Intervention de Thomas Dautieu

Je vous remercie d'accueillir la CNIL pour cette audition. Celle-ci a pour mission de garantir que les fichiers informatiques mis en place tant dans le secteur public que dans le secteur privé respectent le cadre légal, fondé sur la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « loi informatique et libertés », et le règlement général sur la protection des données (règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit règlement « RGPD »). Le premier principe posé par la réglementation (et qui intéresse plus particulièrement votre mission) est que les fichiers doivent être mis à œuvre à des fins licites et légitimes. À ce titre, la CNIL participe à la lutte contre le racisme, dans le sens où, par exemple, un fichier qui serait mis en place à des fins de discrimination en matière d'accès à l'emploi ou au logement serait, par sa nature même, contraire aux principes de la réglementation.

La loi dite informatique et libertés et le RGPD apportent également des garanties vis-à-vis des données dites « sensibles ». Celles-ci incluent les données relatives à la santé, aux opinions politiques, à l'orientation sexuelle, mais également celles qui révèlent l'origine raciale ou ethnique. Les considérants du RGPD indiquent que « l'utilisation de l'expression “origine raciale” dans le présent règlement n'implique pas que l'Union adhère à des théories tendant à établir l'existence de races humaines distinctes ». Dans la loi française, il est question de « prétendue origine raciale des personnes ».

La loi dite informatique et libertés et le RGPD interdisent l'utilisation des données sensibles dans tout type de traitement informatique. Un traitement informatique qui contiendrait des données relatives à l'ethnie ou l'origine raciale supposée serait donc contraire à la loi française et au RGPD, et une disposition du code pénal prévoit jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende pour l'utilisation de ces données.

Le RGPD interdit également la prise de décision individuelle automatisée (autrement dit, l'utilisation d'algorithmes) qui exploiterait des données sensibles, sauf si les personnes concernées ont donné leur consentement (par exemple, il est possible d'organiser des sites de rencontre fondés sur des données sensibles), ou si un motif d'intérêt public important est engagé (par exemple, il est envisageable de développer des algorithmes qui utilisent des données de santé).

Ces dispositions fixent un cadre juridique, et la CNIL a pour mission d'instruire les plaintes qu'elle reçoit vis-à-vis de l'utilisation des données. Elle dispose d'un pouvoir de contrôle et de sanction, et peut imposer des amendes allant jusqu'à plusieurs dizaines de milliers d'euros et qui sont fonction de la gravité du manquement constaté. Il est à noter que, depuis la mise en place du RGPD, les mécanismes de déclaration auprès de la CNIL ont été abandonnés afin de recentrer les missions de celle-ci sur l'accompagnement des responsables de traitement ainsi que son rôle de contrôle et de sanction.

Je mettrai maintenant l'accent sur deux points. D'une part, il existe des exceptions à l'interdiction de traiter des données sensibles. Ces exceptions ne s'entendent qu'à partir du moment où le fichier concerné répond à une finalité déterminée, explicite et légitime.

La première de ces exceptions concerne les chercheurs (en dehors du domaine de la santé). Ainsi, il est possible, notamment dans le cadre de recherches en sciences sociales, de collecter des données sensibles, y compris celles relatives à la prétendue origine raciale ou ethnique. La finalité du traitement est ici légitime, mais la demande doit répondre à un certain nombre de critères, dont le premier est de disposer du consentement des personnes concernées, à moins que les données en question aient été rendues manifestement publiques par ces dernières, ou que la recherche présente un motif d'intérêt public au sens du code de la recherche (un avis motivé et publié de la CNIL est alors nécessaire). Dans ce dernier cas, cette exception ne vise que la recherche publique. La recherche privée doit disposer du consentement des personnes, ou les données relatives à ces dernières doivent être manifestement publiques.

La deuxième de ces exceptions concerne la santé. La CNIL peut autoriser la collecte de données relatives à l'ethnie, notamment dans le cadre de recherches médicales pour lesquelles il est scientifiquement prouvé que ces données sont importantes, ou dans le cadre de la pharmacovigilance (des scientifiques peuvent démontrer à la CNIL qu'un médicament est plus efficace pour certaines ethnies).

La troisième des exceptions est le domaine statistique. La loi dite informatique et libertés prévoit une dérogation pour le traitement de données sensibles à des fins statistiques au bénéfice de l'Institut national de la statistique et des études économiques (INSEE) et des services ministériels statistiques, après avis du Conseil national de l'information statistique (CNIS). Les autres traitements statistiques doivent bénéficier d'un des régimes d'exception évoqués ci-dessus pour traiter des données sensibles.

