Loi Lemaire, droit à l’oubli, loi Renseignement : interview de la présidente de la CNIL

« On n'a pas enterré la hache de guerre ! » 10
image dediée
Loi

Alors qu’Axelle Lemaire se prépare à déposer un projet de loi réformant la loi Informatique et Libertés, Next INpact a pu interroger Isabelle Falque-Pierrotin, la présidente de la Commission nationale de l’informatique et des libertés (CNIL). L’occasion d’évoquer de nombreux sujets en lien avec la protection des données personnelles : loi Renseignement, droit à l’oubli, règlement européen, etc.

Les gens ont parfois l’impression que la CNIL donne dix avertissements avant un blâme, puis dix blâmes avant une vraie sanction, de type amende. Que leur répondez-vous ?

Je leur réponds que le but de la CNIL, c'est de favoriser la mise en conformité. Les sanctions ne sont que l'arme de dissuasion ultime. Les sanctions sont en augmentation depuis maintenant 3-4 ans, puisqu'on a entre 15 et 20 sanctions chaque année. Les mises en demeure augmentent elles aussi, puisqu’à la mi-2015, j'avais prononcé autant de mises en demeure que sur toute l'année passée (à peu près 70).

L’action répressive de la CNIL fonctionne bien, mais elle demeure complémentaire à la partie « assistance à la conformité », qui se développe de plus en plus. Les données personnelles sont tellement disséminées qu’on ne peut pas se cantonner à la sanction. Cela reviendrait à avoir une prise sur la réalité du numérique qui serait très insuffisante, très partielle. C’est pour cela qu'on a renforcé nos outils d’assistance à la mise en conformité avec les labels, avec les packs de conformité, etc. Et tout cela nous permet de faire que cet univers numérique respecte les principes Informatique et Libertés.

Dans le cadre de la concertation organisée par le CNNum, la CNIL proposait pourtant d’augmenter le montant maximum de l’amende pouvant être infligé par l’institution, sans toutefois s'avancer sur un quelconque montant. Quelle sanction permettrait de « rendre la politique de contrôle et de sanction de la Commission plus crédible », comme vous le disiez à l’époque ?

Nous sommes effectivement favorables à un niveau de sanction qui soit beaucoup plus important que celui que nous avons actuellement. Mais concernant le pourcentage précis du chiffre d'affaires, très honnêtement, je ne suis pas capable de dire s’il faut que ce soit 2 % au lieu de 1 ou de 5 %... Dans tous les cas, ce sont des montants extrêmement importants pour les sociétés.

Vous avez quand même bien une petite idée en tête...

Disons que si c'est 2 %, c'est très bien.

Les premières versions de l’avant-projet de loi Lemaire laissent à penser que plusieurs de vos préconisations ont trouvé un écho favorable auprès du gouvernement : droit à l’oubli pour les mineurs, élargissement des saisines, action collective pour la protection des données personnelles, etc. Êtes-vous satisfaite des mesures ayant été élaborées par Bercy ?

Bien sûr ! Par rapport aux premières propositions qu'on avait faites il y a plusieurs mois, on a effectivement le sentiment d'avoir été entendus sur un certain nombre de points. Maintenant, nous allons voir. D'après ce que l'on comprend, il y a encore des arbitrages interministériels qui doivent intervenir. Il y a eu des fuites dans la presse, mais pour le moment nous ne sommes pas saisis officiellement d'un texte.

Vous avez eu jeudi un entretien avec François Hollande. De quoi avez-vous parlé ?

Je lui ai remis le rapport annuel de la CNIL pour 2014. Je lui ai expliqué quels avaient été les points saillants de notre année. Et je lui ai parlé de l'importance de ces grands acteurs internationaux de type Google ou Facebook, de la diversification de nos modes d'intervention, à travers ces outils de soft law qu'on a développés dans les années récentes, etc. Ça l'a beaucoup intéressé parce que cela montre que la régulation peut, tout en restant robuste, diversifier ses outils.

L'objet du rendez-vous était aussi d'attirer son attention par rapport à l'échéance du règlement européen, et de voir comment nous allons nous mettre en ordre de marche par rapport à ce texte qui s'avance maintenant à grands pas ! Un accord politique est désormais très envisageable pour la fin de l'année, ce qui veut dire que le règlement pourrait être prêt pour juillet 2016, avec de ce fait une entrée en vigueur en juillet 2018.

