Jeudi 24 novembre 2016
- Présidence de M. Jean Bizet, président, de Mme Catherine Troendlé, vice-présidente de la commission des lois, et de Mme Colette Mélot, vice-présidente de la commission de la culture -La réunion est ouverte à 9 heures
Économie, finances et fiscalité - Audition commune avec la commission des lois et la commission de la culture, de Mme Isabelle Falque-Pierrotin, présidente de la commission nationale de l'informatique et des libertés (CNIL)
M. Jean Bizet, président. - Nous sommes heureux d'accueillir Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés.
Le Sénat est particulièrement soucieux de veiller, en toutes circonstances, à la protection des libertés fondamentales. La vigilance dont vous faites preuve sur la protection des données, madame la présidente, nous est précieuse.
Vous présidez, par ailleurs, le groupement des CNIL européennes, le G29. Vous travaillez à ce titre en coopération étroite avec vos homologues européens, ce qui vous permet de définir des positions communes ayant plus de portée.
Les sujets européens relatifs à la protection des données personnelles ne manquent pas, ce qui fait tout l'intérêt de votre audition.
Quelle est votre appréciation sur le règlement général et sur la directive relative à la protection des données, qui ont été adoptés récemment ? Le Sénat s'était beaucoup investi sur ces textes que notre collègue Simon Sutour avait rapportés et dont il suit la mise en oeuvre. Comment voyez-vous la transposition de la directive ?
L'Union européenne a par ailleurs conduit des négociations avec les États-Unis. Elles ont abouti à un nouveau cadre, le « Privacy Shield ». Quelle est votre appréciation ?
En outre, les données constituent désormais un élément essentiel pour le développement de l'économie européenne. De multiples applications entraîneront des changements majeurs dans les modèles économiques. Mais cela pose aussi la question de la protection des données ainsi utilisées. Quelle est votre analyse ?
Par ailleurs, dans le cadre du groupe de suivi sur le retrait du Royaume-Uni et la refondation de l'Union européenne, nous avons entendu hier le président de la table ronde des industriels européens, également président d'Air Liquide. Un message a été adressé à la représentation nationale sur la reprise en main au niveau européen des normes relatives au digital, secteur qui sera au coeur de l'économie du XXIe siècle.
Mme Catherine Troendlé, présidente. - La commission des lois est très heureuse de vous accueillir de nouveau, madame la présidente, après l'audition du mardi 15 novembre 2016 sur la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité, le fameux fichier « titres électroniques sécurisés » (TES).
Aujourd'hui, votre audition portera sur l'actualité de la CNIL, sur ses sujets de réflexion, particulièrement sur les conséquences à tirer de l'entrée en vigueur, en 2018, du règlement européen sur la protection des données personnelles.
Mes collègues de la commission des lois ne manqueront pas de vous poser quelques questions, en complément de celles qui vous ont déjà été posées par le président de la commission des affaires européennes.
Mme Colette Mélot, présidente. - Mes chers collègues, au nom de Catherine Morin-Desailly, présidente de la commission de la culture, de l'éducation et de la communication, retenue par d'autres obligations, je dirai à mon tour le plaisir que j'ai d'accueillir Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés.
L'année 2016 aura sans conteste représenté, avec l'adoption de la loi du 7 octobre 2016 pour une République numérique, à l'issue d'une procédure inédite d'appel à contribution populaire, et d'un examen parlementaire approfondi, un tournant dans l'adaptation, à grande échelle, de notre législation aux défis de ce qu'il est d'usage de nommer « la révolution numérique ».
Dans ce cadre, plusieurs dispositions traitent de la protection des données personnelles. Vous semblent-elles suffisantes au regard des enjeux ?
Pour ce qui concerne plus spécifiquement le champ culturel, nous avons pris connaissance avec attention des travaux réalisés cette année par la CNIL sur les données et les industries créatives. Quelles sont, selon vous, les conséquences, sur la protection et les modalités d'utilisation des données, des mutations intervenues du fait du numérique en matière de création et de « consommation » des oeuvres, qu'elles soient littéraires, audiovisuelles, musicales ou vidéo-ludiques ?
