Mardi 29 janvier 2008
- Présidence de M. Henri Revol, sénateur, président. -Présidence de l'Office
M. Henri Revol, sénateur, président, a rappelé qu'il sera procédé à la rotation de la présidence et de la première vice-présidence de l'Office, le 1er avril prochain, cette présidence revenant à l'Assemblée nationale.
Désignation d'un rapporteur
M. Henri Revol, sénateur, président, a, d'une part, fait remarquer que la saisine du Bureau du Sénat sur « l'évaluation des recherches sur la vigne comme source d'innovation dans les domaines de la cosmétique, de la thérapeutique et de la santé » était beaucoup plus large que celle, présentée il y a quelques années, concernant le seul effet du vin sur la santé, puisqu'elle s'appliquait à d'autres domaines et visait non seulement le vin proprement dit, mais d'autres produits de la vigne (sarments, feuilles, jus de raisin).
D'autre part, il a souhaité rappeler qu'au terme de l'article 18 du règlement intérieur de l'Office, « toute saisine donne lieu à la nomination d'un rapporteur », le rapporteur étant chargé d'établir une étude de faisabilité à partir de laquelle l'Office se prononce sur l'opportunité de poursuivre ou non l'étude.
M. Marcel-Pierre Cléach, sénateur, après avoir émis des réserves sur les termes de la saisine, s'est demandé si cette saisine ne relevait pas plutôt, au moins partiellement, de la compétence de l'Office parlementaire d'évaluation des politiques de santé.
M. Roland Courteau, sénateur, a précisé qu'il s'agissait de faire le point sur les recherches sur la vigne et ses dérivés (raisin, pulpe, sarments, pépins...) et que de nombreuses études étaient en cours sur les polyphénols, les huiles et les tanins dans des domaines variés (nutraceutique, cosmétique, médecine...). Il a souligné que plusieurs grands chercheurs français travaillaient sur le sujet ainsi que la prestigieuse université d'Harvard aux Etats-Unis.
L'Office a, alors, nommé M. Roland Courteau, sénateur, rapporteur de la saisine du Bureau du Sénat sur « l'évaluation des recherches sur la vigne comme source d'innovation dans les domaines de la cosmétique, de la thérapeutique et de la santé ».
Audition de M. Alex Türk, président de la Commission nationale de l'informatique et des libertés (CNIL)
L'Office a, ensuite, procédé à l'audition de M. Alex Türk, président, accompagné de M. Gwendal Legrand, chef du service de l'expertise informatique et Mme Sophie Vulliet-Tavernier, directrice des affaires juridiques, internationales et de l'expertise, de la Commission nationale de l'informatique et des libertés (CNIL).
M. Henri Revol, sénateur, président, a accueilli le président de la CNIL et a fait observer que celle-ci était confrontée de façon croissante à ce qu'on appelle la numérisation de la société, dont certains aspects sont contradictoires avec le respect de la vie privée. Il a noté que ce qui pouvait apparaître comme une éventualité, lorsque la CNIL a été instituée par la loi de 1978, devenait aujourd'hui une certitude, précisant que les progrès de l'identification par radiofréquence, de la géolocalisation des biens et des personnes, la montée en puissance de la biométrie et, les perspectives plus lointaines des applications nanotechnologiques irriguent et irrigueront de plus en plus notre tissu social et économique.
Il a évoqué le rôle essentiel que la CNIL était appelée à jouer dans la gestion de ces phénomènes, en particulier pour éviter que ne se propage, de façon quelquefois désastreuse pour le progrès, une méfiance croissante vis-à-vis de la science et la technologie.
Il a souhaité connaître l'action de la CNIL dans ces domaines et la manière dont elle estimait pouvoir anticiper sur ces évolutions.
M. Alex Türk a souligné que l'essor de l'informatique dans tous les domaines entraînait une modification des pouvoirs et missions de la CNIL. Aujourd'hui, le rôle de médiation ne représente plus que 20 % de l'activité de la Commission, l'essentiel des missions tenant à l'expertise scientifique et à la régulation économique. Il a relevé que la CNIL, jusqu'à présent, communiquait peu sur ces nouvelles activités, qui demeuraient largement méconnues.
