Mmes et MM. les députés, Mmes et MM, je suis très honoré d'avoir l'occasion de m'exprimer devant votre mission d'information et je vous remercie, au nom de la CNIL, pour votre invitation.
Je suis accompagné de M. Etienne Maury, qui travaille au service des affaires internationales et européennes, et de Mme Manon de Fallois, qui travaille au service de la santé.
La souveraineté numérique est devenue, en quelques années, un sujet politique majeur et décisif. Depuis sa création, il y a plus de quarante ans, la CNIL a observé comment les innovations technologiques ont progressivement envahi les espaces de la vie privée et de la vie en collectivité, au travail comme dans les entreprises ou les services publics. Le numérique a même modifié la perception de nos frontières, des valeurs de nos sociétés et de notre équilibre économique.
Cette difficulté nécessite de repenser le concept de souveraineté nationale et européenne pour faire face à deux principaux enjeux.
Le premier enjeu est lié à la capacité des États à appliquer leurs normes. En effet, rien de ce qui définit la puissance publique (un territoire, des frontières, des règles) ne fonctionnent en ligne, car Internet n'est pas un lieu, mais un lien dans lequel s'effectue d'innombrables traitements et transferts internationaux de données. La singularité de la révolution numérique tient d'ailleurs au fait que les gisements de données ne se tarissent pas avec le temps. L'usage de données génère de la valeur par leur recoupement, leur agrégation et leur mise en relation.
Le deuxième enjeu est celui de l'éthique. Le « solutionisme technologique » proposé par de multiples acteurs, qui se confrontent sur des marchés, est une tendance forte, qui pourrait nous conduire à subir des choix d'organisation de la vie en société. Le risque réside dans le fait que ces choix soient in fine opérés à notre insu, en dehors des circuits démocratiques traditionnels, et que les nations n'aient plus la capacité d'opérer des choix collectifs.
L'État est mis au défi dans toutes ses facettes d'expert, de stratège, de législateur, de régulateur et de pouvoir exécutif. Face à ce défi, l'intervention de la puissance doit se recomposer autour de leviers robustes, que je vous propose d'explorer au travers du prisme de la CNIL.
Je reviendrai rapidement sur la genèse du Règlement général sur la protection des données (RGPD) et la structuration de la souveraineté numérique, avant de présenter un bilan européen de la protection des données. Je terminerai sur les axes prioritaires à renforcer pour que la CNIL soit à la hauteur des enjeux dans un monde post-Covid. Mon propos répondra ainsi à la plupart de vos questions.
S'il existait un ADN du numérique à l'échelle française ou européenne, il s'agirait de placer la personne humaine au centre de la régulation. Celle-ci a évolué afin de répondre à des défis politiques, économiques et géopolitiques.
S'agissant des défis politiques, l'article premier de la loi Informatique et Libertés de 1978, qui a donné naissance à la CNIL, pose le principe selon lequel l'informatique doit être au service de chaque citoyen et ne porter atteinte ni à une entité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles et publiques. Quarante ans plus tard, cet article premier constitue toujours une boussole.
La loi Informatique et Libertés a également imposé quatre types de nouveaux droits citoyens : les droits d'information, d'opposition, d'accès et de rectification.
À partir des années 1990, des défis économiques surviennent. Avec l'explosion d'Internet, l'Europe se dote d'une directive en 1995, qui reprend les principes de la loi Informatique et Libertés. En 2002, une directive dite « on Privacy » (Vie privée et communication électronique) reconnaît la spécificité du secteur des communications électroniques. Depuis, le contexte économique a beaucoup évolué, avec les GAFAM qui sont devenues hégémoniques et de nombreuses avancées technologiques, comme les objets connectés, les techniques de profilage, de surveillance, les outils de contrôle, les algorithmes et le développement des cyberattaques, qui nourrissent la conscience collective de devoir revoir à la hausse le niveau de protection des données personnelles. Les révélations d'Edward Snowden aux débuts des années 2010 en sont le symbole.
Dans ce contexte, la directive a évolué le 25 mai 2018 en Règlement général sur la protection des données (RGPD), qui s'articule autour de cinq axes majeurs.
Le premier axe est le renforcement quantitatif et qualitatif du droit des personnes, une meilleure explication de la loi Informatique et Libertés, l'apparition de nouveaux droits, comme le droit à l'oubli, le droit à la portabilité et la possibilité de mener des actions de groupe.
Le deuxième axe est la responsabilisation de l'ensemble des acteurs de traitement de données, publiques et privées, sur la base de principes de minimisation de la collecte, de limitation de la durée de conservation et d'obligation de sécurité pour garantir à tout moment le respect du Règlement.
