Intervention de Marie-Laure Denis

Vous abordez des sujets qui dépassent de beaucoup le cadre du projet de loi. Certains députés ont eu l'occasion de m'entendre sur le Cloud Act, à la fois devant la commission des Affaires européennes de l'Assemblée nationale et devant la commission d'enquête sur la souveraineté numérique au Sénat. Il est clair qu'il y a un conflit de lois avec l'article 48 du RGPD, sur lequel j'avais beaucoup insisté. Nous avons été très actifs sur ce sujet au sein du Comité européen de la protection des données, qui réunit les CNIL européennes. Tout récemment, au mois de juillet, ce sujet a fait l'objet d'une publication de ce Comité, à laquelle je me permets de renvoyer. Elle explicite clairement les choses.

La CNIL a un laboratoire d'innovation qui décortique les enceintes connectées. Nous voyons que ces enceintes peuvent notamment écouter des informations quand nous pensons qu'elles ne les écoutent pas. Quand une personne dit : « Hey, Alexa ! » parce qu'une personne présente dans la pièce s'appelle aussi Alexa, cela peut déclencher un mécanisme d'écoute. Les utilisateurs de ces enceintes ne sont pas conscients des risques encourus. Des tiers arrivent dans des foyers où il y a ces enceintes et ne sont pas au courant qu'il y en a. C'est un enjeu d'autant plus important que la diffusion de ces objets s'accélère. Nous parlons des enceintes connectées, mais la question peut se poser pour un grand nombre d'autres objets. Les industriels qui fabriquent et exploitent ces enceintes disent parfois recueillir des données pour améliorer leurs appareils et pas pour exploiter les enregistrements. C'est ce qu'ils disent, mais leurs pratiques interrogent…

Pour nous, c'est un vrai sujet de préoccupation. C'est d'ailleurs l'un des trois axes de travail de la CNIL dans le domaine de l'innovation, de la technologie et de la prospective pour l'année à venir.