Il a mis en avant l'émergence d'un droit nouveau, le droit à la protection des données personnelles, droit reconnu par la Charte européenne des droits fondamentaux et, sur le plan constitutionnel, par 13 pays de l'Union européenne sur 27. Il a indiqué avoir transmis à Mme Simone Veil une note sur l'opportunité d'inscrire ce droit dans le Préambule de la Constitution française.
Il a souhaité présenter prioritairement à l'Office l'évolution des missions de la Commission, face aux défis qu'elle doit relever.
D'une façon générale, il a rappelé qu'il était de plus en plus difficile pour le législateur et les autorités comme la CNIL de s'adapter à l'accélération constante du développement technologique. Le temps qui s'écoule entre une invention et son application se réduit constamment. De ce fait, le temps démocratique est devenu inadapté au temps technologique.
De la même manière, la tendance à la globalisation du progrès technologique est contraire aux règles de droit traditionnelles, qui demeurent compartimentées sur une base nationale.
Il a relevé que la technologie, en soi, n'est ni bonne ni mauvaise. C'est l'usage que la société en fait qui peut la transformer, soit en progrès, soit en problème. Or, face à cette ambivalence fondamentale de la technologie, la règle de droit ne peut être que prescriptive et univoque.
Il a souligné l'irréversibilité des phénomènes technologiques, qui implique que les pouvoirs publics n'ont plus le droit à l'erreur lorsqu'ils font leurs choix de société.
Enfin, il a exposé la difficulté pour les juristes de produire des normes sur les effets des technologies informatiques qui sont souvent invisibles (radio frequency identification [RFID], nanotechnologies...).
Face à cette multiplication de défis considérables et à la volonté de la CNIL de s'y adapter, M. Alex Türk a évoqué l'insuffisance du budget alloué à la Commission. A titre de comparaison, il a indiqué que la CNIL était animée en France par 103 personnes alors que ses homologues comptent 400 emplois en Allemagne, 250 au Royaume-Uni, ou 210 en Pologne.
M. Alex Türk a présenté à l'Office quelques exemples de la pratique de la CNIL vis-à-vis des technologies émergentes :
- la biométrie : il a indiqué que la CNIL était submergée de demandes émanant tant des entreprises que des collectivités territoriales ou des établissements d'enseignement. A travers l'exemple de l'utilisation des empreintes digitales ou de la technique du contour de la main, il a insisté sur le travail d'information et de pédagogie fait par la CNIL, fondé sur une appréciation de la proportionnalité entre l'objectif recherché et le risque encouru. En l'occurrence, la CNIL refuse la constitution de fichiers d'empreintes digitales dans les cantines scolaires, mais admet l'utilisation du contour de la main pour l'identification des élèves ;
- les puces RFID : il a souligné que la CNIL ne porte pas de jugement de légitimité. Son rôle est de déterminer les critères qui font qu'un projet est acceptable par la société, et ceux qui font qu'il pose éventuellement problème. Il a cité l'exemple de l'utilisation de puces RFID pour la géolocalisation d'enfants handicapés, pour laquelle il y a des arguments pour et des arguments contre. Il en va de même pour la géolocalisation par puces RFID des personnes atteintes de la maladie d'Alzheimer. Il a évoqué les risques, sanitaires et moraux, découlant de la pratique de certains établissements nocturnes à Rome ou Madrid qui injectent sous la peau de leurs clients une puce RFID qui leur sert de moyen d'accès et de paiement ;
- la vidéo-surveillance : sans émettre de jugement d'opportunité, la CNIL a considéré qu'une autorité de surveillance indépendante devait pouvoir vérifier que les citoyens bénéficiaient effectivement de la garantie de leurs droits individuels ;
- les nanotechnologies : il s'agit pour M. Alex Türk d'un enjeu phénoménal pour les années qui viennent, comparable au choc provoqué par le développement d'Internet.
En conclusion, M. Alex Türk a insisté sur l'indispensable dimension internationale à donner au traitement de ces questions. Actuellement, la coopération n'existe qu'entre les 27 pays européens et quelques autres. Les Etats-Unis, la Chine, la Russie, l'Inde, ne disposent pas d'organismes équivalents à la CNIL, ce qui rend aujourd'hui impossible un traitement efficace des problèmes posés.
Enfin, il a souligné que la création d'un défenseur des droits fondamentaux, qui est à l'étude, lui paraissait totalement incompatible avec la nécessaire autonomie de la CNIL.