Par ailleurs, la commission de la culture, qui dispose également, dans son champ de compétences, des politiques éducatives et en faveur de la jeunesse, s'interroge sur l'efficacité des moyens mis en oeuvre pour lutter contre les dangers de l'Internet sur les jeunes, notamment les plus crédules et les plus fragiles. Comment définiriez-vous une formation numérique de qualité ? Comment jugez-vous les actions existant dans ce domaine, en particulier s'agissant du cyber-harcèlement ?
Mme Isabelle Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés. - Le règlement européen qui vient d'être adopté constitue une avancée majeure, qui doit d'urgence être complétée par une loi nationale.
En mars 2012 vous vous êtes exprimés sur le sujet à travers une résolution. Le General Data Protection Regulation (GDPR) a été adopté en 2016 et sera pleinement applicable en mai 2018. Il permet la construction d'une Europe des données, appuyée sur un mode de régulation radicalement nouveau : suppression ou fort allégement du contrôle a priori ; renforcement du droit des personnes ; responsabilisation de ceux qui traitent les données ; entrée en force d'un nouveau concept juridique, l'accountability, c'est-à-dire l'obligation de prouver la mise en conformité ; enfin, renforcement des sanctions pouvant aller de 2 % à 3 % du chiffre d'affaires mondial.
Ce texte constitue clairement une étape majeure dans la protection des données et consacre une européanisation de notre mode de fonctionnement. Cette européanisation part d'une phase répressive, puisque nous pouvons désormais prononcer des sanctions communes, pour s'étendre progressivement à la doctrine et aux outils nouveaux de conformité : référentiel, pacte de confiance, etc.
J'insisterai sur un point peut-être moins connu de ce règlement, à savoir le nouveau modèle de gouvernance qui se met en place entre les différentes autorités nationales de protection des données européennes. Une nouvelle institution européenne est créée, le Data Protection Board (DPB). Elle sera chargée d'arbitrer pour les cas transfrontières les éventuels conflits entre les autorités nationales. C'est aussi le DPB qui, in fine, arbitrera la doctrine commune entre les autorités européennes de protection des données.
L'idée est de mettre en place une gouvernance distribuée, c'est-à-dire donnant le premier rôle aux autorités nationales, mais également intégrée, c'est-à-dire obligeant à la coopération entre autorités nationales sur les sujets d'intérêt commun.
Ici, l'Europe innove et répond aux critiques de perte de légitimité de ses institutions, de distance avec le terrain, tout en étant efficace et en offrant un front uni sur les sujets majeurs.
La CNIL et le G29 se préparent à ces évolutions. Le G29, notamment, est en train d'élaborer toute une série de guidelines sur les principaux points du règlement pour les clarifier et offrir aux responsables de traitement une boîte à outils plus explicite.
Au niveau de la CNIL, le GDPR consacre en réalité une évolution que nous avons entamée depuis plus de quatre ans consistant à repositionner notre métier avant tout sur l'accompagnement de la mise en conformité. Tout cela a des conséquences juridiques importantes.
Qui dit règlement, dit applicabilité directe d'un texte. Ce sera en 2018 notre nouvelle loi Informatique et libertés. Néanmoins, le règlement est muet sur les procédures et renvoie aux États membres sur de nombreux points. Il vous faudra donc revoir la loi relative à l'informatique, aux fichiers et aux libertés pour tirer les conséquences du règlement.
Vous devrez abroger tout ce que le règlement reprend ; vous devrez préciser les procédures nouvelles en matière répressive pour permettre les sanctions conjointes ; vous devrez enfin prévoir la situation des secteurs dérogatoires : le secteur régalien, la santé, les traitements journalistiques, etc.
Certaines de ces conséquences ont été
anticipées par la loi pour une République numérique. Par
exemple, le montant des sanctions a d'ores et déjà
été revu à la hausse
- 4 millions
d'euros -, mais on est encore loin de 2 % à 4 % du
chiffre d'affaires mondial. Pour autant, en dépit de ces quelques
toilettages, le travail restant à faire est important et doit être
mené dans un laps de temps extrêmement court.
Pour être opérationnelle, la nouvelle loi CNIL doit impérativement intervenir avant mai 2018. Un groupe de travail commun avec le ministère de la justice a été mis en place. Conformément à la loi pour une République numérique, un rapport vous sera remis par le Gouvernement le 30 juin 2017.