Sauf que pour qu'il y ait un texte opérationnel en 2018, il faut en tirer toutes les conséquences sur le plan français : voir comment la loi Informatique et Libertés doit s'adapter, etc. Cela nécessite un chantier législatif, procédural, qui est important et qui a besoin d'être travaillé. Et je vous avoue que cela me préoccupe un peu, dans la mesure où l’on se rapproche d'une période pré-électorale, qui sont des moments où l'on sait bien que le travail administratif est un petit peu gelé avant et après... Donc c'est un sujet sur lequel je souhaitais attirer l'attention du président de la République.

Êtes-vous aujourd’hui rassurée de la loi Renseignement, après sa validation quasi intégrale par le Conseil constitutionnel ?

Notre position, dans sa substance, ne change pas suite à la décision du Conseil constitutionnel. On a dit – et c'est toujours vrai – que c'est une loi qui donne des pouvoirs et des moyens d'intervention très importants aux services de renseignement et que la manière dont ces pouvoirs seront exercés conditionneront la proportionnalité du dispositif à nos yeux. Ce constat-là demeure. Nous serons donc très vigilants sur la manière dont ce texte sera effectivement mis en œuvre. Je crois qu'il est clairement de la responsabilité du ministère de l'Intérieur de veiller à ce que ce critère de proportionnalité soit respecté.

Vous pensez aux décrets d’application ?

On va regarder les décrets d'application, bien sûr.

Une proposition de loi a été déposée jeudi devant l’Assemblée nationale, pour encadrer et donc permettre la surveillance des communications internationales. Quel regard porte la CNIL sur ce texte ?

Nous allons le regarder avec soin, j'avoue que nous n'étions pas au courant de ça [l’interview a été réalisée vendredi matin, lendemain de la présentation du texte, ndlr]. C'est un point que nous avions néanmoins relevé depuis longtemps. En 2013, on avait déjà entendu parler dans la presse d'un dispositif de ce type et j'avais à l'époque moi-même écrit au ministre de l'Intérieur pour savoir ce qu'il en était. Nous n’avons jamais eu de réponse. C’est un sujet sur lequel les pouvoirs publics successifs ont été relativement muets, donc je crois qu'un texte sur cette question est opportun.

Dans votre avis sur l’avant-projet de loi Renseignement, vous déploriez que le gouvernement ne vous ait fourni « aucune indication » sur les techniques utilisées dans le cadre de la surveillance internationale. En avez-vous aujourd’hui une vision plus complète, pouvant éteindre vos inquiétudes ?

Non, nous n’avons absolument aucun élément d'information supplémentaire à ce sujet. Nous avions d’ailleurs prévenu que dans le fond, le législateur n'avait pas épuisé sa compétence sur cette matière et que le texte était de ce fait trop vague. J'imagine que s'il y a un texte correctif suite à la censure du Conseil constitutionnel, il sera justement mieux disant sur ce sujet.

Google
Crédits : tucko019/iStock Editorial/Thinkstock

Google s’oppose à l’extension du droit au déréférencement à l’échelle mondiale, malgré votre mise en demeure. Quelle est la suite de ce bras de fer ?

« Bras de fer », c'est peut-être un bien grand mot ! On n'est pas d'accord, certes. Ils ont fait un recours gracieux par rapport à notre mise en demeure, donc je dirais que la question va être de savoir ce qu'on fait par rapport à cette procédure... Si d'aventure ce recours gracieux est rejeté, cela veut dire que s'ouvre la possibilité d'une phase de sanction sur ce sujet à l'encontre de Google.

Pourquoi insistez-vous pour étendre ce « droit à l’oubli » au .com notamment, alors qu’il n’est utilisé que par une partie réduite des internautes, si l’on en croit Google ?

Notre raisonnement consiste à dire qu’en vertu de la décision de la Cour de justice de l’Union européenne, ce droit au déréférencement est offert aux personnes physiques européennes, dès lors que le responsable de traitement est soumis au droit européen. Or le traitement de Google est un traitement mondial. Les extensions .fr, .it, .com ne sont pas le traitement, c'est le chemin technique d'accès au traitement. Le traitement, lui, c'est le même pour tout le monde. Google a donc choisi d'avoir un traitement mondial, très bien. Mais dès lors que le déréférencement est octroyé, alors il doit naturellement être effectif sur l'ensemble des extensions liées à ce traitement !

