Reconnaissance faciale, Safe cities, cookies… Interview de Marie-Laure Denis (CNIL)

À l’occasion du Forum International de la Cybersécurité (FIC) de Lille, Marie-Laure Denis, présidente de la CNIL, revient sur plusieurs sujets d’actualité dans les colonnes de Next INpact : bilan du RGPD, reconnaissance faciale ou encore question des cookies.

Après un an et demi d’entrée en application, quel bilan tirez-vous du RGPD ?

Tout d’abord, une sensibilisation plus forte du grand public et des professionnels. Elle se traduit très concrètement, par exemple par une augmentation des appels et des demandes de conseils auprès de la commission. Quelque 150 000 appels téléphoniques ont été reçus l’an passé, sans compter ces 14 000 plaintes réceptionnées soit +27 % par rapport à 2018.

Nous constatons aussi que certains instruments du règlement commencent à être rondement mis en œuvre. Plus de 20 000 délégués à la protection des données personnelles ont été nommés dans 65 000 organismes.

Au niveau français toujours, il y a une prise de conscience plus importante des enjeux, mais aussi de la politique répressive. L’an passé, nous avons effectué 300 contrôles, il y a 8 sanctions financières et une cinquantaine de mises en demeure. La plupart du temps, l’accompagnement est suffisant pour assurer la conformité au règlement. Lorsque les traitements de données sont massifs ou comportent des risques graves et que le rappel ne suffit pas, on passe à un stade supérieur.  

Au niveau européen, 20 % de nos plaintes sont maintenant traitées dans le cadre de la coopération avec les autres autorités. Entre l’ensemble des « CNIL européennes », 82 cas déjà font l’objet de décisions. Nous attendons dans les mois qui viennent les décisions les plus emblématiques concernant de très grands acteurs, notamment les grandes plateformes numériques.

Même si on n’est pas dans une course aux trophées, c’est jusqu’à présent la CNIL qui a imposé la sanction la plus importante avec ces 50 millions d’euros à l’encontre de Google. Les deux décisions anglaises (contre Marriott et British Airways) ont simplement été annoncées par l’ICO, l’équivalent anglais de la CNIL, mais n’ont pas été encore prises.

Au niveau mondial, je ne connais pas d’autres règlements européens qui, près de deux ans après leur adoption, soient aussi connus et fassent autant parler y compris en dehors des frontières de l’Union. C’est le standard autour duquel s’articule le débat législatif sur la protection des données dans le monde. Je pense à celui qui a lieu aux États-Unis sur l’opportunité d’avoir un tel texte au niveau fédéral, après que la loi sur la protection des données sont entrées en vigueur en Californie.

Le RGPD est également très suivi dans un certain nombre de pays asiatiques ou du Maghreb dans la perspective d’éventuelles décisions d’adéquation avec l’Union. Avec ce texte, l’UE a fixé des standards en matière de protection des données.

Vous évoquez la décision Google, mais l’entreprise a fait appel de cette décision. Où en est-on et quels sont les arguments ?

Nous en sommes aux échanges dans le cadre d’une procédure contradictoire. Nous n’avons aucune information sur le calendrier et je ne commente pas les procédures en cours.

Un autre débat d’actualité concerne la question des cookies. Allez-vous enfin passer au volet sanction ou restez-vous dans cette logique d’accompagnement ?

Les cookies sont des traceurs déposés sur nos terminaux avec plusieurs finalités, dont l’une est le ciblage publicitaire ou la personnalisation des contenus. Le RGPD est venu rendre plus exigeantes les règles de modalités de recueil du consentement. Il doit être libre, éclairé, univoque et spécifique par finalité alors que jusqu’à présent, on considérait que le scroll ou la poursuite de la navigation valait consentement.

Nous avons abrogé la précédente délibération de la CNIL de 2013 qui disait que le scroll valait consentement. On a par ailleurs fait une concertation avec les acteurs du marketing digital et la société civile. Nous avons adopté un projet de recommandation soumis en ce moment même à consultation publique jusqu’au 25 février.

Ce n’est pas un texte prescriptif,  mais le mode d’emploi  de nos lignes directrices publiées le 4 juillet, qui étaient elles-mêmes un rappel du droit positif existant.

Dans ce projet de recommandation, on dit qu’il doit être aussi aisé de refuser un cookie que de l’accepter, ce qui n’est pas aujourd’hui le cas sur la très grande majorité des sites. On y dit aussi que lorsque l’on consent on doit pouvoir savoir à qui on consent, qui sont les destinataires.