L'Assemblée nationale, quant à elle, a annoncé la mise en place d'une mission d'information, qui rendra ses conclusions en février prochain. Il serait nécessaire que le Sénat procède également à un travail de réflexion et d'analyse afin que vous soyez prêts à voter un texte courant 2017.
Une nouvelle directive a été adoptée en parallèle au règlement en matière de police et de justice. Elle devra être transposée en droit interne, soit au travers d'une loi spécialement dédiée à ces sujets, soit en toilettant la loi CNIL.
Sur le fond, la CNIL s'est considérablement mobilisée au sujet de cette directive. Nous voulions être certains que le texte ne diminuerait pas le niveau de protection qui est actuellement le nôtre en matière de protection des individus relativement à nos fichiers de police et de justice. Le résultat nous semble bon.
Au-delà du règlement, et à travers le foisonnement de textes ou d'initiatives, se profilent des enjeux plus généraux.
Premier enjeu, la question de la souveraineté. L'Europe est dans une mauvaise posture sur le plan de la protection des données ; certains parlent même de « colonie numérique », les données de ses résidents étant collectées par des acteurs principalement étrangers et traités en dehors de l'Europe, sans les garanties apportées par notre droit.
L'Europe a souhaité réagir à cette situation ; elle l'a fait de plusieurs manières.
Première réponse, le règlement européen sur la protection des données, qui apportera une réponse via le nouveau critère du ciblage : tout acteur international, dès lors qu'il preste un bien ou un service à destination d'un consommateur européen, est soumis au droit européen. C'est une avancée majeure, car nous éprouvons aujourd'hui les plus grandes difficultés à démontrer aux acteurs internationaux que le droit français, par exemple, leur est applicable. Le droit européen sera donc appliqué de façon beaucoup plus rapide et systématique aux acteurs situés hors de l'Europe, au bénéfice des citoyens européens.
La deuxième réponse de l'Europe consiste non pas, cette fois, à protéger les données des citoyens européens vis-à-vis d'acteurs étrangers intervenant en Europe, mais à protéger les données des citoyens européens lorsque celles-ci font l'objet d'un traitement et sont exportées hors d'Europe. C'est tout le problème du privacy shield, à savoir la capacité de l'Europe à limiter l'accès massif et indifférencié d'autorités politiques étrangères aux données de citoyens européens lorsque celles-ci quittent l'Europe. C'est l'autre versant de la souveraineté.
En quelques mots, je rappelle ce qui s'est passé avec le shield et, avant le shield, avec le Safe harbor. Le Safe harbor était un accord qui liait depuis une dizaine d'années l'Europe et les États-Unis sur l'encadrement juridique des flux transfrontaliers de données entre ces deux espaces géographiques. Il a été invalidé par la Cour de Luxembourg en octobre 2015, au motif que la Commission n'avait pas fait son travail : elle avait certes encadré la circulation des données commerciales de l'Europe vers les États-Unis, mais n'avait pas vérifié les conditions dans lesquelles les services de renseignement américains pouvaient accéder à ces mêmes données pour des raisons de sécurité nationale.
Les CNIL européennes, dans le cadre du G29, se sont, dès octobre 2015, emparées du sujet, et ont demandé à la Commission de répondre de façon explicite, par un nouvel accord, aux demandes de garanties des Européens, s'agissant non seulement des acteurs économiques qui exportent leurs données, mais des autorités publiques américaines qui, de ce fait, avaient accès à un gisement de données.
C'est cette pression des CNIL européennes, portant sur le fond comme sur le calendrier - nous avions fixé à la Commission un délai court pour la conclusion d'un nouvel accord -, qui a conduit au nouveau mécanisme du shield, adopté en 2016.
La question du shield, néanmoins, reste entière. Quelles furent les conclusions du G29 sur le shield ? Des progrès, certes, ont été réalisés par rapport au précédent accord du Safe harbor, mais, pour autant, un certain nombre de questions et de réserves demeurent.
