Loi Lemaire, droit à l’oubli, loi Renseignement : interview de la présidente de la CNIL

Loi Lemaire, droit à l’oubli, loi Renseignement : interview de la présidente de la CNIL

« On n'a pas enterré la hache de guerre ! »

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

14/09/2015 12 minutes
10

Loi Lemaire, droit à l’oubli, loi Renseignement : interview de la présidente de la CNIL

Alors qu’Axelle Lemaire se prépare à déposer un projet de loi réformant la loi Informatique et Libertés, Next INpact a pu interroger Isabelle Falque-Pierrotin, la présidente de la Commission nationale de l’informatique et des libertés (CNIL). L’occasion d’évoquer de nombreux sujets en lien avec la protection des données personnelles : loi Renseignement, droit à l’oubli, règlement européen, etc.

Les gens ont parfois l’impression que la CNIL donne dix avertissements avant un blâme, puis dix blâmes avant une vraie sanction, de type amende. Que leur répondez-vous ?

Je leur réponds que le but de la CNIL, c'est de favoriser la mise en conformité. Les sanctions ne sont que l'arme de dissuasion ultime. Les sanctions sont en augmentation depuis maintenant 3-4 ans, puisqu'on a entre 15 et 20 sanctions chaque année. Les mises en demeure augmentent elles aussi, puisqu’à la mi-2015, j'avais prononcé autant de mises en demeure que sur toute l'année passée (à peu près 70).

L’action répressive de la CNIL fonctionne bien, mais elle demeure complémentaire à la partie « assistance à la conformité », qui se développe de plus en plus. Les données personnelles sont tellement disséminées qu’on ne peut pas se cantonner à la sanction. Cela reviendrait à avoir une prise sur la réalité du numérique qui serait très insuffisante, très partielle. C’est pour cela qu'on a renforcé nos outils d’assistance à la mise en conformité avec les labels, avec les packs de conformité, etc. Et tout cela nous permet de faire que cet univers numérique respecte les principes Informatique et Libertés.

Dans le cadre de la concertation organisée par le CNNum, la CNIL proposait pourtant d’augmenter le montant maximum de l’amende pouvant être infligé par l’institution, sans toutefois s'avancer sur un quelconque montant. Quelle sanction permettrait de « rendre la politique de contrôle et de sanction de la Commission plus crédible », comme vous le disiez à l’époque ?

Nous sommes effectivement favorables à un niveau de sanction qui soit beaucoup plus important que celui que nous avons actuellement. Mais concernant le pourcentage précis du chiffre d'affaires, très honnêtement, je ne suis pas capable de dire s’il faut que ce soit 2 % au lieu de 1 ou de 5 %... Dans tous les cas, ce sont des montants extrêmement importants pour les sociétés.

Vous avez quand même bien une petite idée en tête...

Disons que si c'est 2 %, c'est très bien.

Les premières versions de l’avant-projet de loi Lemaire laissent à penser que plusieurs de vos préconisations ont trouvé un écho favorable auprès du gouvernement : droit à l’oubli pour les mineurs, élargissement des saisines, action collective pour la protection des données personnelles, etc. Êtes-vous satisfaite des mesures ayant été élaborées par Bercy ?

Bien sûr ! Par rapport aux premières propositions qu'on avait faites il y a plusieurs mois, on a effectivement le sentiment d'avoir été entendus sur un certain nombre de points. Maintenant, nous allons voir. D'après ce que l'on comprend, il y a encore des arbitrages interministériels qui doivent intervenir. Il y a eu des fuites dans la presse, mais pour le moment nous ne sommes pas saisis officiellement d'un texte.

Vous avez eu jeudi un entretien avec François Hollande. De quoi avez-vous parlé ?

Je lui ai remis le rapport annuel de la CNIL pour 2014. Je lui ai expliqué quels avaient été les points saillants de notre année. Et je lui ai parlé de l'importance de ces grands acteurs internationaux de type Google ou Facebook, de la diversification de nos modes d'intervention, à travers ces outils de soft law qu'on a développés dans les années récentes, etc. Ça l'a beaucoup intéressé parce que cela montre que la régulation peut, tout en restant robuste, diversifier ses outils.

L'objet du rendez-vous était aussi d'attirer son attention par rapport à l'échéance du règlement européen, et de voir comment nous allons nous mettre en ordre de marche par rapport à ce texte qui s'avance maintenant à grands pas ! Un accord politique est désormais très envisageable pour la fin de l'année, ce qui veut dire que le règlement pourrait être prêt pour juillet 2016, avec de ce fait une entrée en vigueur en juillet 2018.

