ! Donc je trouve que le dispositif intermédiaire que propose le projet de loi Numérique est intéressant pour nous, parce qu'il nous offre une courbe d'apprentissage sur ces niveaux de sanction plus élevés. C'est une bonne mesure transitoire.
Et sur l’instauration d’une saisine parlementaire de la CNIL, supprimée à l’initiative du Sénat ?
On nous a opposé un argument juridique lié à la loi organique. J'avoue qu'on n'a pas été complètement convaincus...
Ce que je retiens, c’est que la saisine pour avis de la CNIL sur les projets de loi et de décret est vraiment clarifiée et élargie. On y était très favorable, car ça résout le problème que nous rencontrons quotidiennement en ce moment : la loi Informatique et Libertés, telle qu'elle est rédigée aujourd'hui, fait que nous ne sommes pas consultés sur un certain nombre de textes dans la mesure où cette rédaction peut être interprétée de façon très restrictive. Là, on devra nous saisir pour avis sur tous les projets de loi ou de décret qui s'intéressent à la protection des données personnelles, sans que ce soit l'enjeu principal du texte. Dès lors qu'il y aura une dimension « protection des données personnelles » dans un texte (sur l'hôtellerie, l'automobile...), la CNIL devra être consultée. Et ça c'est bien !
Si je vous suis bien, vous n'avez donc pas de déception particulière sur ce projet de loi ?
Pour ce qui est de la CNIL, non.
Les actions de groupe en matière de données personnelles (qui ont finalement été introduites dans le projet de loi pour la justice du 21ème siècle) permettront uniquement d’obtenir la cessation d’un manquement à la loi Informatique et Libertés. Ne risque-t-on pas de vider cet outil de sa substance, les actions de groupe ayant aussi – et peut-être surtout – vocation à réparer un préjudice ?
Bien sûr... Le législateur n'a visiblement pas souhaité aller au bout des propositions qui lui avaient été faites. Nous le regrettons, parce qu'aussi bien au niveau national qu'au niveau du G29, c'est un nouvel outil qui nous paraissait utile et correspondant à des attentes assez fortes de la part des consommateurs et des utilisateurs français et européens. Donc effectivement, c'est une déception sur ce point.
Le Sénat souhaitait restreindre l’usage des dispositifs biométriques en France. Regrettez-vous que ces dispositions aient finalement été retirées en CMP ?
Non, on ne le regrette pas puisque la CNIL a une position plus nuancée sur ce sujet. Nous avons une approche assez pragmatique : nous considérons que dans certains cas, la biométrie peut être utilisée à condition que ce soit dans des conditions strictes. Nous sommes d’ailleurs en train d'élaborer des autorisations uniques qui précisent justement ces conditions d'utilisation, qui seront très exigeantes (notamment sur le plan de la sécurité). La position du sénateur Gorce [ndlr : initiateur de ces dispositions, par ailleurs membre de la CNIL] n'était pas stricto sensu la position de la CNIL.
Deux propositions de loi ont récemment été déposées afin d’autoriser les forces de l’ordre à coupler vidéosurveillance et logiciels de reconnaissance faciale. Cela vous inquiète-t-il ?
Ce sont des initiatives sur lesquelles nous sommes extrêmement prudents. La possibilité, une fois que ce couplage serait fait, de profiler finalement un peu à la volée l'ensemble de la population, est évidemment très grande. On comprend les raisons qui poussent à utiliser ce type d'outils – du fait de la lutte contre le terrorisme –, mais nous sommes très vigilants qu'au terme des expérimentations qui seront menées, des garanties très très strictes soient bien mises en place.
La Commission européenne assure avoir pris en compte les préoccupations du G29 pour mettre à jour le Privacy Shield. Quel est votre sentiment ?
Nous sommes en train d'étudier la décision de la Commission. Nous verrons si ce texte et ses annexes répondent effectivement aux préoccupations que nous avions exprimées en avril. Une réunion spéciale du 29 est prévue à la fin du mois pour justement être capable de produire une prise de position sur ce Privacy Shield. Je ne veux pas anticiper.
Que se passera-t-il si le G29 conclut qu’il demeure des zones d’ombre ?