Existe-t-il ou non une surveillance massive et indiscriminée des États-Unis ? Les autorités américaines se sont engagées à ce que cette surveillance, si elle existe, reste totalement exceptionnelle. Est-ce vraiment le cas ? Qu'en sera-t-il dans le cadre de l'application du shield ?
Les États-Unis, à notre demande, et pour répondre au besoin de recours qui fait partie des droits et garanties essentiels du citoyen européen, ont mis en place un nouveau dispositif, celui de l'Ombudsperson. Il s'agit d'une institution indépendante dont la compétence est de traiter d'éventuelles plaintes de citoyens européens contre les autorités de renseignement américaines, en cas d'accès disproportionné à des données les concernant.
Nous avons à plusieurs reprises demandé que nous soit précisé le statut exact de cette Ombudsperson, les modalités de son indépendance, la nature précise de ses moyens d'action. Nous avons reçu des engagements écrits. Reste à savoir s'ils sont effectivement tenus.
La première réunion d'évaluation du shield, qui doit avoir lieu au terme de la première année, c'est-à-dire, en l'occurrence, en juin ou juillet 2017, sera donc absolument décisive. Il s'agira de savoir si le nouveau mécanisme d'encadrement des flux de données entre l'Europe et les États-Unis répond ou non aux exigences inscrites dans les textes européens en cas d'exportation de données de citoyens européens de l'Europe vers les États-Unis. J'ajoute que l'arrivée de M. Trump à la tête de l'administration américaine rend nécessaire une vigilance particulière : sur un certain nombre de points, nous devrons veiller à ce que les engagements pris, qui sont notamment de nature réglementaire - je pense au PPD-28, ou Presidential Policy Directive 28, ordonnance signée par le président des États-Unis - soient tenus par la nouvelle administration.
Vous voyez que l'Europe s'est efforcée de prendre ce débat sur la souveraineté à bras-le-corps. Quant au débat sur la surveillance, qui a été lancé à compter de 2013 par Snowden, il trouve aujourd'hui sa traduction dans ce shield. Il s'agit bien sûr d'un accord entre l'Europe et les États-Unis, mais aussi, de fait, d'un standard plus général, à vocation mondiale, élaboré comme un droit fondamental à partir d'une vision européenne de la protection des données. C'est ce qui a conduit à la position de la Cour de justice de l'Union européenne.
Le sujet à venir, en matière de souveraineté, est celui des « free flows of data », c'est-à-dire de tous les accords internationaux qui sont actuellement en négociation sur la circulation des données dans le monde - je pense au TTIP, le Partenariat transatlantique de commerce et d'investissement, ou au TiSA, pour Trade in Services Agreement, l'Accord sur le commerce des services.
L'élection de M. Trump semble certes repousser les échéances - il a annoncé qu'il n'était pas nécessairement intéressé par la signature immédiate de tels accords. Mais la CNIL alerte depuis plusieurs années sur le contenu de ces négociations. En effet, si le mandat de négociation européen exclut les données personnelles, le mandat américain inclut ce que les États-Unis appellent les « données commerciales ». Or les données commerciales, et notamment les données de consommation des clients, sont des données personnelles.
Il existe donc une contradiction entre les objectifs des négociateurs, de part et d'autre de l'Atlantique. Cette contradiction devra absolument être levée. Il est très important que nous soyons extrêmement vigilants, car le TTIP pourrait déconstruire, pour les acteurs américains, la réglementation européenne dont nous venons de parler : c'est un accord international dont le niveau juridique est supérieur à celui du règlement européen.
Cet appel à la vigilance s'adresse aux gouvernements et aux parlements nationaux : il y va de la défense de notre souveraineté et de nos valeurs en matière de protection des données personnelles.
Deuxième thème : le rôle des données dans l'innovation.
Ce n'est pas une nouveauté pour vous : les données personnelles sont de plus en plus centrales dans les modèles économiques et les stratégies d'innovation, qu'il s'agisse du domaine culturel ou d'autres domaines. On parle de « barbares », de « disruption » : tous les secteurs de la vie économique sont concernés.
Cela nous a conduits, à la CNIL, à faire évoluer considérablement notre métier, et à nous repositionner sur l'accompagnement à la mise en conformité et le soutien à l'innovation autour des données, via l'élaboration, avec les acteurs, d'un certain nombre d'outils nouveaux.
