Intervention de Marie-Laure Denis

Mesdames, messieurs les députés, je suis très honorée de pouvoir échanger avec vous. C'est l'occasion pour moi de vous éclairer sur mon parcours et de vous présenter la façon dont j'aborderai mes fonctions, si je rejoignais le collège de la CNIL en qualité de présidente.

J'ai commencé mon parcours professionnel au Conseil d'État, où j'ai appris, je crois, la rigueur du raisonnement juridique et le travail en formation collégiale. S'en sont suivies deux expériences en cabinet qui m'ont familiarisée avec la prise de décision administrative et le fonctionnement de l'État. J'ai aussi trouvé beaucoup de plaisir à diriger des équipes et à coordonner l'action des administrations, dans les domaines de compétence qui étaient les miens. Depuis, j'ai eu la chance de travailler au service de plusieurs autorités administratives indépendantes pendant quinze ans. Après avoir été membre du collège du Conseil supérieur de l'audiovisuel, j'ai assumé des fonctions comparables pendant six années à l'Autorité de régulation des communications électroniques et des postes (ARCEP). Depuis deux ans, parallèlement à mon activité au Conseil d'État, avec laquelle j'ai renoué, je suis membre de la formation des règlements des différends et des sanctions de la Commission de régulation de l'énergie (CRE).

Cette expérience de la régulation, je l'ai vécue dans des secteurs en constante et profonde évolution numérique : au CSA, au moment de l'arrivée de la télévision numérique terrestre, et à l'ARCEP, au moment de la montée en puissance du quatrième opérateur de télécommunications. Dans ces secteurs, dont les équilibres de marché ont été bouleversés, j'ai pu mesurer qu'une régulation par le dialogue et l'échange était souvent plus productive qu'un recours à des méthodes unilatérales : un dialogue qui doit s'engager avec les interlocuteurs naturels de la CNIL ; un dialogue avec le Parlement auquel j'attache aussi beaucoup d'importance.

Ce dialogue doit être régulier et confiant. C'est déjà le cas, je crois, puisque la CNIL a été auditionnée près de trente fois en 2018. De nombreux projets et propositions de loi comprennent des problématiques relatives au numérique et, plus particulièrement, à la protection des données. La CNIL a ainsi rendu, en 2017, 177 avis sur des projets de textes. Pour 2018, le chiffre ne devrait guère être différent. Ces échanges permettent à la CNIL, me semble-t-il, de nourrir ses propres réflexions, grâce à l'expérience de terrain des élus. Je souhaite que ces relations se poursuivent dans la confiance et le respect réciproque du rôle de chacun. Les échanges, selon moi, doivent aussi être fréquents avec les autres autorités administratives indépendantes, la CNIL ayant, par construction, un fonds d'actions transversales.

Enfin, si j'ai l'honneur d'être désignée présidente de la CNIL, j'attacherai la plus grande importance à l'animation du collège de la commission, qui doit fonctionner dans le respect de la grande diversité de ses dix-huit membres, dont quatre parlementaires, et le souci d'une démarche aussi participative et ouverte que possible. J'aurai aussi à coeur de veiller à ce que les deux cents agents de la CNIL – bientôt un peu plus –, animés par le secrétaire général sous l'autorité du président, puissent continuer à contribuer à leur mission dans les meilleures conditions possibles et avec le professionnalisme que chacun, je crois, leur reconnaît.

Si la CNIL doit avoir une attitude ouverte et constructive, elle doit aussi savoir se montrer très ferme dans l'exercice de ses missions de surveillance et de régulation. Son rôle est en effet capital : elle est chargée, dans le domaine qui la concerne, d'assurer la défense des libertés individuelles, enjeu essentiel pour notre démocratie, à une époque de massification des données personnelles et d'essor des réseaux sociaux, où la protection de la vie privée est quelque peu malmenée. Par ailleurs – il me paraît important de l'évoquer –, la présidence de la CNIL suppose une indépendance, une neutralité, une impartialité, soit des valeurs auxquelles je suis, par nature et par caractère, attachée. Je crois que les différentes étapes de ma vie professionnelle, principalement partagée entre la juridiction administrative et les autorités administratives indépendantes, peuvent en témoigner.

Quels sont les nouveaux défis de la CNIL ? La révolution numérique à laquelle on assiste démultiplie la capacité de collecte et de traitement des données personnelles, lesquelles sont exploitées à une échelle industrielle, dans une économie mondialisée. Cela peut être un facteur d'innovation et de progrès, dans le domaine de la santé notamment, et de nouveaux services, bien souvent gratuits, ont vu le jour, à notre grande satisfaction. Mais il faut aussi reconnaître que de tels développements s'accompagnent d'un certain nombre d'abus, voire de dérives, qui mettent gravement et directement en cause les libertés individuelles. La décennie qui s'achève a été marquée par des révélations sur des ventes de données à des fins commerciales, qui ont pu interférer, çà et là dans le monde, avec le fonctionnement de la démocratie. La confiance des utilisateurs des services numériques a été entamée. Chacun mesure à quel point le ciblage publicitaire numérique peut être intrusif dans nos vies.

C'est la raison pour laquelle s'exprime une demande sociale de transparence et de sécurisation, de plus en plus forte. Le Parlement s'en est d'ailleurs saisi, en votant la loi du 20 juin 2018, laquelle a renforcé le droit des personnes à maîtriser leurs données par un accès à une information plus claire et accessible, par un nouveau droit à la portabilité des données, par le renforcement de la protection des enfants de moins de quinze ans. Le Gouvernement et le Parlement ont fait le choix, en adoptant cette loi, de mettre en conformité la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, avec une directive du 27 avril 2016 dite police-justice, et le règlement général sur les données personnelles.

