Intervention de Pr Thibault Douville

L'État est actif en matière de protection des données. La loi de programmation militaire 2013-2019 a été, par exemple, la première à créer la catégorie des opérateurs d'importance vitale pour protéger les systèmes d'information et les données. L'État est par ailleurs actif par le cadre juridique mis en place, par exemple, concernant la sécurité des données de santé qui font l'objet d'un hébergement. Il existe une vraie politique étatique en matière de protection des données. De ce point de vue, il me semble que l'État est assez proactif, aussi bien en matière de protection des données que de cybersécurité.

Il est plus surprenant peut-être de constater la défiance que les citoyens peuvent entretenir à l'égard de l'État quant à la manière dont il traite les données et aux finalités poursuivies par ces traitements. Le projet Alicem en est un exemple concret : le traitement de données visait à permettre la création d'un moyen d'identification électronique sur un smartphone. Il a provoqué des réactions assez vives en raison des risques que le système poserait quant à la protection des données à caractère personnel, notamment en raison du stockage centralisé d'un certain nombre de données. L'État devrait peut-être mettre en œuvre une politique pour minimiser les données traitées afin de favoriser la confiance des citoyens. Était-il par exemple nécessaire, dans le projet Alicem, de prévoir un stockage centralisé des données à des fins d'authentification compte tenu des usages possibles du moyen d'identification électronique ? L'État devrait peut-être développer une politique de minimisation des données pour favoriser la confiance des citoyens. Il me semble que la quantité ou le volume des données traitées, par l'État, peut créer une difficulté pour les citoyens. La meilleure protection des données est la minimisation. La meilleure anticipation du risque cyber est la minimisation des données traitées.

La collecte massive des données génère un risque. Il est tout à fait possible de modifier, par voie réglementaire ou législative, la finalité de l'utilisation des données pour transformer l'objet du traitement. C'est en cela que le raisonnement sur la finalité du traitement n'est pas forcément satisfaisant à lui seul. Une mise en œuvre du principe de minimisation des données constitue une vraie protection complémentaire des droits et libertés. La minimisation constituait le principe de base du RGPD, et l'on se focalise aujourd'hui davantage sur les finalités poursuivies que sur la minimisation des données.

La transformation numérique de l'État est un point fondamental en ce qui concerne la souveraineté. La place de l'État dans l'environnement numérique a vocation à se renforcer : l'État est très présent hors numérique, mais quelle est sa place dans l'environnement numérique ? Il y a toute sa place. Pour cela, l'État a certainement vocation à remettre le citoyen au cœur de ses données et au cœur de son identité ainsi qu'à minimiser les données traitées, afin de redonner une certaine prise au citoyen sur l'activité de l'État en matière numérique et à lui redonner confiance. Il est aberrant que les citoyens aient, en France, davantage confiance en Facebook ou Google qu'en l'État pour traiter leurs données.