Je mentionne, en la matière, quatre sujets.
Premièrement, la directive « e-privacy ». Elle est ancienne - elle date de 2002 -, mais en cours de révision. Ce texte s'adresse avant tout au secteur des télécoms. Mais ses incidences sont plus larges, concernant notamment la réglementation sur les cookies, ces petits fichiers témoins qui permettent de produire de la publicité comportementale ciblée et sont au coeur de tous les modèles économiques du net.
La question est celle de l'articulation de la révision de cette directive avec le règlement européen sur la protection des données. Les failles de sécurité, autre sujet extrêmement important de l'internet, sont traitées dans les deux textes ; les dispositions ne sont pas exactement identiques selon qu'il s'agit d'une faille de sécurité des opérateurs de télécommunications ou d'une faille traitée par le règlement européen. Dans le règlement européen, les dispositions sur les failles de sécurité s'appliquent à tous les acteurs, quel que soit le secteur industriel ou commercial concerné.
Il vous faudra donc, lorsque vous serez saisi de la loi de transposition de cette directive « e-privacy », et peut-être aussi en amont de cette transposition, que vous veilliez à l'articulation entre ce texte spécifique, qui règle la protection des données relatives au secteur des télécoms, et le texte général qui s'applique à l'ensemble des secteurs, le règlement GDPR.
Deuxième sujet : les questions culturelles.
La CNIL a essayé, dans le cadre de son comité de la prospective, d'étudier le développement, dans ce secteur, de la personnalisation et de l'hyperpersonnalisation. Le domaine de la culture est particulièrement sensible, non pas au sens de la loi relative à l'informatique, aux fichiers et aux libertés, mais au regard de la vie des personnes. La consommation culturelle, en effet, dit énormément de l'intimité et du caractère des personnes : quelles chansons écoutez-vous ? À quel moment ? Les écoutez-vous dans leur intégralité, ou passez-vous de l'une à l'autre ? Toute cette vie culturelle dit beaucoup de choses sur le type de personne que vous êtes ! Dans l'étude que nous avons faite, nous avons tenté d'attirer sur ce point l'attention des acteurs culturels - ceux-ci ne sont pas toujours totalement au fait ni des risques ni des attentes éventuelles de leurs consommateurs eu égard à cet hyperciblage.
Troisième sujet, sur le rôle des données dans l'innovation : l'importance des algorithmes. Les algorithmes sont, depuis très longtemps déjà, au coeur de la personnalisation. Avec le développement des nouvelles technologies, ils ont pris une importance et une efficacité sans précédent. Toute la question est de savoir comment ils fonctionnent. Sont-ils transparents ? Quelle est leur fiabilité ? On a vu ces problèmes à l'oeuvre dans le domaine automobile ou dans celui de l'allocation des places d'université après le baccalauréat.
Cette question est absolument transversale ; elle conditionne dans une large mesure la confiance que les individus placent dans les services privés et publics qui leur sont fournis. Cela fait quelque temps que la CNIL y réfléchit ; nous y réfléchirons désormais dans le cadre d'une nouvelle mission qui nous a été confiée par la loi pour une République numérique, à savoir l'organisation du débat sur les questions éthiques liées à l'univers numérique.
Le premier thème dont nous allons nous emparer est précisément celui des algorithmes. Nos objectifs seront de décrypter, dans les différents secteurs de la vie économique, mais peut-être aussi dans d'autres secteurs, les problèmes soulevés par ces algorithmes, d'évaluer notre capacité à les maîtriser, et, en définitive, de définir ce que nous pouvons exiger, en tant que communauté nationale, de ceux qui les utilisent. Nous lancerons ce débat début 2017, en coopération avec Axelle Lemaire ; il devrait donc se dérouler au cours de l'année prochaine.