Sauf que pour qu'il y ait un texte opérationnel en 2018, il faut en tirer toutes les conséquences sur le plan français : voir comment la loi Informatique et Libertés doit s'adapter, etc. Cela nécessite un chantier législatif, procédural, qui est important et qui a besoin d'être travaillé. Et je vous avoue que cela me préoccupe un peu, dans la mesure où l’on se rapproche d'une période pré-électorale, qui sont des moments où l'on sait bien que le travail administratif est un petit peu gelé avant et après... Donc c'est un sujet sur lequel je souhaitais attirer l'attention du président de la République.

Êtes-vous aujourd’hui rassurée de la loi Renseignement, après sa validation quasi intégrale par le Conseil constitutionnel ?

Notre position, dans sa substance, ne change pas suite à la décision du Conseil constitutionnel. On a dit – et c'est toujours vrai – que c'est une loi qui donne des pouvoirs et des moyens d'intervention très importants aux services de renseignement et que la manière dont ces pouvoirs seront exercés conditionneront la proportionnalité du dispositif à nos yeux. Ce constat-là demeure. Nous serons donc très vigilants sur la manière dont ce texte sera effectivement mis en œuvre. Je crois qu'il est clairement de la responsabilité du ministère de l'Intérieur de veiller à ce que ce critère de proportionnalité soit respecté.

Vous pensez aux décrets d’application ?

On va regarder les décrets d'application, bien sûr.

Une proposition de loi a été déposée jeudi devant l’Assemblée nationale, pour encadrer et donc permettre la surveillance des communications internationales. Quel regard porte la CNIL sur ce texte ?

Nous allons le regarder avec soin, j'avoue que nous n'étions pas au courant de ça [l’interview a été réalisée vendredi matin, lendemain de la présentation du texte, ndlr]. C'est un point que nous avions néanmoins relevé depuis longtemps. En 2013, on avait déjà entendu parler dans la presse d'un dispositif de ce type et j'avais à l'époque moi-même écrit au ministre de l'Intérieur pour savoir ce qu'il en était. Nous n’avons jamais eu de réponse. C’est un sujet sur lequel les pouvoirs publics successifs ont été relativement muets, donc je crois qu'un texte sur cette question est opportun.

Dans votre avis sur l’avant-projet de loi Renseignement, vous déploriez que le gouvernement ne vous ait fourni « aucune indication » sur les techniques utilisées dans le cadre de la surveillance internationale. En avez-vous aujourd’hui une vision plus complète, pouvant éteindre vos inquiétudes ?

Non, nous n’avons absolument aucun élément d'information supplémentaire à ce sujet. Nous avions d’ailleurs prévenu que dans le fond, le législateur n'avait pas épuisé sa compétence sur cette matière et que le texte était de ce fait trop vague. J'imagine que s'il y a un texte correctif suite à la censure du Conseil constitutionnel, il sera justement mieux disant sur ce sujet.

Google
Crédits : tucko019/iStock Editorial/Thinkstock

Google s’oppose à l’extension du droit au déréférencement à l’échelle mondiale, malgré votre mise en demeure. Quelle est la suite de ce bras de fer ?

« Bras de fer », c'est peut-être un bien grand mot ! On n'est pas d'accord, certes. Ils ont fait un recours gracieux par rapport à notre mise en demeure, donc je dirais que la question va être de savoir ce qu'on fait par rapport à cette procédure... Si d'aventure ce recours gracieux est rejeté, cela veut dire que s'ouvre la possibilité d'une phase de sanction sur ce sujet à l'encontre de Google.

Pourquoi insistez-vous pour étendre ce « droit à l’oubli » au .com notamment, alors qu’il n’est utilisé que par une partie réduite des internautes, si l’on en croit Google ?

Notre raisonnement consiste à dire qu’en vertu de la décision de la Cour de justice de l’Union européenne, ce droit au déréférencement est offert aux personnes physiques européennes, dès lors que le responsable de traitement est soumis au droit européen. Or le traitement de Google est un traitement mondial. Les extensions .fr, .it, .com ne sont pas le traitement, c'est le chemin technique d'accès au traitement. Le traitement, lui, c'est le même pour tout le monde. Google a donc choisi d'avoir un traitement mondial, très bien. Mais dès lors que le déréférencement est octroyé, alors il doit naturellement être effectif sur l'ensemble des extensions liées à ce traitement !