Notre marge de manoeuvre est nulle. Le Privacy Shield a été conclu. En revanche, l'appréciation que portera le G29 sur le Privacy Shield, au regard de ce qu'a demandé la Cour de justice, sera très importante pour le futur (s'il y a des plaintes ou des actions devant la CJUE). L'appréciation juridique qu'apportera le G29 sur ce Privacy Shield et sur la manière dont il répond totalement, partiellement ou pas du tout aux préoccupations des CNIL européennes conditionnera la robustesse juridique de l'outil.
L’entrée en vigueur du règlement européen risque-t-elle d’impacter cet accord ?
C'est pour ça que nous avions demandé à ce que le Privacy Shield soit réévalué à la lumière du règlement, lorsque celui-ci sera applicable. Effectivement, le niveau d'exigence du règlement est plus élevé que ce que le Safe Harbor et donc le Privacy Shield prévoient.
Le gouvernement a annoncé la semaine dernière que de nouvelles investigations allaient être menées à propos de l’IP Tracking. La CNIL va-t-elle en faire de même ? Avez-vous d’ailleurs reçu des plaintes à ce sujet récemment ?
Non, nous n’avons pas prévu de rouvrir une enquête. À ma connaissance, nous n'avons pas eu de nouvelle plainte sur des pratiques de ce type. Vous vous souvenez qu'à l'époque, l'enquête que nous avions menée avec la DGCCRF n'avait pas véritablement révélé d'offres dépendant de l'adresse IP. Il y avait du yield management, mais pas d'IP Tracking.
Merci Isabelle Falque-Pierrotin.
Commentaires (10)
#1
Merci pour cet entretien.
#2
+1
" />
Globalement, cette loi est positive pour la CNIL, même si comme elle le dit, ça aurait pu aller plus loin.
Marrant d’ailleurs de voir qu’ici, la loi française anticipe l’européenne, alors que sur d’autres sujets, on nous dit souvent “la loi européenne arrive donc pas la peine d’en faire une française, il suffit d’attendre”…
Sinon, le G29 va-t-il devenir le G28 ?
#3
« Sinon, le G29 va-t-il devenir le G28 ? »
a priori non, car G29 est l’abréviation de : Groupe de travail «Article 29»
sources :
https://www.cnil.fr/fr/definition/g29
http://ec.europa.eu/justice/data-protection/article-29/index_fr.htm
#4
Certes, mais :
" />
Le G29 se compose :
d’un représentant de (des) l’autorité(s) de contrôle désignée(s) par chaque État membre ;d’un représentant de (des) l’autorité(s) mise(s) en place pour les institutions et organes de l’UE ;
Reste à savoir si les anglois font partie d’un État membreet sont un organe de l’UE
#5
Merci à Xavier et Isabelle pour cet excellent entretien, à la fois éclairant et concis. Couplé avec l’article de Marc sur la SNEP, on retrouve le bonheur de lire de l’actualité informatique de qualité
" />
#6
Sinon, pPas un mot sur la rapprochement avec l’ARCEP ?
Il me semble que la fusion pure avait été écartée, mais que les deux entités allaient quand même travailler ensemble sur certains dossiers… J’ai peut-être oublié les dernières décisions ?
#7
Le jour où le Royaume-uni n’aura plus de Commissaires européens, j’imagine mal que des représentants se maintiendraient au sein d’une organisation normative de l’UE comme le G29.
Mais, c’est amusant (ou plutôt pathétique) de voir le ridicule de la situation actuelle entre des britanniques soit-disant contre la normalisation “imposée” par l’UE mais pas pressés de quitter les instances de l’UE, et l’UE qui souhaite soit-disant voir le Royaume-uni négocier le plus rapidement son retrait mais qui n’a aucun intérêt à voir s’éloigner l’un de ses membres les plus solides économiquement parlant. La réalisation du Brexit devrait durer encore quelques années, on en reparlera encore dans 2 ou 3 ans (et d’ici là, de l’eau aura coulé sous les ponts).
#8
Il me semblait qu’il était prévu dans la Loi Numérique de fusionner la CNIL (protection des libertés informatiques) avec la CADA (droit de communication des documents administratifs).
#9
Oui j’ai confusionné entre toutes ces entités
" />
" />
Xavier, Marc ? Un petit update sur ce sujet ?
#10
Tout à fait d’accord avec ton commentaire. C’est ce qui fait l’intérêt de ce site.
" />