Quatrième et dernier sujet : assistons-nous, dans le domaine de la protection des données, mais peut-être aussi plus largement - de ce point de vue, ce domaine peut être un bon laboratoire -, à l'émergence de ce que j'appellerais un nouveau type de démocratie ? Pour quelle raison les usages numériques donnent-ils lieu à un ressentiment croissant des personnes, s'agissant en particulier de la circulation de leurs données ? Le dernier baromètre de la confiance des Français dans le numérique enregistre le plus bas niveau de satisfaction depuis neuf ans, c'est-à-dire depuis que cet indice existe : 67 % des Français considèrent qu'ils n'ont plus ou pas confiance dans l'univers numérique, et la quasi-totalité de ce malaise se polarise autour des données. Les Français ont un sentiment de perte de confiance, de maîtrise et d'autonomie. En d'autres termes, ils ne comprennent pas cet univers, qui leur apparaît comme une sorte de boîte noire : le numérique, paradoxalement, met les données personnelles au coeur de son fonctionnement, mais sans que les principaux intéressés soient aux commandes.
Le règlement a clairement pour vocation de répondre à cette situation, à travers la création de nouveaux droits : le droit à l'oubli, le droit à la portabilité, le droit au consentement, ou du moins à un consentement renforcé.
Le règlement vise à remettre l'individu au centre du numérique, pour rééquilibrer la relation entre cet individu, les données qui le concernent et ceux qui les traitent.
En France, le droit à l'oubli a donné lieu à bien des débats. L'histoire n'est pas nouvelle. Dans votre résolution de 2012, vous l'aviez mentionné comme un droit essentiel. Ce droit est en train de faire école, puisque la société civile le réclame désormais dans un certain nombre de pays. La société Google a initié un débat sur la portée géographique du droit à l'oubli, en proposant que le déréférencement soit cantonné géographiquement, par exemple dans le cadre français ou européen. N'en oublions pas pour autant la substance du droit à l'oubli : occulter la visibilité d'un individu dans son périmètre de proximité et le supprimer d'un fichier sont deux opérations de nature très différente.
En écho à ce renforcement des droits, la loi sur la justice du XXIe siècle prévoit l'action de groupe, c'est-à-dire qu'elle donne à un groupe d'individus la capacité de se mobiliser pour être acteurs de régulation. Ces évolutions ne pourront fonctionner que si l'on développe une éducation au numérique, qui ne se réduira pas simplement à apprendre le codage ou à se prémunir contre les risques de harcèlement sur la toile. Le collectif de plus de 70 acteurs que nous avons pris l'initiative de créer, il y a quelques années, définit cette éducation comme l'apprentissage d'une culture générale du numérique, mêlant éléments techniques, économiques et historiques pour garantir une maîtrise des usages, mais aussi une compréhension de l'environnement dans lequel les internautes évoluent. Telle est la condition pour que chaque Français puisse se protéger, mais surtout puisse utiliser à son profit toutes les potentialités de l'univers numérique.
Cette conviction est désormais partagée à l'échelle mondiale, puisque la Conférence mondiale des autorités de protection des données qui s'est tenue à Marrakech, il y a un mois et demi, a adopté un référentiel commun d'apprentissage et d'éducation au numérique commun à tous les pays. Malgré les différences de leurs traditions juridiques, les pays participant ont réussi à s'accorder sur la création d'une sorte de boîte à outils éducative à portée opérationnelle, offrant les compétences de base indispensables à tout citoyen numérique averti. C'est un exemple très positif qui démontre la capacité d'action collective de l'ensemble des pays concernés.
Comme vous l'aviez pressenti en mars 2012, le règlement européen sur les données personnelles constitue un enjeu majeur. Le débat qui s'est développé sur le sujet montre la force de nos valeurs communes. Le règlement européen a été adopté à la quasi-unanimité, avec un taux de votes record, toutes sensibilités confondues. Notre projet sur la République numérique a également fait l'unanimité. Ces valeurs communes que nous portons sur la protection des données sont ancrées en Europe. La France et l'Europe ont une longueur d'avance, car ces valeurs humanistes correspondent aux attentes de nos concitoyens et des consommateurs européens. Elles témoignent de notre influence sur les autres acteurs étrangers et mettent en valeur notre capacité d'action.