On prendra une recommandation définitive à la fin de cette consultation, soit en mars ou avril. Nous avons laissé une période d’adaptation aux acteurs – validée par le Conseil d’État – de 6 mois après la prise de cette recommandation.

Sur cette application de l’article 82 de la loi Informatique et Libertés et les modalités du recueil du consentement pour le dépôt et la lecture des traceurs, la CNIL s’assurera à partir de l’automne prochain que ce qu’elle a préconisé sera respecté. Rien ne nous empêche de continuer à contrôler aujourd’hui tout le reste, par exemple l’exigence d’un consentement avant même le dépôt de ces traceurs.

Nous aurions pu avoir une autre méthode comme sanctionner au cas par cas, mais elle n’aurait pas permis aux acteurs d’avoir tout à fait conscience de ce qu’attend le régulateur. Le temps des procédures, nous aurions mis plus de temps à atteindre une mise en conformité et à bâtir une sorte de jurisprudence des attentes du régulateur. À l’égard des acteurs, le rôle du régulateur est de donner de la visibilité, d’éclairer le cadre juridique applicable.

Notre choix me paraît un acte de régulation fort, reposant sur une méthode justifiée par le fait que cela concerne potentiellement l’ensemble des sites Internet privés ou publics.

Quelle est aujourd’hui la doctrine de la CNIL face aux Safe cities, au déploiement de la reconnaissance faciale ?

Je préfère la notion de « ville connectée » à celle de Safe cities, laquelle regroupe des réalités extrêmement différentes. Elle peut concerner la voirie, l’ordre public, des tas de sujets.

De même, il est très réducteur de parler de la reconnaissance faciale. Il y a différents usages qui induisent des risques diversifiés pour la vie privée selon les usages. C’est la raison pour laquelle on a publié une note méthodologique pour lancer le débat sur le sujet et alerter de la nécessité de sortir d’un examen au cas par cas, certes absolument nécessaire juridiquement, mais qui ne permet pas de disposer d’une image un peu globale des enjeux.

Deux grandes finalités différentes existent, l’authentification (par exemple déverrouiller son smartphone) qui est beaucoup moins risquée que l’identification (par exemple être repéré dans une foule le cas échéant à son insu).

Ce qu’il faut bien rappeler, c’est le principe juridique, à savoir que le législateur européen et les législateurs nationaux ont rehaussé la protection attachée à la donnée biométrique maintenant considérée comme une donnée sensible. Le principe est celui de l’interdiction avec naturellement des exceptions qui peuvent très bien se comprendre en matière de sécurité publique notamment.

Il faut que tous les acteurs en débattent compte tenu de la multiplication des initiatives sur le sujet. Au fur et à mesure des expérimentations dont on a pu avoir connaissance, la CNIL a commencé à tracer quelques lignes rouges concernant certains sujets. C’est une technologie qui n’est pas fiable à 100 %. Elle présente des biais.

Un centre d’étude proche du gouvernement américain a montré récemment qu’il y avait dix fois plus de risques aux États-Unis quand on était noir et a fortiori si on était une femme, que les résultats soient erronés avec des enjeux non neutres (usurpation d’identité, interdiction d’accéder à un site, un lieu, etc. ). Et puis nous voyons bien l’usage qui peut en être fait dans certains pays.

Nous ne sommes pas dans une position dogmatique. Il y a des enjeux très forts de protection de vie privée, car c’est un élément de votre identité absolument irréversible, mais il faut un débat démocratique sur le sujet.

Débat démocratique, c’est-à-dire ? Une loi spécifique ?

C’est aux pouvoirs publics de se saisir du sujet. Nous considérons que c’est un sujet trop sérieux pour qu’il reste uniquement  dans une logique d’analyse au cas par cas.

Pour faire un résumé de ce que nous avons dit, la CNIL a accompagné les dispositifs d’authentification dans les aéroports. Sur Alicem, cette application sur mobile pour accéder à des services numériques en ligne, nous avons souligné qu’il fallait une alternative à cette solution de reconnaissance faciale.

Le carnaval de Nice, la commission ne s’est pas opposée à l’expérimentation, mais a posé un certain nombre de conditions. À  l’inverse, la CNIL a dit qu’il n’y avait pas de texte qui permettait de faire à la fois de l’enregistrement sonore dans la rue couplé à de la vidéo : à propos de l'expérimentation à Saint-Etienne, nous avons aussi considéré que l’utilisation de la reconnaissance faciale pour entrer dans des lycées nous paraissait disproportionnée compte tenu de la finalité du traitement et qu’il y avait d’autres moyens plus proportionnés pour garantir la sécurité d’accès à un lycée comme des badges ou des surveillants.  

