Intervention de Philippe Latombe

Nous accueillons aujourd'hui M. Gwendal Le Grand, secrétaire général adjoint de la Commission nationale de l'informatique et des libertés (CNIL), accompagné de Mme Manon de Fallois, juriste au service de la santé et de M. Etienne Maury, juriste au service des affaires européennes et internationales.

La CNIL est une autorité administrative indépendante, créée par la loi Informatique et Libertés du 6 janvier 1978. Elle compte deux cent quinze agents et son collège est composé de dix-huit membres parmi lesquels quatre parlementaires.

La CNIL a pour mission de veiller à la protection des données personnelles contenues dans les fichiers informatiques ou papier, aussi bien publics que privés. Elle rend, en conséquence, un certain nombre d'avis et peut prendre des décisions de sanction en cas de non-respect du cadre juridique. Elle se situe donc au cœur des enjeux de notre mission d'information.

Nous souhaitons avant tout vous entendre sur trois sujets.

En prmier lieu, comment la CNIL se positionne-t-elle vis-à-vis de la souveraineté numérique ? Ce concept comprend de nombreuses définitions et déclinaisons, qui renvoient essentiellement, d'un point de vue juridique, à la capacité des pouvoirs publics à imposer le respect du cadre de régulation existant dans la sphère numérique, afin de protéger les droits et les libertés des citoyens.

Comment envisagez-vous votre action, dans un contexte marqué par le caractère évolutif des technologies numériques et un cadre juridique en mouvement, comme le montrent les différentes initiatives de régulation engagées au niveau européen ?

Nous souhaitons également échanger sur la façon dont les CNIL européennes coopèrent face aux pratiques de certains acteurs comme les GAFAM, qui déjouent largement les frontières nationales.

Notre deuxième questionnement porte sur les conséquences des récentes décisions de la Cour de justice de l'Union européenne (CJUE) sur la protection des données.

Notre mission d'information s'intéresse aux données de santé, dont l'exploitation est à la fois pleine de promesses, en termes d'innovation, et pleine de risques, raison pour laquelle elle est strictement encadrée en droit.

Nous aimerions savoir comment la CNIL se positionne sur ce sujet, notamment vis-à-vis des plateformes de données de santé et de la situation plus spécifique du Health Data Hub.

Nous nous interrogeons également sur les conséquences de la décision Schrems II, qui a invalidé le Privacy Shield, car il crérait une situation juridique insécure pour les entreprises, qui pouvaient transférer leurs données vers des pays tiers, en particulier les États-Unis.

Nous souhaiterions savoir quel regard vous portez à ce sujet et vous entendre sur les enjeux d'extra-territorialité du droit américain, le Cloud Act ou le Foreign Intelligence Surveillance Act (FISA).

Enfin, nous aimerions échanger sur les évolutions souhaitables ou nécessaires pour la CNIL dans ce contexte mouvant. Nous savons qu'elle souhaite intégrer davantage les problématiques de cybersécurité, qui est l'une de ses priorités en matière de contrôle en 2021. Le projet de loi 4D pourrait aussi renforcer l'effectivité du pouvoir de sanction de l'autorité en proposant une procédure simplifiée dans ce domaine.

Identifiez-vous d'autres évolutions souhaitables pour renforcer votre capacité d'agir en faveur de la protection des données, des droits et des libertés des citoyens dans le domaine du numérique ?