M. Jean Bizet, président. - Il faut impérativement que nous développions une culture générale du numérique pour mieux appréhender l'environnement dans lequel nous sommes appelés à évoluer. La jeune génération est déjà très au point ; la nôtre a encore des progrès à faire. Si la France a une longueur d'avance sur les concepts, c'est moins le cas sur les normes, domaine dans lequel nous accusons du retard par rapport au monde anglo-saxon, et notamment les Américains avec l'Internet Corporation for Assigned Names and Numbers (ICANN).
Le Traité transatlantique est mort-né ; il n'est pas pour autant définitivement enterré, car on n'imagine pas un monde où les continents se replieraient tous sur eux-mêmes. Le Sénat avait une approche plutôt positive du volet numérique de ce traité. Le problème du mandat européen par rapport à celui des Américains sur la propriété des données commerciales nous avait échappé. Je vous remercie de nous avoir éclairés sur ce point.
Mme Catherine Troendlé, présidente. - Je vous remercie de votre présentation très exhaustive. Le référentiel mis en place par le G29 lors de la Conférence de Marrakech est fondamental. Nous devons avancer dans une société avertie et informée.
M. Simon Sutour. - Je vous remercie pour cette audition remarquable. Nous nous sommes régalés. Nous ne pouvons que nous féliciter de l'existence de la CNIL, dont nous avons encore mesuré l'expertise récemment au sujet du fichier TES, mais aussi lors du dépôt d'une proposition de résolution européenne, il y a quatre ans. Vous nous aviez alors alertés.
J'étais rapporteur de la commission des affaires européennes et de la commission des lois sur ce texte. Un avis motivé sur la subsidiarité, préparé à la commission des affaires européennes du Sénat, demandait à la Commission européenne de revoir sa copie. Notre démarche n'a pas abouti. Il n'en reste pas moins que nous disposons d'outils importants au Parlement pour intervenir au niveau européen.
Je me rappelle l'audition mouvementée de Mme Viviane Reding, la commissaire européenne alors en charge de ces projets. Selon elle, la question devait se régler en quelques mois. Il a fallu quatre ans. Elle nous disait que tout était entre nos mains. Ce n'était pas mon point de vue. Pour l'Union européenne, toute démarche d'harmonisation est positive. Elle devient aussitôt négative lorsque cela implique d'abaisser certains standards. Nous avons obtenu de maintenir en France notre niveau de protection supérieur. Une absurdité figurait dans la proposition de règlement : il revenait au pays où l'entreprise était établie de contrôler ses données. Autrement dit, l'Irlande aurait été en charge des données de Facebook. Nous nous y sommes opposés avec succès.
On nous a laissé entendre que le règlement européen adopté en avril dernier nous obligerait à toiletter un certain nombre de nos lois nationales. Il me semblait qu'un règlement européen était d'application directe et annulait toutes les dispositions nationales allant à son encontre. D'où l'importance d'imprimer notre marque sur ce document. En revanche, une directive se transpose en droit national. Qu'en est-il donc selon vous ?
Notre travail n'a pas été vain. En ces temps où les autorités administratives sont sur la sellette, la CNIL n'a jamais été mise en cause. La situation évolue. Vous avez su décortiquer avec perspicacité ce nouveau chantier auquel nous devrons nous attaquer.
Mme Colette Mélot, présidente. - Je remercie Mme la présidente pour toutes les réponses qu'elle nous a apportées, en particulier dans le domaine de l'éducation.
Mme Corinne Bouchoux. - Vous avez bien montré qu'il fallait une réorganisation complète du dispositif de 1978 qui tenait sur ses deux jambes, à savoir la CADA et la CNIL. La loi numérique était un compromis qui ménageait l'existence de la CADA. Le rapport Mazeaud prône un rapprochement géographique et culturel, par immersion mutuelle des deux instances. Envisagez-vous d'appuyer la CADA en mettant à sa disposition vos moyens numériques pour faire face à la multiplication des tâches que lui confère le fameux article 4 sur les bases de données ?
Ne croyez-vous pas que sur ce type de sujet, nos agents administratifs, nos agents publics ou nos universitaires, aussi excellents soient-ils, sont quelque peu concurrencés par des associations comme LiberTIC ou Regards Citoyens, qui ont l'expertise d'usage ? Comment leur donner plus de place ? Même si leurs positions peuvent parfois nous déranger, ces associations ont un rôle très précieux qui n'est pas assez reconnu dans les textes.