Le RGPD est d'ailleurs fondé sur la notion de risques présentés par les traitements, tant en volume qu'en sensibilité des données. En clair, plus l'acteur est important dans l'écosystème numérique, plus ses obligations et ses responsabilités sont nombreuses
Le troisième axe s'inscrit en contrepartie du précédent, par le renforcement du pouvoir de sanction administrative des différentes CNIL au niveau européen. Les sanctions peuvent aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial d'une entreprise, l'option majeure étant appliquée. La gamme des sanctions est également élargie.
Le quatrième axe est la mise en place d'un nouveau modèle de gouvernance de la régulation, inédit au niveau européen, au travers d'un guichet unique pour les entreprises et d'un guichet unique pour les citoyens. Si l'entreprise n'a qu'un seul interlocuteur, les décisions qui la concernent sont prises selon des principes de consensus et de coopération entre les différentes autorités nationales, afin de prononcer une décision applicable harmonisée à l'échelle européenne. En cas de désaccord entre les autorités, le nouveau Comité européen de la protection des données (CEPD), c'est-à-dire le groupe des CNIL européennes, arbitrera et prendra une décision contraignante vis-à-vis de l'autorité de l'établissement principal.
Le cinquième axe est le RGPD, qui a constitué une première étape décisive dans la souveraineté numérique, grâce à son principe de libre circulation des données sur l'ensemble du territoire de l'Union et son principe inédit d'extra-territorialité, selon lequel il s'applique à tous les acteurs dès lors qu'un organisme cible des citoyens européens. Il ne s'agit pas, pour l'Europe, de se livrer à du protectionnisme, mais d'affirmer un modèle de régulation fondé sur la défense du droit des personnes, héritée de la philosophie humaniste des droits de l'Homme, en vue de générer la confiance indispensable à la réussite de cette politique publique.
En outre, toutes les études récentes montrent une profonde aspiration de maîtrise des personnes sur leurs données. Ainsi, 87 % des Français se déclarent sensibles à la protection des données.
S'agissant des défis d'ordre stratégique, plusieurs modèles de régulation fondamentalement différents s'affrontent à l'échelle mondiale. Le RGPD est devenu un instrument de soft power de diplomatie. Nous constatons un avant et un après 25 mai 2018 au niveau mondial. Des pays ont procédé à la mise à jour de leur cadre national en matière de protection des données, afin de continuer à commercer avec l'Europe. Tel est le cas de la Suisse, du Japon, de la Corée du Sud, du Bénin ou de l'Australie. Des processus législatifs sont en cours dans d'autres pays comme la Tunisie ou le Burkina Faso. Des États ont, pour la première fois, adopté un cadre juridique général de protection des données personnelles comparable au RGPD dans ses principales dispositions. Tel est le cas de la Californie avec le California Consumer Privacy Act (CCPA) adopté en octobre 2018 et entré en application le 1er janvier 2020. Le Brésil a adopté son règlement en 2019. En Inde, la Cour suprême a consacré, en 2017, le droit à la protection de la vie privée comme un droit fondamental. Un projet de loi est en discussion au parlement.
En tout état de cause, le RGPD est un des rares textes dont nous parlons encore trois ans après son adoption, ce qui démontre que les échanges de données personnelles sont au cœur de toutes les discussions politiques au niveau international, au même titre que les règles en matière de concurrence ou de commerce.
Trois ans après la mise en œuvre du RGPD, quel bilan l'Europe peut-elle tirer ?
À l'échelle de la France, la CNIL en a véritablement constaté l'effet. Les citoyens se saisissent de leurs droits lorsque ceux-ci leur sont mieux expliqués. En 2019 et en 2020, nous avons reçu environ 14 000 plaintes, ce qui représente une augmentation de 27 % par rapport à 2018, qui était déjà une année record.
En 2020, la crise sanitaire a fait émerger de nombreux enjeux. Les visites sur le site de la CNIL ont augmenté de 18 % en un an, ce qui témoigne de l'intérêt des citoyens pour ces questions au regard de l'actualité récente. Nous comptons aujourd'hui plus de 24 000 délégués à la protection des données, qui représentent plus de 72 000 organismes. Nous avons reçu près de 6 500 notifications de violation de données personnelles depuis 2018 et près de 1 200 dossiers en 2018, 2 300 en 2019 et plus de 3 000 dossiers en 2020. Ces dossiers permettent à la CNIL d'orienter son action de conseil et de répression et de mieux jouer son rôle dans l'écosystème de la cybersécurité.
En ce qui concerne la répression, la CNIL conduit environ 300 contrôles formels chaque année. Le nombre de mesures correctrices est en constante hausse. Après une période d'actions pédagogiques en 2018, la CNIL a prononcé une quinzaine de sanctions en 2020 (contre huit sanctions en 2019) pour un montant cumulé d'environ 139 millions d'euros.