L'arrêt de la CJUE dit que le déréférencement doit être effectif pour le citoyen européen. Sauf qu’il ne peut pas l'être si d'un petit clic, en passant du .fr au .com, le .com vous restitue ce qui ne doit plus remonter dans le moteur de recherche ! Les raisonnements juridiques et techniques conduisent facilement à une conclusion de ce type.

Et le débat de Google qui consiste à dire que les Français et les Européens ont une vision extraterritoriale de leurs droits est vraiment un très mauvais procès qui nous est fait. Il ne s'agit pas de dire qu'on veut imposer notre droit au bénéfice de citoyens américains ou chinois, il s'agit de dire que ce droit est effectif en Europe si vous, acteurs américains, venez prester en Europe, le moins qu'on puisse vous demander c'est quand même de respecter le droit européen. Le débat sur l'extraterritorialité est quand même très excessif, puisqu'on n'impose pas notre droit à des acteurs américains aux États-Unis ou chinois en Chine !

Toujours au sujet de Google, la hache de guerre est-elle définitivement enterrée avec le géant américain, qui s’est engagé à faire des efforts (sur deux ans) concernant la lisibilité des conditions générales d’utilisation de ses services – alors que vous lui aviez infligé à ce sujet une amende record de 150 000 euros ?

Non, on n'a pas enterré la hache de guerre ! Et très honnêtement, on continue d'être en discussion avec eux. C'est un point fondamental car c'est celui qui revient régulièrement, comme l’ont démontré les récents débats autour des nouvelles conditions d'utilisation de Windows 10 : pour que les gens puissent mobiliser leurs droits, encore faut-il qu'ils comprennent quelque chose à ce qu'il se passe. Et c'est vrai que les conditions générales sont l'outil de base pour cette information.

Je crois qu'il y a un travail beaucoup plus radical à mener sur ce que les acteurs économiques ont accepté de faire jusqu'à présent en matière de lisibilité et de simplification de ces conditions générales. Pour le moment, nous n’y sommes pas arrivés, c'est clair... Mais cela fait partie des sujets sur lesquels nous allons continuer à pousser parce qu'on peut demander toute la transparence aux acteurs, si elle ne se traduit pas par quelque chose de simple à destination des personnes, ça restera lettre morte.

Les conditions d’utilisation de Facebook font-elles l’objet d’une attention particulière de la part de la CNIL ? La CNIL belge a par exemple engagé une procédure à l’encontre du réseau social, et l’association UFC-Que Choisir a assigné l’entreprise américaine devant le TGI de Paris...

Nous participons au groupe de travail du G29 relatif aux conditions générales de Facebook, et c'est vrai que les Néerlandais et les Belges sont sortis un peu avant les autres... Mais on travaille effectivement là-dessus.

Comment avez-vous accueilli le lancement de France Connect, qui n'est pas sans faire penser à SAFARI, ce fichier qui a conduit à l'instauration de la CNIL, au début des années 70 ?

On a été très prudents sur ce projet. A priori, le fait d'avoir un guichet unique et un dispositif qui simplifie les formalités est plutôt une bonne idée, qui permet d’éviter qu'on ne reproduise, quarante ans après, le dispositif SAFARI avec l'identifiant unique. Les équipes de la CNIL ont très fortement travaillé là-dessus.

Il y a un mécanisme très astucieux, techniquement assez complexe, qui a été mis en place pour éviter que quelqu'un puisse avoir la visibilité globale des identifiants d'une personne. C'est une plateforme de fédération d’identités qui permet de lier les différentes identités numériques des utilisateurs. C'est très malin, et à ce stade nous pensons que c'est un dispositif qui évite le risque de l'identifiant unique, transversal, uniforme, signifiant, permettant, quelle que soit l'administration, de cibler une personne. On va d’ailleurs regarder cela sur le moyen terme.

Merci Isabelle Falque-Pierrotin.

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Les gens ont parfois l’impression que la CNIL donne dix avertissements avant un blâme, puis dix blâmes avant une vraie sanction, de type amende. Que leur répondez-vous ?

Dans le cadre de la concertation organisée par le CNNum, la CNIL proposait pourtant d’augmenter le montant maximum de l’amende pouvant être infligé par l’institution, sans toutefois s'avancer sur un quelconque montant. Quelle sanction permettrait de « rendre la politique de contrôle et de sanction de la Commission plus crédible », comme vous le disiez à l’époque ?