L'arrêt de la CJUE dit que le déréférencement doit être effectif pour le citoyen européen. Sauf qu’il ne peut pas l'être si d'un petit clic, en passant du .fr au .com, le .com vous restitue ce qui ne doit plus remonter dans le moteur de recherche ! Les raisonnements juridiques et techniques conduisent facilement à une conclusion de ce type.

Et le débat de Google qui consiste à dire que les Français et les Européens ont une vision extraterritoriale de leurs droits est vraiment un très mauvais procès qui nous est fait. Il ne s'agit pas de dire qu'on veut imposer notre droit au bénéfice de citoyens américains ou chinois, il s'agit de dire que ce droit est effectif en Europe si vous, acteurs américains, venez prester en Europe, le moins qu'on puisse vous demander c'est quand même de respecter le droit européen. Le débat sur l'extraterritorialité est quand même très excessif, puisqu'on n'impose pas notre droit à des acteurs américains aux États-Unis ou chinois en Chine !

Toujours au sujet de Google, la hache de guerre est-elle définitivement enterrée avec le géant américain, qui s’est engagé à faire des efforts (sur deux ans) concernant la lisibilité des conditions générales d’utilisation de ses services – alors que vous lui aviez infligé à ce sujet une amende record de 150 000 euros ?

Non, on n'a pas enterré la hache de guerre ! Et très honnêtement, on continue d'être en discussion avec eux. C'est un point fondamental car c'est celui qui revient régulièrement, comme l’ont démontré les récents débats autour des nouvelles conditions d'utilisation de Windows 10 : pour que les gens puissent mobiliser leurs droits, encore faut-il qu'ils comprennent quelque chose à ce qu'il se passe. Et c'est vrai que les conditions générales sont l'outil de base pour cette information.

Je crois qu'il y a un travail beaucoup plus radical à mener sur ce que les acteurs économiques ont accepté de faire jusqu'à présent en matière de lisibilité et de simplification de ces conditions générales. Pour le moment, nous n’y sommes pas arrivés, c'est clair... Mais cela fait partie des sujets sur lesquels nous allons continuer à pousser parce qu'on peut demander toute la transparence aux acteurs, si elle ne se traduit pas par quelque chose de simple à destination des personnes, ça restera lettre morte.

Les conditions d’utilisation de Facebook font-elles l’objet d’une attention particulière de la part de la CNIL ? La CNIL belge a par exemple engagé une procédure à l’encontre du réseau social, et l’association UFC-Que Choisir a assigné l’entreprise américaine devant le TGI de Paris...

Nous participons au groupe de travail du G29 relatif aux conditions générales de Facebook, et c'est vrai que les Néerlandais et les Belges sont sortis un peu avant les autres... Mais on travaille effectivement là-dessus.

Comment avez-vous accueilli le lancement de France Connect, qui n'est pas sans faire penser à SAFARI, ce fichier qui a conduit à l'instauration de la CNIL, au début des années 70 ?

On a été très prudents sur ce projet. A priori, le fait d'avoir un guichet unique et un dispositif qui simplifie les formalités est plutôt une bonne idée, qui permet d’éviter qu'on ne reproduise, quarante ans après, le dispositif SAFARI avec l'identifiant unique. Les équipes de la CNIL ont très fortement travaillé là-dessus.

Il y a un mécanisme très astucieux, techniquement assez complexe, qui a été mis en place pour éviter que quelqu'un puisse avoir la visibilité globale des identifiants d'une personne. C'est une plateforme de fédération d’identités qui permet de lier les différentes identités numériques des utilisateurs. C'est très malin, et à ce stade nous pensons que c'est un dispositif qui évite le risque de l'identifiant unique, transversal, uniforme, signifiant, permettant, quelle que soit l'administration, de cibler une personne. On va d’ailleurs regarder cela sur le moyen terme.

Merci Isabelle Falque-Pierrotin.

Publiée le 14/09/2015 à 15:20
Xavier Berne

Journaliste, spécialisé dans les thématiques juridiques et politiques.

Soutenez nos journalistes

Le travail et l'indépendance de la rédaction dépendent avant tout du soutien de nos lecteurs.

Abonnez-vous
À partir de 0,99 €


chargement
Chargement des commentaires...