À l'échelle européenne, la mise en œuvre de nouveaux modèles est clairement enclenchée, avec plus de 1 500 cas transfrontaliers identifiés, 550 procédures de guichet unique lancées avec nos homologues et plus de 190 décisions finales adoptées en application du mécanisme de coopération et de cohérence.
Fin 2020, une première décision contraignante a arbitré un différend entre l'autorité irlandaise et les autorités européennes concernant Twitter. Le CEPD a également ajouté une vingtaine de lignes directrices précisant le RGPD sur des notions essentielles, comme son champ d'application territorial, le ciblage des utilisations sur les réseaux sociaux ou le privacy by design – la protection des données dès la conception – contribuant ainsi à une véritable doctrine européenne en la matière.
À ce jour, la CNIL a prononcé plus de 550 sanctions représentant plus de 300 millions d'euros d'amendes.
Le RGPD a passé le test de la crise sanitaire, en évitant le détournement d'usage des données sensibles tout en se montrant suffisamment souple pour permettre aux États membres de traiter et de partager ce type d'informations dans un contexte exceptionnel.
Ces fondements posés, quels sont les axes prioritaires des années à venir pour renforcer la souveraineté numérique ? Ces axes relèvent de trois domaines : la cybersécurité, la politique industrielle et le cadre législatif européen.
Concernant la cybersécurité, il ne se passe pas un jour sans que ne nous soit signalée une attaque ciblant les réseaux de grands organismes publics ou privés, y compris ceux ayant des moyens financiers importants ou menant des activités particulièrement critiques.
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a traité plus de 200 attaques en 2020 contre 50 en 2019. La plupart du temps, ces attaques prennent la forme de rançongiciels, qui paralysent le système d'information et demandent le paiement d'une rançon pour récupérer l'accès aux données. Ces attaques sont la première cause de recherche et d'assistance auprès du site cybermalveillance.gouv.fr.
La CNIL reçoit des notifications de violation de données. Elle vérifie la sécurité et accompagne les personnes et les PME, tandis que l'ANSSI traite plutôt de grandes failles ou d'actions particulièrement malveillantes.
Le deuxième levier d'action consiste à déployer une politique volontariste pour faire émerger les champions européens du numérique. Le respect de la vie privée et l'intégration du principe de privacy by design sont de véritables avantages concurrentiels pour les acteurs européens qui sauront s'en saisir, car ils répondent aux aspirations actuelles des consommateurs. La sécurité du cloud en est un bon exemple. En dépit de l'échec des premiers clouds souverains, la France défend une solution nationale ou européenne pour abriter les données sensibles et favoriser l'émergence d'un marché de confiance, en ajustant des offres déjà matures pour les mettre en conformité avec les standards de protection des données et de transparence des contrats. La CNIL entend suivre et accompagner ces initiatives, qui offrent une alternative viable aux géants du c loud, tant pour le fournisseur que pour le client.
Un exemple stratégique est l'hébergement des données de santé, qui doit être transféré sous deux ans vers une solution française ou européenne relevant exclusivement de la juridiction de l'Union européenne. Pour la CNIL, ce délai garantit un juste équilibre entre la préservation du droit à la protection des données personnelles et l'objectif de favoriser la recherche et l'innovation dans le domaine de la santé.
Le troisième levier d'action est la préservation de notre ordre juridique européen. La question du transfert des données est devenue prégnante en 2020 et plusieurs décisions législatives d'envergure ont été prises.
L'arrêt Schrems II, rendu le 16 juillet 2020 par la Cour de justice de l'Union européenne, a tout d'abord invalidé le bouclier de protection de données, le Privacy Shield, qui permettrait le transfert de données vers les États-Unis sans formalité supplémentaire. Le CEPD, le groupe des CNIL européennes, et la CNIL se sont emparés de cette décision, afin d'en tirer toutes les conséquences.
La Commission européenne a annoncé, fin 2020, sa stratégie de régulation de l'écosystème numérique européen. Le Digital Market Act (DMA) pose le principe de régulation économique en présentant un certain nombre d'adhérences avec le RGPD en matière d'obligations, d'interopérabilité des données, de transparence des traitements et de consentement explicite des consommateurs pour la mutualisation des données.
Le Digital Services Act (DSA) concerne la responsabilité des plateformes face à la souveraineté de l'État.
Le Data Governance Act (DGA) vise, quant à lui, à définir un cadre européen pour la réutilisation et le partage des données, qu'elles soient personnelles ou non. Ce texte ambitieux constitue le socle d'une future économie européenne de la donnée.
Pour conclure, le contexte actuel offre un alignement assez inédit des intérêts entre notre modèle de gouvernance de la donnée et notre politique industrielle. Il est essentiel que nous parvenions collectivement à nous en saisir pour mener une politique ambitieuse de souveraineté numérique européenne. Le RGPD est un facteur clé de cette ambition.
Je me tiens maintenant à votre disposition pour répondre à vos questions.