M. Henri Revol, sénateur, président, a souhaité avoir des précisions sur la méthode de fonctionnement de la CNIL.
M. Alex Türk a expliqué que des demandes de conseils pouvaient émaner du secteur privé ou du secteur public. Le demandeur expose son projet qui est étudié puis présenté en séance plénière pour avis.
Depuis 2004, la CNIL organise aussi des contrôles. Dans ce cas, un commissaire, assisté de juristes et d'ingénieurs, se rend sur place et fait un rapport sur ce qui a été constaté. Des poursuites peuvent alors être engagées et des sanctions infligées. L'entité contrôlée peut contester les décisions de la CNIL, devant sa formation restreinte, puis en appel devant le Conseil d'Etat.
Enfin, dans un but pédagogique, un déplacement en région est organisé tous les deux mois, pour rencontrer les entreprises, les établissements scolaires, les journalistes, les avocats, la presse, etc. Cette démarche permet aussi à la CNIL de sonder la société. Toujours dans un souci pédagogique, la CNIL publie régulièrement des guides.
Répondant ensuite à M. Pierre Lasbordes, député, qui, abordant la question de la sécurité des systèmes d'information, l'interrogeait sur les insuffisances constatées en la matière pour des applications sensibles telles que le dossier médical personnel ou le fichier de détenus, M. Alex Türk a expliqué que la sécurité des systèmes d'information était un élément-clé et qu'il ne devait plus y avoir de dichotomie entre la sécurité et la protection des données à caractère personnel, la sécurité des systèmes devant être prise en compte comme le sont la finalité et la conservation des données.
M. Gwendal Legrand, chef du service de l'expertise informatique de la CNIL, a indiqué que, sur le plan technologique, la CNIL agissait en amont auprès des instances européennes pour définir les priorités de recherche, faisait partie de consortiums internationaux, et se rapprochait de certaines grandes entreprises pour comprendre la manière dont les technologies sont développées avec un certain niveau de sécurité. Il a évoqué le concept de « privacy by design », c'est-à-dire la prise en compte de la problématique de la protection des données à caractère personnel dès le début du développement d'une nouvelle technologie.
M. Alex Türk, revenant sur le problème de la biométrie, a précisé que l'enjeu premier est toujours celui de la sécurité et que lorsque cette dernière est en cause, un fichier d'empreintes digitales peut se justifier et être autorisé, en prenant l'exemple du contrôle d'accès à un laboratoire manipulant des produits toxiques.
Il a indiqué qu'un groupe européen et international travaillait actuellement à des recommandations pour le bon usage des puces RFID. Il a également annoncé que ce groupe rendrait publiques au mois de février des recommandations sur les moteurs de recherche.
Evoquant le dossier Swift (Society for Worldwide Interbank Financial Telecommunication) concernant les transferts bancaires internationaux, puis celui des données des passagers des compagnies aériennes, il a rappelé que la confidentialité constituait un élément essentiel de la sécurité des systèmes d'information.
M. Bruno Sido, sénateur, a rappelé que la loi elle-même impose aux fournisseurs d'accès internet de conserver les données de connexion de leurs clients. Il a estimé que le travail de la CNIL était louable, mais constaté qu'on assistait à une course permanente entre les possibilités technologiques et les nécessités de la préservation des libertés fondamentales. Il s'est demandé si la CNIL et ses homologues étrangères n'allaient pas être définitivement dépassées par la technologie, sauf à croître démesurément, et observé que, finalement, l'accumulation d'informations tuait l'information.
M. Alex Türk a expliqué que l'enjeu était de savoir comment notre génération, et surtout les générations futures, pourront vivre « correctement » dans un monde qui aura subi d'importantes transformations. Il a prédit que d'ici sept à huit années, avec la multiplication des fichiers et l'arrivée à maturité des nouvelles technologies, nous assisterons à une mutation de la société. Malgré tout, nos droits fondamentaux et notre intimité devront être préservés. La difficulté est de faire prendre conscience aux nouvelles générations que la protection de leurs droits fondamentaux, de leur identité, de leur intimité est essentielle, et de susciter auprès des jeunes un réflexe d'autovigilance.