C'est ce règlement européen, entré en vigueur le 25 mai dernier, qu'on appelle communément le RGPD. L'essence même de la régulation a évolué, en abandonnant un contrôle a priori, devenu inadapté et qui visait à l'origine surtout les grands fichiers administratifs, au profit d'un système de contrôle a posteriori, qui responsabilise tous ceux qui traitent des données personnelles. Ces acteurs sont engagés dans une logique de mise en conformité qu'il leur faut pouvoir démontrer. La CNIL les accompagne dans cette démarche par la mise à disposition d'outils, de guides, de référentiels et grâce à des échanges avec les 80 000 à 100 000 délégués à la protection des données personnelles qui sont en train d'être désignés.

Il me paraît essentiel que la CNIL, par ailleurs, s'adapte à la spécificité des acteurs. Ils n'ont en effet pas tous les mêmes moyens pour se conformer aux obligations découlant du RGPD : je pense aux communes de petite taille, qui peuvent d'ailleurs mutualiser la mission de délégués à la protection des données ; aux PME et aux TPE. Il faut leur faire prendre conscience, quand ce n'est pas le cas, de l'importance de la prise en compte de la problématique de la protection des données, dès la conception des systèmes de traitement des données.

La contrepartie de la responsabilisation des acteurs s'est traduite, fort logiquement, par un renforcement très significatif du pouvoir de sanction de la CNIL. L'actualité récente a braqué les projecteurs sur ce changement d'échelle, puisque les sanctions prononcées maintenant ne se comptent plus en centaines de milliers d'euros au maximum, mais en dizaines de millions d'euros – et potentiellement plus, puisqu'elles peuvent désormais atteindre 4 % du chiffre d'affaires annuel mondial d'une entreprise. Certes, la CNIL doit sanctionner les manquements seulement lorsque c'est nécessaire et avec un souci de proportionnalité ; mais, de mon point de vue, elle ne doit pas hésiter à recourir à la sanction, car il y va de son autorité et de sa crédibilité. C'est tout le sens d'ailleurs du RGPD que d'avoir prévu des dispositions qui reposent, au fond, sur deux piliers essentiels qui vont de pair : un accompagnement à part entière des acteurs lors de leur mise en conformité et, en contrepartie, un contrôle qui se veut beaucoup plus dissuasif.

Je souhaiterais maintenant, madame la présidente, dire quelques derniers mots sur la dimension européenne de la mission de la CNIL, laquelle est essentielle. Le RGPD impose désormais à tout acteur international, dès lors qu'il propose un bien ou un service à destination du consommateur européen, même s'il n'est pas établi en Europe, de se soumettre au droit européen. C'est une avancée considérable, dans la mesure où le droit européen est celui qui comporte le plus haut standard de protection des données. Le règlement a aussi organisé une régulation intégrée concernant l'instruction des plaintes relatives à des données transfrontalières entre les différentes CNIL européennes et ouvert la possibilité de prendre des sanctions communes, ce qu'aucune autre entité géographique ne fait. Réunies dans un comité européen de la protection des données, les autorités de régulation pourront adopter des positions communes voire arbitrer d'éventuelles divergences. Ce sera l'un des enjeux de la CNIL d'oeuvrer pour que le niveau de protection des données soit le plus harmonisé possible sur le territoire européen.

Une autre question concerne l'Europe : la bulle de protection qui entoure, en quelque sorte, grâce au RGPD, une donnée personnelle, sera-t-elle conservée, lorsque cette donnée sera exploitée en dehors de l'Europe ? Cela pose la question de la capacité de l'Europe à limiter l'accès d'autorités étrangères aux données des citoyens européens et à encadrer efficacement les flux transfrontaliers de données entre l'Europe et d'autres pays. S'agissant plus précisément des États-Unis, j'ai essayé d'apporter quelques éléments de réponse dans le questionnaire que vous avez bien voulu me transmettre à ce sujet.

La CNIL doit continuer à prendre toute sa part dans la construction d'une régulation européenne unifiée de la protection des données, comme sa présidente Isabelle Falque-Pierrotin s'est appliquée à le faire jusqu'à présent, avec un engagement particulièrement fort, en présidant de 2014 à 2018 la réunion des CNIL européennes et, l'année dernière, la conférence internationale des commissaires à la protection des données. L'Europe est en train de devenir une référence mondiale, en matière de régulation de la protection des données personnelles, et certains des plus grands acteurs mondiaux du numérique ne s'y trompent pas, en appelant les États-Unis, alors même qu'ils sont en général américains, à se doter d'une réglementation fédérale s'inspirant de celle qui a été adoptée en Europe. C'est pourquoi la CNIL a vocation à être une référence en Europe, au moment même où la réglementation représente pour tous une grande ambition.

Madame la présidente, mesdames, messieurs les députés, c'est avec ces convictions que je me présente aujourd'hui devant vous. J'espère vous avoir fait partager la détermination qui serait la mienne à contribuer à ce que la CNIL incarne, dans les cinq prochaines années, une référence en matière de protection numérique de la vie privée. Il ne s'agit pas, dans mon esprit, d'opposer la vie privée aux politiques publiques ou à la vie des affaires, mais de trouver un équilibre fructueux, qui soit gage d'efficacité et de protection. J'ai essayé d'être aussi brève que possible, pour laisser le plus de place à nos échanges.