Les statistiques ethniques sont interdites depuis la décision n° 2007-557 DC du 15 novembre 2007 du Conseil constitutionnel. Dans celle-ci, le Conseil indique que « si les traitements nécessaires à la conduite d'études sur la mesure de la diversité des origines des personnes, de la discrimination et de l'intégration peuvent porter sur des données objectives, ils ne sauraient, sans méconnaître le principe énoncé par l'article 1er de la Constitution, reposer sur l'origine ethnique ou la race ». Un certain nombre de commentateurs de cette décision estiment que le Conseil n'a pas jugé que seules des données objectives (comme la nationalité, qui ne constitue pas une donnée sensible) pouvaient faire l'objet de traitement, mais que cela pouvait également être le cas de données fondées sur un ressenti d'appartenance. Par conséquent, des traitements de recherche en sciences sociales peuvent être engagés sur des données à caractère objectif (nom, origine géographique, nationalité, etc.), mais également des données subjectives (par exemple, la réponse à la question « en pensant à votre histoire familiale, de quelle origine vous sentez-vous ? »), à la condition qu'ils ne visent pas la création d'un référentiel ethno-racial.

Ainsi, la CNIL a rendu en février 2020 un avis sur une enquête statistique de l'Institut national d'études démographiques (INED) portant sur les mutations sociodémographiques dans les départements et les régions d'outre-mer. La CNIL a observé que ce projet d'enquête visait à collecter des données objectives et ne reposait pas sur le régime ethnique ou prétendu racial des personnes interrogées. Certaines questions, telles que celles relatives aux expériences de discrimination, impliquaient des données subjectives, mais la CNIL a estimé que cette enquête n'avait pas pour objet, même indirectement, de classifier les personnes interrogées en fonction soit de leur origine ethnique ou prétendument raciale déclarée, soit d'un référentiel ethno-racial.

En outre, la CNIL a publié en 2007, avant la décision du Conseil constitutionnel, un certain nombre de recommandations destinées à encadrer la mesure de la diversité. Elles sont antérieures au RGPD, mais certaines d'entre elles trouvent encore une pertinence. Elles portent notamment sur l'utilisation de données objectives dans les enquêtes, les études sur le ressenti, la possibilité d'admettre l'analyse des prénoms et des patronymes pour détecter d'éventuelles pratiques discriminatoires, le refus d'un référentiel ethno-racial et la nécessité de garantir la confidentialité et l'anonymat des données par le recours à des techniques d'anonymisation.

La quatrième exception qui permet le traitement des données ethniques ou prétendument raciales concerne les traitements à des fins mémorielles. La loi dite informatique et libertés et le RGPD prévoient des droits pour les personnes qui s'arrêtent au décès de celles-ci. Toutefois, dans certains cas de figures, la CNIL peut décider d'appliquer ces droits aux données relatives à des ancêtres de personnes vivantes. Ainsi, elle a pu se prononcer sur un certain nombre de publications de données, notamment en lien avec la Seconde Guerre mondiale, qui faisaient apparaître des données sensibles. Il a donné aux personnes la possibilité de s'opposer à la diffusion des données relatives à leurs ancêtres si elles estimaient que cette diffusion pouvait leur causer un préjudice. De plus, cette diffusion devait s'entourer de garanties techniques (par exemple, les données ne devaient pas être collectées de manière automatisée par des moteurs de recherche).

La cinquième et dernière exception concerne le cas où le traitement des données sensibles est nécessaire pour des motifs d'intérêt public importants, après adoption d'un décret en Conseil d'État et avis de la CNIL. Je n'ai pas d'exemple à vous donner qui concerne les données ethniques.

D'autre part, la CNIL se mobilise depuis de nombreuses années en matière de lutte contre le racisme. Elle collabore avec le Défenseur des droits, qui fait partie du collège de 17 commissaires qui constitue la CNIL. Cette collaboration en matière de lutte contre le racisme s'est concrétisée en 2012 par la publication d'un guide à usage des acteurs de l'emploi (portant sur les mesures à mettre en œuvre pour mieux mesurer les éventuelles discriminations et pour progresser s'agissant de l'égalité des chances), en 2015 par la signature d'une convention de partenariat, et en 2020 par l'organisation d'un séminaire portant sur la prévention et la lutte contre les biais discriminatoires des algorithmes.

La CNIL a également engagé des travaux sectoriels sur la lutte contre les discriminations, portant par exemple sur l'accompagnement numérique des personnes en difficulté ou encore l'encadrement, au regard de la loi dite informatique et libertés et du RGPD, des dispositifs d'alerte professionnels (qui permettent notamment de dénoncer des faits de discrimination) et celui des fichiers relatifs à l'accès à la location (qui limite les données pouvant être collectées par les bailleurs, ce qui permet de s'assurer que ceux-ci ne disposent pas de données pouvant conduire à des discriminations).