M. Claude Birraux, député, Premier vice-président, a demandé quelles étaient les relations entretenues par la CNIL avec les organismes scientifiques et les académies, telle que l'Académie de médecine qui a rendu un avis sur la biométrie et les tests génétiques ; il s'est interrogé sur le frein que la « jurisprudence » de la CNIL pourrait constituer à la recherche, par exemple en matière d'épidémiologie ; il a souhaité savoir quelle était la doctrine de la CNIL en matière de transmission de fichiers d'abonnés à leur insu.
Sur cette dernière question, M. Alex Türk a indiqué qu'il suffisait de saisir la CNIL pour que ces problèmes soient résolus.
Sur la première question, M. Alex Türk a précisé que la CNIL multiplie les contacts avec les organismes de recherche, les milieux médicaux et les présidents d'université, et entretient notamment des relations avec l'Académie de médecine.
Sur la deuxième question, Mme Sophie Vulliet-Tavernier, directrice des affaires juridiques, internationales et de l'expertise de la CNIL, a indiqué que la CNIL avait proposé un mécanisme d'encadrement des recherches de l'Institut national d'études démographiques sur la diversité ethnique, mais que ses propositions avaient été censurées par le Conseil Constitutionnel. En ce qui concerne plus particulièrement l'épidémiologie, il a rappelé que la CNIL avait proposé, dès 1985, de modifier la loi « Informatique et libertés » de 1978 pour permettre la communication de données à caractère personnel aux organismes de recherche en santé, tels que l'Institut national de la santé et de la recherche médicale ou les laboratoires pharmaceutiques. Ses propositions ont été mises en oeuvre par la loi sur la bioéthique de 1994.
M. Pierre Laffitte, sénateur, vice-président, après s'être inquiété de la faiblesse des moyens en personnel de la CNIL et avoir souligné la nécessité, à terme, de réaliser une fédération des CNIL européennes, a demandé, d'une part, si la CNIL était en relation avec les spécialistes de la recherche publique, en particulier l'INRIA, et, d'autre part, si l'on travaillait actuellement au niveau européen à la définition de normes à appliquer au monde virtuel.
M. Alex Türk a confirmé que la CNIL multiplie les contacts sur les plans français, européen et international avec tous les experts. En ce qui concerne la question des normes, il a souligné l'enjeu que représente la définition de standards internationaux, des sociétés comme Microsoft ou Google poussant les Etats-Unis et les pays d'Asie à adopter des standards moins protecteurs que ceux fixés par la directive européenne de 1995. Il a estimé nécessaire pour les Européens de travailler d'abord à être plus puissants, la France s'associant avec les pays francophones, l'Espagne avec les pays hispaniques et l'Allemagne avec les pays fédéraux. Il a préconisé une approche en deux temps : d'abord, la définition du contenu des standards internationaux, sous l'égide d'une convention internationale, ensuite la définition du degré de force juridique contraignante que l'on donnera à ses standards. Il a annoncé que la « bataille » s'annonçait rude entre, d'une part, l'Europe et ses alliés et, d'autre part, les Etats-Unis et l'Asie.
M. Christian Gaudin, sénateur, s'est à son tour demandé si, eu égard à l'évolution des procédés et des systèmes, la CNIL était en mesure de remplir l'intégralité de ses missions et s'est interrogé sur la portée du contrôle exercé par la CNIL sur la finalité des fichiers.
M. Alex Türk a rappelé que les moyens du service de contrôle de la CNIL seront doublés dès 2008 et souligné que seulement trois ou quatre homologues de la CNIL dans le monde faisaient du contrôle. Il a expliqué que les contrôles sur le terrain permettent de vérifier l'utilisation adéquate des fichiers autorisés. Il a indiqué que la division du travail entre les différentes CNIL européennes, notamment dans le domaine de l'expertise, était souhaitable.
Enfin, considérant que le budget mis à la disposition de la CNIL devait nécessairement augmenter, il a souhaité qu'un plan de rattrapage des effectifs soit mis en place de façon à arriver progressivement au niveau de la Grande-Bretagne en termes de moyens. Il a indiqué que quinze postes seraient créés en 2008. Il a souligné que le développement de la CNIL permettrait la création de huit à douze antennes interrégionales chargées d'effectuer les contrôles. Il a considéré que si les autres pays de l'Union européenne consentaient au même effort, on atteindrait alors une taille critique intéressante.