En aidant à poser les termes du débat avec une note méthodologique qui montre que le sujet est beaucoup plus complexe qu’une approche binaire, nous sommes dans notre rôle de régulateur.

Quelle position avez-vous sur l’obligation de conservation des données de connexion, sujet dont on attend une série de nouveaux arrêts à la Cour de justice de l’Union européenne ?

La conservation des données de connexion est un sujet essentiel. Derrière, ce sont toutes ces données qui ne sont pas des données de contenu.

Elles sont conservées par les opérateurs notamment de télécommunication soit à des fins commerciales soit à des fins judiciaires ou pour d'autres intérêts publics.

On a bien conscience de son importance en matière de protection des données. On le suit avec attention. Maintenant, il y a eu une quinzaine de jours des conclusions de l’avocat général de la Cour de justice de l’Union européenne. Elles sembleraient confirmer une décision de 2016 qui considérait qu’il ne devait pas y avoir de collecte générale, indifférenciée  de données de connexion.

Il faut vraiment attendre pour le coup la décision de la cour. Aussi intéressantes soient-elles, les conclusions de l’avocat général ne valent pas décision de la CJUE.

Après, ce sera aux pouvoirs publics de voir quelles conséquences, le cas échéant, ils tirent et s’il devait y avoir modification législative. La CNIL serait dans son rôle pour conseiller les pouvoirs publics pour concilier ces enjeux de protection de la vie privée et les autres enjeux, notamment ceux de sécurité.

Quel est le programme de travail de la CNIL pour 2020 ?

Je souhaite vraiment que la CNIL soit un régulateur ancré dans le quotidien numérique des Français et qui fasse valoir son expertise technologique.

Nous travaillons actuellement sur la protection de la vie privée dans le cloud, où il y a parfois de très gros sous-traitants et de petits donneurs d’ordre. Nous travaillons également sur les assistants vocaux.

Comme nous sommes au FIC, c’est aussi une priorité pour moi de mettre l’accent sur la cybersécurité parce que la protection des données en est une des composantes. Les cibles sont plus le grand public et les PME que les très grandes entreprises, qui ont des ressources et des moyens.

Nous allons certainement actualiser notre recommandation sur les mots de passe, lesquels concernent 8 attaques sur 10. Nous venons par ailleurs de publier un guide pour les développeurs d’applications, dont la licence permet sa modification. Depuis 2017, 40 % de nos sanctions concernent exclusivement des manquements à la sécurité. On a reçu près 2 300 notifications de violations de données. Elles nous permettent d’avoir une vue des principaux manquements. Pourquoi pas, en 2020, publier une fiche concernant les plus mauvaises pratiques dans un esprit constructif et identifier des solutions ?

On veut continuer sur nos deux jambes : être à la fois dans l’accompagnement et dans une politique répressive, les deux allant de pair avec le RGPD. Nous continuons à être aussi actifs que possible dans la diplomatie de la donnée, au plan européen dans l’élaboration des lignes directrices. Nous animons également le réseau francophone de la protection des données. Nous recevons beaucoup de délégations de pays qui s’interrogent sur l’opportunité d’élaborer une loi dédiée. Notre rôle est alors pédagogique pour promouvoir le modèle européen.

De nombreux objectifs... Mais avec quels moyens ?

On avait eu +15 ETP (équivalents temps plein) en 2019, +10 en 2020. En tout, nous serons 225 cette année. Effectivement, cette augmentation montre certes qu’il y a une prise de conscience réelle des pouvoirs publics sur ces enjeux de protection des données. Cela dit, nos ressources demeurent insuffisantes au regard des enjeux considérables qu’on a à traiter.

Dans l’accompagnement, il y a 4 millions d’entreprises en France, il y a le grand public auprès duquel il faut faire de la pédagogie. Nous accompagnons aussi les pouvoirs publics. Nous avons été auditionnés 33 fois l’an passé au Parlement, indépendamment de tous les contacts plus informels. Le collège a dû rendre une cinquantaine d’avis sur des enjeux très importants comme la bioéthique sans compter tous les enjeux qui arrivent comme celui de la reconnaissance faciale.