Mme Isabelle Falque-Pierrotin. - En ce qui concerne le règlement, la stratégie d'influence des acteurs français a été très efficace. Le projet initial a été profondément modifié. La gouvernance a évolué et n'est pas centralisée à Bruxelles comme il était prévu initialement. Nous avons enrichi le texte et nous l'avons adapté à un mode de fonctionnement numérique caractérisé par sa distribution, même s'il est aussi intégré à certains égards.
La loi de transposition reste nécessaire. Il faut retirer de la loi CNIL les articles auxquels le règlement se substitue. Si nous voulons prononcer des sanctions communes, il nous faudra adapter la procédure de répression de la CNIL, pour déterminer par exemple à quel moment le contradictoire se met en place, ou à quel moment nous devrons saisir nos homologues. Le règlement ne traite que la fin de course d'une sanction. Pour le reste, il faut se référer aux lois nationales. D'où l'importance de les toiletter impérativement avant mai 2018. Qu'un seul pays échoue à mettre en place sa procédure nationale et le règlement tombera.
Certains domaines sont laissés intacts par des dérogations au règlement : tout ce qui relève du régalien, mais aussi la santé. Il faut par conséquent opérer un toilettage très fin. Les équipes de la CNIL y travaillent sous l'autorité du secrétaire général et en collaboration avec le ministère de la justice. Le texte devra être prêt en juin 2017, si l'on veut pouvoir enclencher les procédures de vote dès septembre 2017 pour que les nouvelles dispositions entrent en vigueur en 2018. Les délais sont courts.
Nous n'avons pas été sollicités pour épauler la CADA dans ses nouvelles missions. Nous pourrions y réfléchir, si on nous le demandait, à la seule réserve que les services de la CNIL travaillent déjà à flux hypertendu. On leur confie sans cesse de nouvelles missions et le nombre des plaintes qu'ils doivent traiter va toujours croissant : 8 000 plaintes cette année contre 6 000 l'an dernier. Notre capacité à redéployer nos moyens est limitée.
Cependant, l'adossement des deux institutions est très positif. Le président de la CADA siège désormais en séance plénière de la CNIL et s'acculture à la protection des données. Un groupe de travail commun se met en place pour élaborer une sorte de pacte de conformité sur l'open data. Nous verrons si l'intégration a vocation à s'approfondir.
Mme Marie-Christine Blandin. - J'ai entendu votre suggestion de former les citoyens au numérique dès l'école. Le Conseil supérieur des programmes a été saisi en juillet dernier par le ministère pour élaborer la suite de cette formation au numérique au lycée. Laissez-moi vous rassurer, tous les aspects sociétaux sont pris en compte et pas seulement l'apprentissage du codage. Cela va de la protection des données jusqu'aux enjeux de l'intelligence artificielle.
M. Jean Bizet, président. - Je vous remercie, madame la présidente. Nous serons bien évidemment appelés à nous revoir. Nous avons reçu, hier, le président d'European Round Table (ERT). Il faut absolument que nous puissions écrire en franco-allemand les normes techniques européennes qui vont de pair avec le concept de la protection des données. Compte tenu de la transversalité du sujet, nous devons rester en alerte. Même situation pour ce concept de protection des données commerciales qui est intégré dans le projet de Traité transatlantique. Les États-Unis sont un pays d'inventeurs qui vont très vite, en faisant fi parfois du détail, contrairement à la France où l'on défriche davantage. On l'a vu au sujet de la propriété intellectuelle dans le domaine végétal. Les Américains ont délivré un brevet très rapidement ; en prenant le temps d'affiner les sujets au travers du certificat d'origine végétale, nous avons fait évoluer leur législation en la matière. Il faut toujours garder le point de vue de la protection du consommateur ou de l'utilisateur pour aborder ces sujets.
Mme Isabelle Falque-Pierrotin. - Vous avez parfaitement raison au sujet des normes. Il existe des normes mondiales au niveau de l'ISO. La France et le G29 ont particulièrement insisté pour instiller à ce niveau-là une dimension informatique et liberté. Nous devons rester présents, car c'est là que se charpente l'univers numérique.
La réunion est close à 10 h 10