Vous avez quand même bien une petite idée en tête...

Les premières versions de l’avant-projet de loi Lemaire laissent à penser que plusieurs de vos préconisations ont trouvé un écho favorable auprès du gouvernement : droit à l’oubli pour les mineurs, élargissement des saisines, action collective pour la protection des données personnelles, etc. Êtes-vous satisfaite des mesures ayant été élaborées par Bercy ?

Vous avez eu jeudi un entretien avec François Hollande. De quoi avez-vous parlé ?

Êtes-vous aujourd’hui rassurée de la loi Renseignement, après sa validation quasi intégrale par le Conseil constitutionnel ?

Vous pensez aux décrets d’application ?

Une proposition de loi a été déposée jeudi devant l’Assemblée nationale, pour encadrer et donc permettre la surveillance des communications internationales. Quel regard porte la CNIL sur ce texte ?

Dans votre avis sur l’avant-projet de loi Renseignement, vous déploriez que le gouvernement ne vous ait fourni « aucune indication » sur les techniques utilisées dans le cadre de la surveillance internationale. En avez-vous aujourd’hui une vision plus complète, pouvant éteindre vos inquiétudes ?

Google s’oppose à l’extension du droit au déréférencement à l’échelle mondiale, malgré votre mise en demeure. Quelle est la suite de ce bras de fer ?

Pourquoi insistez-vous pour étendre ce « droit à l’oubli » au .com notamment, alors qu’il n’est utilisé que par une partie réduite des internautes, si l’on en croit Google ?

Toujours au sujet de Google, la hache de guerre est-elle définitivement enterrée avec le géant américain, qui s’est engagé à faire des efforts (sur deux ans) concernant la lisibilité des conditions générales d’utilisation de ses services – alors que vous lui aviez infligé à ce sujet une amende record de 150 000 euros ?

Les conditions d’utilisation de Facebook font-elles l’objet d’une attention particulière de la part de la CNIL ? La CNIL belge a par exemple engagé une procédure à l’encontre du réseau social, et l’association UFC-Que Choisir a assigné l’entreprise américaine devant le TGI de Paris...

Comment avez-vous accueilli le lancement de France Connect, qui n'est pas sans faire penser à SAFARI, ce fichier qui a conduit à l'instauration de la CNIL, au début des années 70 ?

Commentaires (10)




Les gens ont parfois l’impression que la CNIL donne dix avertissements avant un blâme, puis dix blâmes avant une vraie sanction, de type amende.

Très bonne entrée en la matière. <img data-src=" />





Ses réponses restent très lisses toute de même, mais ça va dans le bon sens. Seul fausse note, sa montre. <img data-src=" />


<img data-src=" /> SAFARI souvenir des cours de Merise en IUT c’te coup de vieux <img data-src=" />




Notre raisonnement consiste à dire qu’en vertu de la décision de la Cour

de justice de l’Union européenne, ce droit au déréférencement est

offert aux personnes physiques européennes, dès lors que le responsable

de traitement est soumis au droit européen. Or le traitement de Google

est un traitement mondial. Les extensions .fr, .it, .com ne sont pas le

traitement, c’est le chemin technique d’accès au traitement. Le

traitement, lui, c’est le même pour tout le monde. Google a donc choisi

d’avoir un traitement mondial, très bien. Mais dès lors que le

déréférencement est octroyé, alors il doit naturellement être effectif

sur l’ensemble des extensions liées à ce traitement&nbsp;!



Ahhh si les députés à l’assemblée avaient tous la même compréhension de la technologie… ils nous ponderaient peut-être moins de lois débiles… Merci la rédaction pour cette interview, cela me rassure de savoir qu’il n’y a pas que de gros débiles technophobes aux postes élevés de la République…


“pour que les gens puissent mobiliser leurs droits, encore faut-il

qu’ils comprennent quelque chose à ce qu’il se passe. Et c’est vrai que

les conditions générales sont l’outil de base pour cette information.

Je crois qu’il y a un travail beaucoup plus radical à mener sur ce

que les acteurs économiques ont accepté de faire jusqu’à présent en

matière de lisibilité et de simplification de ces conditions générales.

Pour le moment, nous n’y sommes pas arrivés, c’est clair… Mais cela

fait partie des sujets sur lesquels nous allons continuer à pousser

parce qu’on peut demander toute la transparence aux acteurs, si elle ne

se traduit pas par quelque chose de simple à destination des personnes,

ça restera lettre morte.”

&nbsp;&nbsp;+ 1

&nbsp;



&nbsp;Les CLUF mélangent du juridiques et de la techniques autant dire que c’est 2 moyens de perdre les gens de manière assez efficace.

&nbsp;



On sent bien dans cet interview que la CNIL préfère que les gens appliquent ses directives que de donner des sanctions.

&nbsp;



&nbsp;Personnellement, j’aurais posé la question sur les cookies. Je pense que l’on est passé à un truc stupide avec un pop-up sur chaque site. Alors qu’il fallait dire, on utilises des cookies de tiers pour vous tracer, ou bien nos cookies servent à vous tracer sur des sites tiers. La formulation actuelle est abscon et je doute que des gens y comprennent quelques choses.








coucou_lo_coucou_paloma a écrit :



Très bonne entrée en la matière. <img data-src=" />





Ses réponses restent très lisses toute de même, mais ça va dans le bon sens. Seul fausse note, sa montre. <img data-src=" />





C’est sûr, elle pourrait porter une iWatch …

&nbsp;

&nbsp;<img data-src=" />



La Cnil, l’un des rares organismes centré sur le numérique qui m’a toujours plus.


Selon moi, SAFARI ne se résumait pas à un identifiant unique, il s’agissait d’un projet ambitieux de compilation des multiples bases de données administratives au sein d’une base de données centralisée de l’administration.

Jean-Marc Manach - 11/02/2008

Wikipedia

14h42 - entrevue avec Louis Joinet - 18/02/2015



Mais puisqu’il est question dans cette entrevue d’identifiant unique, qu’en est-il des croisements de fichiers de données et du “droit de communication” que la Loi attribue à la CAF ou à l’USSAF (entre certaines administrations publiques / organismes sociaux), ces administrations identifient généralement chaque individu / chaque société par son N° de Sécurité sociale ou son N° de SIRET ? Qu’en est-il de EDVIGE et CRISTINA (fichiers de police et du renseignement) ?

11 octobre 2008, la journée anti Big Brother



En réalité, j’ai la sensation que la centralisation des bases de données est rampante et insidieuse avec une transparence vis-à-vis de l’individu concerné pas forcément respectée. J’ai la sensation que les cloisonnements entre administrations (qui disparaissent progressivement) et que cette notion de “guichet unique” qu’on entend souvent comme un avantage pour l’administré peut aussi servir de catalyseur à données.



Ceci-dit, on me dira que c’est le progrès (multiplication des écrans, synchronisation dans le “cloud”, dématérialisation et simplification des démarches administratives, etc). En plus, la CNIL a sûrement une utilité salvatrice dans la conception des Lois et dans la mise en oeuvre des processus informatiques des administrations. Pourtant, le but d’une administration est de hiérarchiser et classer des informations et la CNIL pourrait également servir à l’occasion de “faire valoir” à des ambitions peu respectueuses des droits des individus.



Mais “heureusement”, la Constitution (révision de 2008) a prévu le Défenseur des Droits et d’autre part je comprends mieux maintenant pourquoi la CNIL tente de construire la notion juridique de “droit à l’oubli”.

14h42 - 01/10/2014








warfie a écrit :



La Cnil, l’un des rares organismes centré sur le numérique qui m’a toujours plus.





Je cite car cela m’évitera d’écrire la même chose. Gros +1, j’aimerais qu’elle prenne de l’importance, et qu’on lui apporte plus de crédit (dans tous les sens du terme).

&nbsp;



&nbsp;Merci pour l’interview.

&nbsp;



&nbsp;Dommage que cela amène si peu de réaction (on préfère troller de la conf d’Apple ou sur la redevance <img data-src=" /> )



Give me 5 <img data-src=" />

&nbsp;



&nbsp;


Même si la CNIL fait du bon boulot.

Je ne suis pas pour l’augmentation des amendes qu’elles peut donner dans le mesure où ça reste des décisions administratives (arbitraires). Les trucs importants devraient passer par un juge.



C’est bien de vérifier que les entreprises déclarent correctement les données qu’elles traitent, mais y’a quand même des parties de la loi IL concernant la sécurité des données personnelles (et la responsabilité des détenteurs) qui sont majistralement pas mis en avant aujourd’hui alors qu’on observe des échecs à ce sujet très régulièrement.